[新サービス]有人でセキュリティインシデントに即時対応してくれるAWS Security Incident Responseが発表されました! #AWSreInvent

[新サービス]有人でセキュリティインシデントに即時対応してくれるAWS Security Incident Responseが発表されました! #AWSreInvent

AWS環境上のセキュリティインシデントに対応してくれる有人のサポートです
AWS re:Invent 2024

AWS re:Invent 2024

#Amazon GuardDuty
#AWS Security Hub
#AWS
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2024.12.02

こんにちは、臼田です。

みなさん、AWSのセキュリティインシデント対応してますか?(挨拶

今年も開催されているAWS最大のイベントre:Invent 2024で新サービスのAWS Security Incident Responseが発表されました!どんなものか見ていきましょう。

New AWS Security Incident Response helps organizations respond to and recover from security events | AWS News Blog

概要

先日似たような名前のAWS Incident Detection and Responseというサービスがちょうど日本語のサポートを開始していました。詳細は下記。

https://dev.classmethod.jp/articles/aws-incident-detection-response-japanese/

名前も似ていることもありサービスも似ています。上記のAWS Incident Detection and Responseは主にレジリエンス目的で、AWS環境上の障害に対して、AWSのAWS Incident Management Engineers(IME)が利用者の重要なサービスについて24時間365日プロアクティブにサポートし5分以内に応答してインシデント管理を行ってくれる有人サポートのサービスです。

AWS Security Incident Responseでは、AWS Customer Incident Response Team (CIRT)が24時間365日でセキュリティインシデントに対する有人のサポートを提供してくれます。

そしてAmazon GuardDutyあるいはサードパーティツールの情報をAWS Security Hubを介して収集して、インシデント対応に当てることができます。

他のAWS Shield AdvancedやAWS Incident Detection and Responseと同じように、費用もラージエンタープライズ向けで最低月額料金 7,000 ドルから、利用費に応じて上がっていきます。ハイエンドなサポートサービスと捉えるといいでしょう。価格はこちらを参照してください。

AWS CIRTはセキュリティインシデントが発生した際にはチケットを作成し、能動的にアラートの自動モニタリングとトリアージをしてくれて、復旧対応や改善までの一連のフローを支援してくれます。

単純にサポートを提供するだけでなく、自動化されたセキュリティ対応の仕組みを展開することもできるので頼もしいですね。

詳細

AWS Security Incident Responseは製品ページユーザーガイドも公開されていますので詳細に内容を確認できます。流石に使うところまでは大変なので、ドキュメントから実際のイメージを掴んでみます。

このサービスのスコープではNIST SP800-61のコンピュータインシデント対応ガイドに準拠したセキュリティイベント管理を行っていきます。

監視と調査ではNIST 800-61r2 コンピュータセキュリティイベント処理ガイドに準拠するなど業界標準が意識されています。

以下のフェーズで対応がされます。

  • Prepare(準備)
  • Detect and Analyze(検出と分析)
  • Contain(封じ込め)
  • Eradicate(根絶)
  • Recover(回復)
  • Post incident report(事後報告)

検出と分析では以下のサードパーティツールもサポートされています。

  • CrowdStrike – CrowdStrike Falcon
  • Lacework – Lacework
  • Trend Micro – Cloud One

封じ込めのフェーズでは、追加でAWS CIRTチームに権限を渡すことで、SSMを利用した封じ込めが可能です。内容は以下3つです。

  • EC2 封じ込め: 封じ込めAWSSupport-ContainEC2Reversibleの自動化は、EC2 インスタンスの可逆的なネットワーク封じ込めを実行し、インスタンスをそのまま実行したまま、ネットワーク アクティビティから分離し、VPC 内外のリソースとの通信を防止します。
  • IAM 封じ込め: 封じ込めAWSSupport-ContainIAMReversibleの自動化は、IAM ユーザーまたはロールの可逆的なネットワーク封じ込めを実行し、ユーザーまたはロールを IAM に残しながら、アカウント内のリソースとの通信から分離します。
  • S3 封じ込め: 封じ込めAWSSupport-ContainS3Reversible自動化は、S3 バケットの可逆的な封じ込めを実行し、バケット内のオブジェクトを残し、アクセスポリシーを変更して Amazon S3 バケットまたはオブジェクトを分離します。

まとめ

新しいサービスのAWS Security Incident Responseを見てみました。

セキュリティインシデントへの対応は大変ですので、AWS CIRTに助けてもらうのもいいのではないでしょうか?ぜひ使ってみてください!

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่คุ้มค่าที่สุด

Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่คุ้มค่าที่สุด

[アップデート]Amazon GuardDutyのでVPCエンドポイントを利用したクレデンシャルの悪用を検出できるようになりました

[アップデート]Amazon GuardDutyのでVPCエンドポイントを利用したクレデンシャルの悪用を検出できるようになりました

User avatar
臼田佳祐
2024.11.27
[アップデート]Amazon GuardDutyのEC2ランタイム保護でRedHat/CentOS/Fedoraをサポートしました

[アップデート]Amazon GuardDutyのEC2ランタイム保護でRedHat/CentOS/Fedoraをサポートしました

User avatar
臼田佳祐
2024.11.27
GuardDuty で UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS が発報された時の確認ポイント

GuardDuty で UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS が発報された時の確認ポイント

User avatar
m.hayakawa
2024.11.22
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.