Splunk App for AWS Security Dashboards でAWSのログを分析してみるとAWSのセキュリティの分析観点がよく分かった
2025.02.28タイトルの通り、Splunk App for AWS Security Dashboards でAWSのログ分析をしてみて、セキュリティ観点での利用方法を確認してみました。
AWSのどのログソースを分析できるのか
各パネルで分析するのに必要なAWSソースは下記のドキュメントで確認することができます。
公式ドキュメント:
当ブログでは、Appの使い方を中心にご紹介していきます。
Appのセットアップなどは下記のブログなど参考にしていただけるかと思います。
AWS CloudTrail のログを Splunk App for AWS Security Dashboards にセットアップして分析してみた | DevelopersIO
Appの構成
Appをインストールすると以下のメニュー構成となっていることが分かります。
「Security」と「Insights」はさらに配下にサブメニューがあります。
以下のようなメニュー構成のイメージです。
.
├── Security Overview
├── Security/
│ ├── Network ACLs
│ ├── Security Groups
│ ├── IAM Activity
│ ├── Key Pairs
│ ├── S3 Data Event
│ ├── VPC Activity
│ ├── Resource Activity
│ ├── User Activity
│ ├── CloudFront - Traffic Analysis
│ ├── ELB - Traffic Analysis
│ ├── S3 - Traffic Analysis
│ ├── VPC Flow Logs - Traffic Analysis
│ └── VPC Flow Logs - Security Analysis
├── Insights/
│ ├── Security Group Insights
│ └── IAM Insights
└── Search/
├── Dashboards
├── Reports
├── Alerts
└── Search
使い方、分析観点
それでは、いくつかのダッシュボードをピックアップして使い方と分析観点についてご紹介していきます。
Security Overview
AWS CloudTrailは、AWSサービス内のAPIアクティビティをロギングする(監査ログ)サービスです。
セキュリティリスクにつながるAWS CloudTrailのエラーイベントの統計を全体俯瞰することができます。
(ダッシュボード全体、フィルター機能)
アカウントID、リージョン、Notable(Trueにすると変更系のイベントに限定、Falseにすると参照系のイベントを含む)、時間範囲でフィルタリングをかけることができます。
特にAWSの全体感を把握するためにアカウントIDごとに状況を把握したりします。
対象とするデータソースやイベント
CloudTrailのIAM・VPC・セキュリティグループ・キーペア・NACLに関するイベント
利用ケース
AWSのセキュリティ状況の全体感をつかみます。
全体的にエラー数が多くなっていないか、この画面を起点に各種ダッシュボードに遷移して調査を続けたり、監査レポートとしてアカウントごとの状況を監視します。
Security Groups
VPC内で動くAWSサービスの多くがSecurity Groupを活用して、レイヤー3およびレイヤー4のフィルタリングをかけ、トラフィックのアクセスを制御します。
攻撃者は、設定ミスや意図的にセキュリティグループを作成するなどして、侵入やデータの持ち出しをしようと試みます。
誰が・いつ・どのようなセキュリティグループを変更したのかを監査することで、セキュリティリスクにつながるイベントを特定することができます。
(ダッシュボード全体、フィルター機能)
Security Overview と同じフィルタ条件が適用可能です。
特にAWSの全体感、アカウントごと、リージョンごとに注目してみることができるので、監査やインシデント調査の時に重宝します。
対象とするデータソースやイベント
このダッシュボードの分析対象としているSecurity Groups関連のイベントは以下になります。
(Splunk Cloudの以下のコマンドで確認できます)
| inputlookup aws_security_all_eventName
| search function="Security Groups"
| eventName | function | highlight | notable |
|---|---|---|---|
| AuthorizeSecurityGroupEgress | Security Groups | low | true |
| AuthorizeSecurityGroupIngress | Security Groups | low | true |
| CreateSecurityGroup | Security Groups | low | true |
| DeleteSecurityGroup | Security Groups | severe | true |
| DescribeSecurityGroups | Security Groups | elevated | false |
| RevokeSecurityGroupEgress | Security Groups | severe | true |
| RevokeSecurityGroupIngress | Security Groups | severe | true |
※「highlight」は elevated -> low -> severe の順にセキュリティリスクの可能性のあるイベントとして見る基準としても使えます。
「notable」は trueが変更系イベント、falseが参照系イベントです。
参考: Amazon EC2 API Reference
利用ケース
セキュリティグループがいくつ存在しているか、セキュリティグループのルールの数、利用されていない(ENIやインスタンスに関連付けされていない)セキュリティグループがないか、全体的な利用状況を確認します。
(今回はデータがとれなかったために出力されていませんが。。)
セキュリティグループに関連するAPI操作エラーイベント(セキュリティグループの削除やルールの削除の失敗)、セキュリティグループ関連イベントごとのアクション、また時系列のデータで確認することができます。
特にError Eventsでは、上記のSecurity Group関連イベントが発生していてかつAPI操作エラーであったものを抽出しているため、セキュリティリスクにつながる行動として注目することができます。
さらにそれぞれのイベントごとのサマリ情報に絞ったリストを確認することができるので、セキュリティグループに関する操作イベントの概要から、詳細なログの特定まで素早くたどり着くことができます。
最終的に生ログまでドリルダウンして調査することができます。
IAM Activity
すべてのAWSリソースへのアクセスは、AWS IAMのユーザー、グループ、ロールにより認証され、IAMポリシーによって認可されます。
攻撃者は、インターネットのGithubなどから漏洩したアクセスキーや、フィッシングなどで窃取した認証情報を用いて、AWSへの不正なアクセスを試みます。
未認証イベントの発生や、API実行が行われたロケーション、ユーザー、アクションの組み合わせを分析することで不審なイベントを特定することができます。
(ダッシュボード全体、フィルター機能)
Security Overview と同じフィルタ条件が適用可能です。
アカウントごと、リージョンごとに注目することも当然ですが、IAM ActivityではNotable(変更系イベント)に注目して見ることも有効です。
対象とするデータソースやイベント
分析対象としているIAM関連のイベントは以下になります。こちらも以下のコマンドで確認することも可能です。
(Splunk Cloudの以下のコマンドで確認できます)
| inputlookup aws_security_all_eventName
| search function="IAM"
| eventName | function | highlight | notable |
|---|---|---|---|
| AddRoleToInstanceProfile | IAM | low | true |
| AddUserToGroup | IAM | low | true |
| ChangePassword | IAM | elevated | true |
| CreateAccessKey | IAM | low | true |
| CreateAccountAlias | IAM | low | true |
| CreateGroup | IAM | low | true |
| CreateInstanceProfile | IAM | low | true |
| CreateLoginProfile | IAM | low | true |
| CreateRole | IAM | low | true |
| CreateSAMLProvider | IAM | low | true |
| CreateUser | IAM | low | true |
| CreateVirtualMFADevice | IAM | low | true |
| DeactivateMFADevice | IAM | severe | true |
| DeleteAccessKey | IAM | severe | true |
| DeleteAccountAlias | IAM | severe | true |
| DeleteAccountPasswordPolicy | IAM | severe | true |
| DeleteGroup | IAM | severe | true |
| DeleteGroupPolicy | IAM | severe | true |
| DeleteInstanceProfile | IAM | severe | true |
| DeleteLoginProfile | IAM | severe | true |
| DeleteRole | IAM | severe | true |
| DeleteRolePolicy | IAM | severe | true |
| DeleteSAMLProvider | IAM | severe | true |
| DeleteServerCertificate | IAM | severe | true |
| DeleteSigningCertificate | IAM | severe | true |
| DeleteUser | IAM | severe | true |
| DeleteUserPolicy | IAM | severe | true |
| DeleteVirtualMFADevice | IAM | severe | true |
| EnableMFADevice | IAM | low | true |
| GetAccountPasswordPolicy | IAM | elevated | false |
| GetAccountSummary | IAM | elevated | false |
| GetGroup | IAM | elevated | false |
| GetGroupPolicy | IAM | elevated | false |
| GetInstanceProfile | IAM | elevated | false |
| GetLoginProfile | IAM | elevated | false |
| GetRole | IAM | elevated | false |
| GetRolePolicy | IAM | elevated | false |
| GetSAMLProvider | IAM | elevated | false |
| GetServerCertificate | IAM | elevated | false |
| GetUser | IAM | elevated | false |
| GetUserPolicy | IAM | elevated | false |
| ListAccessKeys | IAM | elevated | false |
| ListAccountAliases | IAM | elevated | false |
| ListGroupPolicies | IAM | elevated | false |
| ListGroups | IAM | elevated | false |
| ListGroupsForUser | IAM | elevated | false |
| ListInstanceProfiles | IAM | elevated | false |
| ListInstanceProfilesForRole | IAM | elevated | false |
| ListMFADevices | IAM | elevated | false |
| ListRolePolicies | IAM | elevated | false |
| ListRoles | IAM | elevated | false |
| ListSAMLProviders | IAM | elevated | false |
| ListServerCertificates | IAM | elevated | false |
| ListSigningCertificates | IAM | elevated | false |
| ListUserPolicies | IAM | elevated | false |
| ListUsers | IAM | elevated | false |
| ListVirtualMFADevices | IAM | elevated | false |
| PutGroupPolicy | IAM | low | true |
| PutRolePolicy | IAM | low | true |
| PutUserPolicy | IAM | low | true |
| RemoveRoleFromInstanceProfile | IAM | severe | true |
| RemoveUserFromGroup | IAM | severe | true |
| ResyncMFADevice | IAM | low | true |
| UpdateAccessKey | IAM | elevated | true |
| UpdateAccountPasswordPolicy | IAM | elevated | true |
| UpdateAssumeRolePolicy | IAM | elevated | true |
| UpdateGroup | IAM | elevated | true |
| UpdateLoginProfile | IAM | elevated | true |
| UpdateSAMLProvider | IAM | elevated | true |
| UpdateServerCertificate | IAM | elevated | true |
| UpdateSigningCertificate | IAM | elevated | true |
| UpdateUser | IAM | elevated | true |
| UploadServerCertificate | IAM | low | true |
| UploadSigningCertificate | IAM | low | true |
参考: AWS Identity and Access Management API Reference
利用ケース
IAM関連のイベントでAPI操作が成功しなかった(エラー)総数、ユーザーごとの未認証エラー・エラーの数を分析して、突発して不審なAPI失敗がなかったかを確認します。
特にユーザーに注目することで普段見慣れないユーザーがいないかも同時に確認することができます。
IAM関連イベントの分布、イベントごとの時系列を確認して、IAM関連のアクションの傾向を見ることができます。
イベントごとに認証・未認証エラーの数を確認して、特権昇格を狙うような繰り返して権限の付与に関するイベントが起きていないかに注目することができます。
直近のイベント、エラーイベントのサマリ情報に絞ったリストを確認して、個々のイベントに注目することもできますし、さらにパネル内のイベントをクリックすると生ログまでドリルダウンも可能です。
User Activity
その他のダッシュボードで注目するユーザーがいた場合や、AWSの脅威検知であるAmazon GuardDutyなどから発出されたアラートから調査したい時などに、ユーザー起点でのイベントのトラッキングを行います。
未認証イベントを多く発生しているユーザーや、見慣れないユーザーなど、他のダッシュボードで不審に感じるユーザーを特定して、深堀り調査をします。
(ダッシュボード全体、フィルター機能)
アカウントID、リージョン、Notable(Trueにすると変更系のイベントに限定、Falseにすると参照系のイベントを含む)、時間範囲に加え、ユーザー名、イベント名でフィルタリングをかけることができます。
特にユーザー名で絞り込むことで、特定のユーザーのイベントを色々な観点でトラッキングすることができます。
対象とするデータソースやイベント
分析対象としているイベントは以下のコマンドに出力される全てのイベントとなります。
特定のサービスに問わず、イベント数が600程度あったため本ブログ内には載せませんでしたが、セキュリティ上注目すべきイベントが網羅されているため、一度ご自身でも確認しておくと良いかと思います。
| inputlookup aws_security_all_eventName
| search function="*"
利用ケース
API操作が成功しなかった(エラー)総数、未認証のAPI実行数を確認することで、特定のユーザーのアクティビティ傾向を把握することができます。
User Activity by Event Name Over Timeではイベント名ごとの件数を時系列で見ることができます。特定のユーザーに絞っている場合は、そのユーザーが実行しようとしているイベントの傾向を掴むことができます。
一方、User Activity by User Name Over Teimeではユーザーごとのイベント数を時系列で見ることができます。特定のイベント名で絞っている場合は、そのイベントに対してどのユーザーが実行しようとしているかの傾向を掴むことができます。
サマリ情報に絞った直近のイベントをイベント名でまとめて確認することができます。ユーザー名またはイベント名でフィルタリングしている場合は、それぞれの観点で網羅的にイベントの発生を見ていくことができるので、より詳細な情報に焦点を絞っていくことができます。
また、個々のイベントをクリックすると、ダッシュボード下部に前後1秒前後に発生したイベント情報を表示させることができます。
上記イベントをクリックした時の分析パネルでは、生ログによる詳細分析と、実行した送信元IPのジオロケーションを視覚的に確認することができます。
VPC Flow Logs - Traffic Analysis
インターネット上の探索活動や認証情報の窃取を行っているBotなどからの不正な通信や、感染・乗っ取られたリソースからのデータの持ち出しなど、VPCを経由するアクティビティはVPCフローログ内の通信情報に痕跡として残されます。
トラフィックの通信量や、送信元・宛先のパターンを分析することで、どのタイミングでどのIPアドレスと通信が行われたのかを調査することができます。
(ダッシュボード全体、フィルター機能)
アカウントID、Interface ID、Protocol、Action、時間範囲でフィルタリングをかけることができます。
Actionで許可された or 拒否された通信で絞ったり、Interface IDで絞って、より特定の情報を分析します。
対象とするデータソースやイベント
VPCフローログ
利用ケース
インターフェイスごとの時系列のトラッフィク推移が確認できます。
また、ロケーション別にトラッフィク量を見て、不審な地域からのアクセスがないか把握することができます。
宛先・ポート、送信元の通信流量を確認し、注目すべきL3、L4情報に着目します。
異常なトラフィックが観測される場合はこれらの情報を起点に他のデータと相関づけます。
ここで確認した情報は、CloudFrontやELB、S3を使っていれば、別のダッシュボードを確認しにいき、相関して情報を見ていくことができます。
VPC Flow Logs - Security Analysis
VPCでは、インターネットとの通信やリソース間の通信を制御するために、セキュリティグループまたはNetwork ACLによって、ネットワーク境界の分割とアクセス制御を行うことができます。
セキュリティグループまたはNetwork ACLによる、許可または拒否された送信元や宛先の組み合わせを分析することで、リスクのあるトラフィックパターンを識別します。
(ダッシュボード全体、フィルター機能)
アカウントID、Interface ID、Protocol、時間範囲でフィルタリングをかけることができます。
特に特定のInterface IDで絞ることで、注目して見ることができます。
対象とするデータソースやイベント
VPCフローログ
利用ケース
このダッシュボードでは、許可された通信・拒否された通信に焦点を当てて分析を行うことができます。
ポートを確認し、攻撃によく使われるリモートサービスのポート(22, 445など)に注目したり、さらにスパークラインでトレンドを確認します。
送信元においても、不審なものがないか、許可/拒否されたトラフィック数とともに、トレンドについても確認することができます。
その他のダッシュボードや分析用途
以下のダッシュボードは今回適切なデータの収集までできなかったので、概要と分析対象のみご紹介します。
Network ACLs
Network ACLのアクティビティに関して、エラー系のイベント数、イベントごとの発生タイミングと時間推移を分析して、いつどんな変更が行われたかを特定します。
特にセキュリティグループのダッシュボードと相関して見ていくことでネットワークアクセス制御の監査が行えます。
このダッシュボードで分析対象としているイベントは以下です。
(Splunk Cloudの以下のコマンドで確認できます)
| inputlookup aws_security_all_eventName
| search function="VPC" eventName="*networkacl*"
| eventName | function | highlight | notable |
|---|---|---|---|
| CreateNetworkAcl | VPC | low | true |
| CreateNetworkAclEntry | VPC | low | true |
| DeleteNetworkAcl | VPC | severe | true |
| DeleteNetworkAclEntry | VPC | severe | true |
| DescribeNetworkAcls | VPC | elevated | false |
| ReplaceNetworkAclAssociation | VPC | elevated | true |
| ReplaceNetworkAclEntry | VPC | elevated | true |
Amazon Elastic Compute Cloud API Reference
CreateNetworkAcl - Amazon Elastic Compute Cloud
Key Pairs Activity
EC2インスタンスのキーペアは、インスタンスへ接続するために利用されます。
キーペアの利用が規制されている環境で不正に利用されていないかや、キーペアの作成などを監視して、セキュリティリスクを検知します。
このダッシュボードで分析対象としているイベントは以下です。
(Splunk Cloudの以下のコマンドで確認できます)
| inputlookup aws_security_all_eventName
| search function="Key Pairs"
| eventName | function | highlight | notable |
|---|---|---|---|
| CreateKeyPair | Key Pairs | low | true |
| DeleteKeyPair | Key Pairs | severe | true |
| DescribeKeyPairs | Key Pairs | elevated | false |
| ImportKeyPair | Key Pairs | low | true |
参考: Amazon Elastic Compute Cloud API Reference
CreateKeyPair - Amazon Elastic Compute Cloud
S3 - Data Events
S3バケットやオブジェクトへのアクションの種類、実行ユーザー、API実行の成功・失敗、頻度を分析します。
こちらの分析では CloudTrail のデータイベントを対象にしています。
S3オブジェクトへのリクエストを監視したいバケットを、CloudTrail 設定でデータイベント記録を有効化してください。
参考:
Amazon S3 CloudTrail イベント - Amazon Simple Storage Service
CloudTrailの高度なイベントセレクターを利用して、取得するログを選択することができます。
[アップデート]CloudTrailで高度なイベントセレクターがサポートされ、記録対象のデータイベントを絞ってコスパよく利用できるようになりました | DevelopersIO
また、下記のイベントが対象となりますので、同じく高度なイベントセレクターでイベントを絞ると、分析に有効なデータのみを選択することができます。
| eventName | function | highlight | notable |
|---|---|---|---|
| DeleteObject | S3 Data Event | ||
| DeleteMultipleObjects | S3 Data Event | ||
| GetObject | S3 Data Event | ||
| GetObjectAcl | S3 Data Event | ||
| GetObjectTorrent | S3 Data Event | ||
| HeadObject | S3 Data Event | ||
| OptionsObject | S3 Data Event | ||
| PostObject | S3 Data Event | ||
| PostObjectRestore | S3 Data Event | ||
| PutObject | S3 Data Event | ||
| PutObjectAcl | S3 Data Event | ||
| PutObjectCopy | S3 Data Event | ||
| ListParts | S3 Data Event | ||
| InitiateMultipartUpload | S3 Data Event | ||
| UploadPart | S3 Data Event | ||
| UploadPartCopy | S3 Data Event | ||
| CompleteMultipartUpload | S3 Data Event | ||
| AbortMultipartUpload | S3 Data Event |
※S3には別にサーバーアクセスログというものがあります。こちらは、後述のS3 - Traffic Analysisのダッシュボードが対象となります。
それぞれのログの違いについては、下記をご参照ください。
Amazon S3 のログ記録オプション - Amazon Simple Storage Service
VPC Activity
AWSリソースの多くはVPC内で起動することができます。
VPCに関するアクションの変更をトラッキングして、不審な操作にいち早く気づき、対策を立てることができます。
このダッシュボードで分析対象としているイベントは以下です。
VPC、ルートテーブル、サブネット、各種ゲートウェイ、DHCP、NWIF、NACL、VPNなどが含まれます。
(Splunk Cloudの以下のコマンドで確認できます)
| inputlookup aws_security_all_eventName
| search function="VPC"
| eventName | function | highlight | notable |
|---|---|---|---|
| CreateCustomerGateway | VPC | low | true |
| DeleteCustomerGateway | VPC | severe | true |
| DescribeCustomerGateways | VPC | elevated | false |
| AssociateDhcpOptions | VPC | low | true |
| CreateDhcpOptions | VPC | low | true |
| DeleteDhcpOptions | VPC | severe | true |
| DescribeDhcpOptions | VPC | elevated | false |
| AssignPrivateIpAddresses | VPC | low | true |
| AttachNetworkInterface | VPC | low | true |
| CreateNetworkInterface | VPC | low | true |
| DeleteNetworkInterface | VPC | severe | true |
| DescribeNetworkInterfaceAttribute | VPC | elevated | false |
| DescribeNetworkInterfaces | VPC | elevated | false |
| DetachNetworkInterface | VPC | severe | true |
| ModifyNetworkInterfaceAttribute | VPC | elevated | true |
| ResetNetworkInterfaceAttribute | VPC | severe | true |
| UnassignPrivateIpAddresses | VPC | severe | true |
| AttachInternetGateway | VPC | low | true |
| CreateInternetGateway | VPC | low | true |
| DeleteInternetGateway | VPC | severe | true |
| DescribeInternetGateways | VPC | elevated | false |
| DetachInternetGateway | VPC | severe | true |
| CreateNetworkAcl | VPC | low | true |
| CreateNetworkAclEntry | VPC | low | true |
| DeleteNetworkAcl | VPC | severe | true |
| DeleteNetworkAclEntry | VPC | severe | true |
| DescribeNetworkAcls | VPC | elevated | false |
| ReplaceNetworkAclAssociation | VPC | elevated | true |
| ReplaceNetworkAclEntry | VPC | elevated | true |
| AssociateRouteTable | VPC | low | true |
| CreateRoute | VPC | low | true |
| CreateRouteTable | VPC | low | true |
| DeleteRoute | VPC | severe | true |
| DeleteRouteTable | VPC | severe | true |
| DescribeRouteTables | VPC | elevated | false |
| DisableVgwRoutePropagation | VPC | severe | false |
| DisassociateRouteTable | VPC | severe | true |
| EnableVgwRoutePropagation | VPC | low | true |
| ReplaceRoute | VPC | elevated | true |
| ReplaceRouteTableAssociation | VPC | elevated | true |
| CreateSubnet | VPC | low | true |
| DeleteSubnet | VPC | severe | true |
| DescribeSubnets | VPC | elevated | false |
| CreateVpc | VPC | low | true |
| DeleteVpc | VPC | severe | true |
| DescribeVpcAttribute | VPC | elevated | false |
| DescribeVpcs | VPC | elevated | false |
| ModifyVpcAttribute | VPC | elevated | true |
| AcceptVpcPeeringConnection | VPC | low | true |
| CreateVpcPeeringConnection | VPC | low | true |
| DeleteVpcPeeringConnection | VPC | severe | true |
| DescribeVpcPeeringConnections | VPC | elevated | false |
| RejectVpcPeeringConnection | VPC | severe | true |
| CreateVpnConnection | VPC | low | true |
| CreateVpnConnectionRoute | VPC | low | true |
| DeleteVpnConnection | VPC | severe | true |
| DeleteVpnConnectionRoute | VPC | severe | true |
| DescribeVpnConnections | VPC | elevated | false |
| AttachVpnGateway | VPC | low | true |
| CreateVpnGateway | VPC | low | true |
| DeleteVpnGateway | VPC | severe | true |
| DescribeVpnGateways | VPC | elevated | false |
| DetachVpnGateway | VPC | severe | true |
参考: Amazon Elastic Compute Cloud API Reference
CreateCustomerGateway - Amazon Elastic Compute Cloud
Resource Activity
AWS Configの設定レコーダーで記録された情報をもとに、どのリソースが頻繁に変更されているか、どんな変更が起きたか、大量のリソース変更を把握することができます。
この分析の対象には、AWS Configの設定通知の以下のメッセージを含むイベントが該当します。
ConfigurationHistoryDeliveryCompleted
ConfigurationSnapshotDeliveryCompleted
ConfigurationItemChangeNotification
OversizedConfigurationItemChangeNotification
CloudFront - Traffic Analysis
CloudFrontが受信するすべてのユーザーリクエストに関する詳細情報を分析します。
参考:
標準ログ (アクセスログ) を設定および使用する - Amazon CloudFront
ELB - Traffic Analysis
ロードバランサーに送信されるリクエストについての詳細情報を分析します。リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスが含まれます。
参考:
Application Load Balancer のアクセスログ - エラスティックロードバランシング
S3 - Traffic Analysis
S3オブジェクトへのリクエストに対する、オブジェクトサイズ、リクエストにかかった時間、ユーザーエージェントを分析します。
この分析ではS3のサーバーアクセスログを対象にしています。
サーバーアクセスログを有効にしたいS3バケットに対して、S3で設定を有効化してください。
参考:
Amazon S3 サーバーアクセスログの形式 - Amazon Simple Storage Service
Security Group Insights
EC2のインスタンスメタデータを取得して、セキュリティグループに関するリスクにつながる設定を検出することができます。
以下の項目に該当するセキュリティグループを表示します。
- 特定の高リスクポートを全世界に開放している
- 何らかのポートを全世界に開放している
- インスタンスにひも付いていない(使われていない)SG
- 重複している(冗長な)SG
- ルール数が極端に多いSG
こららの検出はSecurity Hubでも問題ないかもしれません。
IAM Insights
IAMユーザー情報をもとに、リスクにつながる設定を検出することができます。
以下の項目に該当するユーザーを表示します。
- Rootアカウントのパスワードポリシーが脆弱な設定になっている
- 90日以上ローテーションしていないアクセスキーがある
- 30日以上使われていない(ログインやキー操作がない)IAMユーザーが存在する
こちらも同様にSecurity Hubでも問題ないかもしれません。
まとめ
Splunk App for AWS Security Dashboards の利用方法に焦点をあててご紹介してきました。
ログはセキュリティが正常に機能しているか、あるいは攻撃者からの侵入痕跡を記録する非常に重要なものとされる一方、ログのどこに注目して見ればいいのか分からないケースも多いかと思います。
各ダッシュボードでは、セキュリティ上見るべきイベントや、フィールドがまとまっているため、何を分析するべきか知ることができました。
この記事がどなたかの一助になれば幸いです。
