先日 11/26 のアップデートにより、Detective の調査機能で、IAM リソースの調査が可能になりました。
3行まとめ
- IAM ユーザーや IAM ロールを指定して調査することが可能
- 調査内容にはサマリー、異常なアクティビティ、TTP マッピングなどが含まれる
- 調査結果は json 形式でレポートとしてダウンロード可能
何が嬉しいのか
IAM リソースの調査を短時間で実施してくれます。もし IAM ユーザーなどが攻撃者に悪用された場合、実行された API や影響範囲の特定などに活用できます。
やってみる
それでは試しに私の IAM ロールを対象に調査してみました。IAM ユーザーでも可能なので、調査対象に合わせて読み替えてください。
調査方法
Detective のコンソールから検索をクリックして、対象をIAMロールとします。次に調査したい IAM ロール名を入力しましょう。
検索結果に概要するものがあれば、下部に IAM ロールが結果として確認できます。プリンシパル ID をクリックして詳細ページに飛ぶ。
調査を実行をクリックすると、期間を指定するように促されるので調査したい日付と時間を入力しましょう。今回はお試しでデフォルトのまま実行してみました。
これで調査レポートの作成が開始されます。数秒でステータスが成功となりました。
調査結果の確認
内容をみてみると、以下のような情報をコンソールから確認できました。
ちょうど re:Invent に参加中でラスベガスからアクセスしているため、異常なアクティビティが出力されていますね。
他にも TTP によるマッピング結果なども確認できます。実際に攻撃者の調査する時には重宝しそうです。
また、コンソール右上から調査結果をダウンロード可能です。json 形式でダウンロードできるため、必要があれば活用しましょう。
ここで作成された調査結果は、右ナビゲーションの調査からいつでも確認できます。
料金
この機能自体に追加料金はかかりません。
リージョン
AWS GovCloud (米国) リージョンを含む、Detective が有効になっているすべての AWS リージョンで利用できます。
おわりに
Detective の調査機能で、IAM リソースについての調査を試してみました。攻撃者が利用した IAM リソースを特定できた時の影響範囲の特定などに活用できそうです。
いざという時のために、この機能が利用できることを覚えておきたいですね。
以上、AWS 事業本部カスタマーソリューション部の鈴木純でした。
1
