AWS環境の異常調査が捗る! Amazon Detectiveの概要 [レポート] #SEC312 #reinvent

Amazon Detectiveの概要を紹介したセッションのレポートです。インシデントの調査がめちゃくちゃ捗るのでぜひ試してみましょう!
2019.12.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、インシデントの調査してますか?(挨拶

re:Invent 2019でしれっと発表されたすごいやつ!Amazon Detectiveのセッションが行われたので早速参加してきました!速報は下記の通り。

[速報] 潜在的なセキュリティ問題を自動的に分析する Amazon Detective が発表されました!#reinvent

簡単に言うとAmazon Detectiveは異常を検知した後の調査がめちゃくちゃ捗るサービスです!セッション概要は以下の通り。レポートしていきます。

Introducing Amazon Detective

Amazon Detective makes it easy to investigate, analyze, and quickly identify the root cause of potential security issues or suspicious activities. Amazon Detective automatically collects log data from your AWS resources and uses machine learning, statistical analysis, and graph theory to help you visualize and conduct faster and more efficient security investigations. Amazon Detective is integrated with AWS security services such as Amazon GuardDuty and AWS Security Hub as well as AWS partner security products. In this session, we also demonstrate Amazon Detective and provide a walkthrough of how to investigate a security finding.

[翻訳]

Amazon Detectiveを使用すると、潜在的なセキュリティ問題または疑わしいアクティビティの根本原因を簡単に調査、分析、および迅速に特定できます。 Amazon Detectiveは、AWSリソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、より迅速かつ効率的なセキュリティ調査の視覚化と実施を支援します。 Amazon Detectiveは、Amazon GuardDutyやAWS Security HubなどのAWSセキュリティサービス、およびAWSパートナーセキュリティ製品と統合されています。 このセッションでは、Amazon Detectiveのデモも行い、セキュリティの発見を調査する方法のチュートリアルを提供します。

登壇者

Mark Terenzoni - Dir. SW Detective / Inspector, Amazon Web Services Luis Maldonado - Product Management, Amazon Web Services

レポート

AWSではNISTのCSF(サイバーセキュリティフレームワーク)にあるセキュリティの調査フローに則って各種サービスがあります。これまでは検知した脅威(異常)に対してGuardDutyのFindingsやCloudTrail、VPC Flow Logsなどを駆使して調査していました。調査にはAmazon Athenaを利用したり、別の調査ツールを利用したりしていました。このフェーズはInvestigateです。

このInvestigateに利用することができるのがAmazon Detectiveです!ロゴがかっこいい!!

調査にはこれまでいくつか課題がありました。

  • ノイズ: 情報が多くて適切な情報の選択が難しい
  • 複雑: 様々な情報が絡み合って複雑です
  • スキル不足: ログを調査するためのスキルが必要です
  • コスト: ログを分析するための高価なサードパーティツールや、地道に調べるために人員や時間のコストがかかります

という背景がありAmazon Detectiveが誕生しました!下記の特徴があります。(現状ではプレビュー)

  • ビルトインでデータを収集
  • 自動的に分析
  • 可視化!

ユースケースを見ていきます。

  • アラートのトリアージ
    • どれくらいデータが流れているか
    • トラフィック量が正常か
    • 直前に何が起きているか
    • その失敗は一般的か

  • インシデント調査
    • どのIPからAPIが呼ばれたか
    • そのAPIは偵察行為か
    • どんなIDが利用されたか
    • 他にどのインスタンスがそのIPと通信したか

  • スレットハンティング
    • このIPは去年もインスタンスと通信したか
    • 疑わしいユーザが他にどのようなAPIを呼び出したか

Amazon Detectiveは各AWSサービスからデータを収集して、継続的にグラフモデルにデータを集約、分析して可視化します。(なるほどわからん)

マルチアカウントで集約することもできます。イメージはGuardDutyのマスターメンバー構造と同じとのこと。

データの関連性を図のようにつないでいるとのこと。

様々なデータサイエンスが利用されています

分析結果がいい感じに可視化されます。

デモ

さて、説明が長くなっていましたがデモです。我々はこれを待っていた!

まずGuardDutyのFindingsに注目。これはCloudTrailが無効化されたインシデント。

周辺でどのようにAPIが呼ばれているかグラフになっています。APIの成功と失敗が別ラインで表示されています。わかりやすい!

各時間をクリックするとその時間帯の詳細表示が可能。該当するIPが下に表示されました。1つのIPだけですね。

続いて別のタブ。新しいIPからのアクセスがどこから来ているかマッピングされます。わかりやすい!

どのようなAPIコールが増えているかレートが出ています。明らかに普段行われていない量。

エリアをクリックすると対象の一覧が。

そこから絞り込みができます。今回はAPIにDeleteがつくもの。1つのIPがでてきました。先程と同じ(当然)ですが、いろんな調査方法があることがわかります。

そのIPからどのようなAPIが呼ばれているかリストになっています。

ではIPへドリルダウン。そのIPのアクティビティが表示されます。しゅごい!

詳細情報の他に関連するFindingsも。

APIコールのステータス。

別タブでは関連するIAMリソースやEC2インスタンスの一覧。簡単に紐付いて可視化されています!

続いてインスタンスへ。

該当時間帯にどのようなトラフィックがあるか確認できます。

インスタンスに紐付いているFindingsも。

別のタイプのFindingsを見てみます。SSHブルートフォース。

各プロトコル毎にどれくらいトラフィックがあるか可視化されていて、通常と比べて多いか少ないか見れます。多いところは赤になる。

該当時間にどうかという時系列のグラフもあります。

というわけでデモでした。めちゃくちゃ見やすい!

SIEMやチケットシステムと連携することも可能。

既にパートナー製品と連携することが可能です。

簡単にマルチアカウントを管理できます。30日のフリートライアルで実際のコストを確認できます。

価格は取り込みデータ単位で、GuardDuty / VPC Flow Logs / CloudTrailから取り込みます。1年間のデータを可視化。

プレビューは5つのリージョンで利用可能。東京来てるぞヽ(=´▽`=)ノ

感想

これまでAWSのサービスで調査を行うのは非常に大変でした。高いサードパーティの分析ツールが必要でした。

しかしながらこれがあればもう心配いりません。非常に捗りそうですね!

現在はプレビューですが、東京に対応しているのでまずは申し込んでみてはいかがでしょうか?