[レポート]クラウドにおける脅威管理:Amazon GuardDutyおよびAWS Security Hub #SEC206 #reinvent
本記事はAWS re:Invent 2019のセッション「Threat management in the cloud: Amazon GuardDuty and AWS Security Hub」のレポートです。
概要
日本語訳
Amazon GuardDutyとAWS Security Hubが連携して、AWSアカウントとワークロードの脅威を継続的に可視化、コンプライアンス、および検出します。 Amazon GuardDutyを使用すると、クラウド内の脅威を検出するための継続的なセキュリティモニタリングを実現できます。 AWS Security Hubを使用すると、AWSのベストプラクティスと業界標準に基づいた自動化されたコンプライアンスチェックを使用して、環境を継続的に監視できます。このセッションでは、Amazon GuardDutyとAWS Security Hubを紹介し、イベントの検出について順を追って説明します。集約;セキュリティ調査結果の優先順位付け。可能な修復アクションと他の応答の識別。
原文
Amazon GuardDuty and AWS Security Hub in tandem provide continuous visibility, compliance, and detection of threats for AWS accounts and workloads. Amazon GuardDuty enables customers to achieve continuous security monitoring to detect threats in the cloud. AWS Security Hub enables customers to continuously monitor their environment using automated compliance checks based on AWS best practices and industry standards. In this session, we introduce you to Amazon GuardDuty and AWS Security Hub and walk you through the detection of an event; aggregation; prioritization of security findings; and the identification of possible remediation actions and other responses.
スピーカー
- Ryan Holland - Principal Technical Specialist, AWS Security Services, Amazon Web Services
レポート
アジェンダ
- Amazon GuardDuty概要
- AWS Security Hub概要
- GuardDutyの結果を運用
- ノイズの除去
- 優先度の高い結果の特定
- 自動化の実装
Amazon GuardDuty 概要
GuardDutyの主な機能
マネージドな脅威検出サービス
- 設計やパフォーマンスに影響を与えずワンクリックでアクティベーション
- AWSアカウントとリソースの継続的な監視
- 分析結果によるグローバルなカバレッジ
- 既知の脅威を検出
- 未知の脅威を検出
- 企業全体の統合と管理
GuardDuty data sources
VPC フローログ
- 分析を行うためにVPC Flowログを有効化する必要なし
- データは独立した複製ストリームを通じて消費される
- 脅威情報および行動の検出に関するネットワーク通信に関する情報を提供
DNSログ
- DNSログはAmazon EC2インスタンスから既知および未知の疑わしいドメインに対して行われたクエリに基づく
- DNSログはAmazon Route53クエリログに追加される
- GuardDutyがDNSベースの検出結果を生成するためにRoute 53は必要なし
AWS CloudTrailイベント
- AWSマネジメントコンソール、SDK、AWSコマンドラインインターフェイス(AWS CLI)などにアクセスするために使用されるAWS API呼び出し履歴を提供
- ユーザーとアカウントのアクティビティの識別結果を生成するためにVPC Flowログを有効化にする必要なし
- データは独立した複製ストリームを通じて消費される
- 脅威情報および行動の検出に関するネットワーク通信に関する情報を提供
Amazon GuardDutyの仕組み
データソースを脅威情報 + 異常検出(ML)で分析し、結果はAWS Security Hub、S3 bucket、CloudWatch Eventに連携可能
GuardDutyは何を検出できるのか?
脅威情報を使用した既知の脅威検出
- さまざまなソースからの脅威情報を活用
- AWSパートナーが保持する情報(CrowdStrikeおよびProofpoint)
- 顧客が提供する脅威の情報
- 脅威情報により、GuardDutyは次の検知が可能
- 既知のマルウェア感染ホスト
- 匿名化プロキシ
- マルウェアとハッカーツールをホストしているサイト
- 暗号通貨マイニングプールとウォレット
機械学習を使用した未知の脅威
- 異常な動作を検出するアルゴリズム
- パターンの検査
- 正規プロファイリングと偏差の確認
- 機械学習分類器
分析結果のCloudWatchイベントのレビュー
- GuardDutyは、5分間隔で発生する検出結果に対するすべての変更を1つのイベントに集約
- CloudWatchイベントは、グラフ化、保存、エクスポート等の分析でが可能
AWS Security Hub概要
- すべてのアカウントでAWS Security Hubを有効
- 調査結果を継続的に集約し、優先順位を付けます
- 自動化されたコンプライアンススキャンおよびチェックの実施
- 調査結果に基づいて行動を起こす
自動化されたコンプライアンス標準
- CIS AWS Foundationsベンチマークに基づく
- 自動化されたほぼ連続的なチェック
- 調査結果はメインダッシュボードに表示され、すばやくアクセス可
- ギャップを緩和してコンプライアンスを守るためのベストプラクティス情報が提供
コンプライアンス基準
- 例
- ルートアカウントの使用を避ける
- すべてのリージョンでCloudTrailが有効になっていること
- 0.0.0.0/0からポート22への進入を許可するセキュリティグループが存在しないこと
GuardDutyの結果運用
ノイズの除去
- 以下のアラートはノイズ
- そのリソースのアクティビティが期待される
- アクティビティ(あなたの行動)は脅威ではない
- 誤検知
- イベントが予想されるか、または許容可能なリスクを表すかを決定する
- オンプレミスのソースIPアドレスを使用したインスタンスクレデンシャルの使用
- 脆弱性評価ツールからのポートスキャン
- 意図的に公開されたインスタンスへのポートプローブ(例:Webサービス)
- 抑制したい条件に一致するアーカイブフィルターを作成する
- マスターアカウントのみがフィルターを保存し、フィルターはメンバーアカウントを適用
フィルターを使用して検出結果を抑制する
- 使用可能なフィルターオプションのいずれかを使用して、イベントとリソースに一致するフィルターを作成
- [保存/編集]をクリックし、フィルター名を指定して、[自動アーカイブ]ボックスを付与
- タグやメタデータを使用して、狭い抑制ルールの作成が可能
- [保存/編集]をクリックし、フィルター名を指定して、[自動アーカイブ]ボックスを付与
- フィルターは、APIまたはAWS CloudFormationを介して作成することもできる
優先度の高い結果を特定する
- 少数の重大度の高い結果を運用可能にすることから始める
- ペイブックまたは自動化を構築する際に、新しい調査結果を公開
- 最初に運用を開始するための推奨事項
- UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration
- UnauthorizedAccess:IAMUser/TorIPCaller
- CryptoCurrnecy:EC2/BitcoinTool.B!DNS
- CryptoCurrnecy:EC2/BitcoinTool.B
- Recon:EC2/PortProbeEMRUnprotectedPort
- UnauthorizedAccess:EC2/TorClient
- UnauthorizedAccess:EC2/TorRelay
Enabling automated remediation
- 集約されたリソースに基づいて適切なアクションを選択。ワンサイズではすべてに適合しない
- 通知/チケット
- 分離
- 終了/置換
- 明確に定義され、一貫して実施されているタグ付けの戦略は、改善を可能にする
- セキュリティはアプリケーション所有者と連携する必要がある
- 通知から始める。より積極的な行動に向けて意図的に行動する
さいごに
GuardDutyのフィルター基準など運用の参考になりました。特別な設定がいらずワンクリックで有効化できるので、とりあえず有効化しておきましょう。