[アップデート]Amazon Detectiveが検出結果の相関を可視化するFinding Group Visualization機能が追加されました
こんにちは、臼田です。
みなさん、AWSのインシデント調査してますか?(挨拶
今回は、Amazon GuardDutyで検出したインシデントの調査が捗るAmazon Detectiveに神機能が追加されたので紹介します。(ちょっと前ですが
Amazon Detective がインタラクティブなセキュリティ調査を可能にするグラフの視覚化を追加
まずはコチラを見てくれ…
すっごく良くないですか?これ
検出したインシデントに関連するリソースの相関をグラフで表現してくれているんです。こちらはユーザーガイドよりお借りしました。
従来、Amazon Detectiveでは検出したインシデントに関連するリソースを一覧で出したり、検索したり、ドリルダウンしたりといろんな手法で確認することはできていましたが、こうやって1つの画面で関係性を可視化することはできませんでした。
それが一発で叶うという素晴らしい機能です!では実際に内容と動作を確認してみましょう。
アップデート概要
今回のアップデートは単純に可視化する機能が追加されただけではありません。実際には、Detectiveで扱うGuardDutyの検出結果(Findings)自体の関連性を見出し、自動的に「検出結果グループ」というものにまとめる機能が追加されていて、その検出結果グループの中にグラフによる可視化機能が追加された感じです。
元々Detectiveでは関連する検出結果を出すこと自体はできていたのですが、それをまとめてより調査に役立つように表示できるようになったところが大きなポイントですね。
やってみた
では画面を見ていきましょう。まずAmazon Detectiveの画面にアクセスすると、「検出結果グループ」のメニューが左カラムに追加されています。開くとこんな感じでまとめられた検出結果が表示されます。
詳細画面に移ってみます。なんと検出した内容がMITRE ATT&CKの戦術に合わせて何が行われたかが表示されています。影響範囲が一発でわかるようになっていますね。
とはいっても、私の環境の検出結果グループでは、過去に検知させた様々な大量のFindingsがまとまったことによりあまり意味を出していませんでした。これは攻撃シナリオに基づいた検証が求められますね。
そしてお待ちかねの可視化機能がこの下にありました!バーン
なんと内容が多いので可視化できないとのことでした。これは仕方ない。ちゃんとした攻撃ならこうはならな無いでしょう。
ちなみに関連リソース(エンティティ)の表示などはできています。
本来の調査であれば有意義になるでしょうが、今回は500程度の内容がまとめられているので流石に困りますね。
まとめ
めちゃくちゃいい感じの機能が追加されました!
残念ながら検証環境で遊んでいると大変な検出結果グループが生まれてしまいますが、実際のインシデントに対してはめちゃくちゃ効力を発揮すること間違いなしです。
とりあえず私は、ちゃんとしたシナリオを組んでいい感じの可視化に挑戦してみます。みなさんも是非どうぞ。