Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Inforce 2023のアップデートを得た現代のAWSセキュリティ運用方法(GuardDuty/Detective編)

re:Inforce 2023のアップデートを得た現代のAWSセキュリティ運用方法(GuardDuty/Detective編)

この資料は「AWS re:Inforce 2023 re:Cap Seminar - 夜の部 〜セキュリティ最新アップデートを現地の様子とジャパンツアーの魅力と共に振り返る〜」で登壇した資料です。
詳細な解説は下記をご確認ください。
https://dev.classmethod.jp/articles/reinforce2023-recap-lt-guardduty-detective-operation/

cm-usuda-keisuke

June 29, 2023
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. re:Inforce 2023のアップデートを得た
    現代のAWSセキュリティ運⽤⽅法
    (GuardDuty/Detective編)
    AWS re:Inforce 2023 re:Cap Seminar - 夜の部
    1

    View full-size slide

  2. 2
    こんにちは、⾅⽥です。
    みなさん、
    AWSのセキュリティ対策してますか︖(挨拶

    View full-size slide

  3. 3
    ⾃⼰紹介
    ⾅⽥佳祐(うすだけいすけ)
    ・クラスメソッド株式会社 / AWS事業本部
    シニアソリューションアーキテクト
    セキュリティチームリーダー
    AWS公認インストラクター
    2021 APN Ambassador
    2023 APN AWS Top Engineers (Security)
    ・CISSP
    ・Security-JAWS運営
    ・好きなサービス:
    Amazon GuardDuty
    AWS Security Hub
    Amazon Detective
    みんなのAWS
    (技術評論社)
    Amazon GuardDuty AWS Security Hub Amazon Detective

    View full-size slide

  4. 4
    re:Inforce 2023お疲れ様でした
    ちょー楽しかったです

    View full-size slide

  5. 5
    re:Inforce 2023のアップデート
    この2つを使った運⽤⽅法の紹介をします
    https://dev.classmethod.jp/articles/guardduty-summry-
    dashboard/
    https://dev.classmethod.jp/articles/detective-support-
    finding-group-visualization/

    View full-size slide

  6. 6
    GuardDutyのサマリーダッシュボード

    View full-size slide

  7. 7
    Detectiveの検出結果グループ

    View full-size slide

  8. 8
    アジェンダ
    1. 理想のセキュリティ運⽤
    2. 想定環境
    3. GuardDutyのサマリーダッシュボード活⽤
    4. Detectiveの検出結果グループ活⽤
    5. さいごに

    View full-size slide

  9. 9
    1. 理想のセキュリティ運⽤

    View full-size slide

  10. 10
    理想のGuardDutyの状態

    View full-size slide

  11. 11
    理想のGuardDutyの状態

    View full-size slide

  12. 12
    理想の状態への道筋
    AWS環境の堅牢化ができていれば、W-Aに従い
    適切にセキュリティ運⽤されていればめったに検
    知は来ない
    検知が出るなら、全件潰しこみましょう

    View full-size slide

  13. 13
    2. 想定環境

    View full-size slide

  14. 14
    想定環境
    今回紹介する運⽤のメインの想定環境
    • AWSアカウントが50とか100とかたくさんある環境
    • 検知が⼤量に出ているけど放置している環境
    ここでサマリーダッシュボードが効果を発揮する

    View full-size slide

  15. 15
    もしかして
    AWSアカウントがたくさんあって、全体で
    GuardDutyを有効化してないですか︖
    今すぐ全体で有効化しましょう

    View full-size slide

  16. 16
    対応の進め⽅
    AWSアカウントはたくさんあって、GuardDutyは有
    効化しているけど、ちゃんと⾒てない場合
    これから説明する⼿順で運⽤を始めてみてね
    ※検出結果の個別の対応⽅法は割愛します

    View full-size slide

  17. 17
    3. GuardDutyのサマリーダッシュボード活⽤

    View full-size slide

  18. 18
    ダッシュボードのウィジェットの種類
    • 概要
    • 重⼤度別の検出結果
    • 最も⼀般的な検出結果タイプ
    • 最も多い検出結果を含むリソース
    • 最も多く検出したアカウント
    • 最も低頻度の検出結果
    それぞれ活⽤のポイントがある

    View full-size slide

  19. 19
    概要
    • まずは⾼の検知があるか確認する
    • ⾼のイベントは特に危険なものが多い、実際にやら
    れている可能性が⾼い
    • AWSアカウントの重要度をベースにチェックしてい
    こう

    View full-size slide

  20. 20
    最も低頻度の検出結果
    特にこれは要チェック
    定常的に検知がある環境
    ではノイズを減らしてよ
    り重要なものを確認でき

    View full-size slide

  21. 21
    最も⼀般的な検出結果タイプ
    特に多いタイプのグラフ
    おそらく問題のある設定
    やアーキテクチャにより
    検知されている
    例えばSecurity Groupで
    SSHを開放している
    堅牢化する必要がある項
    ⽬を⾒つけられる

    View full-size slide

  22. 22
    最も多い検出結果を含むリソース
    これらのリソースは格好の的
    重要なリソースであれば即対応

    View full-size slide

  23. 23
    4. Detectiveの検出結果グループ活⽤

    View full-size slide

  24. 24
    GuardDutyとDetectiveの違い
    Detectiveでは複数の検知を繋げて確認する

    View full-size slide

  25. 25
    検出結果グループを使った調査
    繋げて攻撃の流れがMITRE ATT&CKの戦術にマッピングして
    表⽰される
    ⾼のイベントがあったら、特にグループが作られていないか確
    認する
    例えばEC2に対するポートプローブから始まって、SSHブルー
    トフォース成功、Outsideでクレデンシャル漏洩
    S3漏洩などのシナリオで簡単に流れを確認しRoot Causeが
    確認できる

    View full-size slide

  26. 26
    5.さいごに

    View full-size slide

  27. 27
    ⼀通り調査と対応が終わったら
    まず検知が上がっているところから暫定対処していく
    終わったらSecurity Hubによる堅牢化を全体で⾏いつ
    つ、堅牢化するための内容を設計指針や共通テンプレー
    トなどに反映・周知していく
    それでも起きるときは起きるので通知を受け取り即時対
    応できるようにして、セキュリティチームはその運⽤に
    注⼒する
    仕組み化して堅牢なAWS運⽤をしよう

    View full-size slide