Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Inforce 2023のアップデートを得た現代のAWSセキュリティ運用方法(GuardDuty/Detective編)

cm-usuda-keisuke
June 29, 2023
Technology
0
1.4k

re:Inforce 2023のアップデートを得た現代のAWSセキュリティ運用方法(GuardDuty/Detective編)

この資料は「AWS re:Inforce 2023 re:Cap Seminar - 夜の部 〜セキュリティ最新アップデートを現地の様子とジャパンツアーの魅力と共に振り返る〜」で登壇した資料です。
詳細な解説は下記をご確認ください。
https://dev.classmethod.jp/articles/reinforce2023-recap-lt-guardduty-detective-operation/

cm-usuda-keisuke

June 29, 2023
Tweet

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
AWSセンセーション 私とみんなが作ったAWSセキュリティ
cmusudakeisuke
3
3.9k
新しい初心者向けのSecurity-JAWSをやるよ!って話
cmusudakeisuke
0
870
AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう
cmusudakeisuke
2
8.4k
re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します
cmusudakeisuke
0
1.1k
AWSセキュリティサービス最新アップデート
cmusudakeisuke
2
1.5k
GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう!
cmusudakeisuke
0
2.6k
初級から上級までセキュアなAWS環境の作り方
cmusudakeisuke
7
9.3k
セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート
cmusudakeisuke
0
2k
APN AWS Top Engineersが語るAWSの最新セキュリティ
cmusudakeisuke
0
2.3k

Other Decks in Technology

See All in Technology
Grafana x PagerDuty Better Together
jacopen
0
140
20240418_Google ColabにLLMが搭載されたようなのでPython x データ分析の勉強方法を考えてみる
doradora09
0
140
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
120
開発パフォーマンスを最大化するための開発体制
ham0215
2
460
ChatGPT for IT Service Management (IT Pro)
dahatake
7
1.6k
LangSmith入門―トレース/評価/プロンプト管理などを担うLLMアプリ開発プラットフォーム
os1ma
3
400
Cloud Native Java with Spring Boot (CNCF Aarhus, April 2024)
thomasvitale
1
180
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.8k
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
120
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
2
1k
Azureの基本的な権限管理の勉強会
yhana
0
750
KubeCon EU 2024 Recap “Kubernetes Policy Time Machine: Where to Next?”
ryysud
0
230

Featured

See All Featured
Typedesign – Prime Four
hannesfritz
36
2.1k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
What the flash - Photography Introduction
edds
64
11k
We Have a Design System, Now What?
morganepeng
43
6.8k
Building Better People: How to give real-time feedback that sticks.
wjessup
355
18k
Creatively Recalculating Your Daily Design Routine
revolveconf
210
11k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
79
43k
Teambox: Starting and Learning
jrom
128
8.4k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k
Facilitating Awesome Meetings
lara
42
5.6k
Git: the NoSQL Database
bkeepers
PRO
422
63k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
21
1.6k

Transcript

  1. re:Inforce 2023のアップデートを得た 現代のAWSセキュリティ運⽤⽅法 (GuardDuty/Detective編) AWS re:Inforce 2023 re:Cap Seminar -

    夜の部 1

  2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

  3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

    APN Ambassador 2023 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

  4. 4 re:Inforce 2023お疲れ様でした ちょー楽しかったです

  5. 5 re:Inforce 2023のアップデート この2つを使った運⽤⽅法の紹介をします https://dev.classmethod.jp/articles/guardduty-summry- dashboard/ https://dev.classmethod.jp/articles/detective-support- finding-group-visualization/

  6. 6 GuardDutyのサマリーダッシュボード

  7. 7 Detectiveの検出結果グループ

  8. 8 アジェンダ 1. 理想のセキュリティ運⽤ 2. 想定環境 3. GuardDutyのサマリーダッシュボード活⽤ 4. Detectiveの検出結果グループ活⽤

    5. さいごに

  9. 9 1. 理想のセキュリティ運⽤

  10. 10 理想のGuardDutyの状態

  11. 11 理想のGuardDutyの状態

  12. 12 理想の状態への道筋 AWS環境の堅牢化ができていれば、W-Aに従い 適切にセキュリティ運⽤されていればめったに検 知は来ない 検知が出るなら、全件潰しこみましょう

  13. 13 2. 想定環境

  14. 14 想定環境 今回紹介する運⽤のメインの想定環境 • AWSアカウントが50とか100とかたくさんある環境 • 検知が⼤量に出ているけど放置している環境 ここでサマリーダッシュボードが効果を発揮する

  15. 15 もしかして AWSアカウントがたくさんあって、全体で GuardDutyを有効化してないですか︖ 今すぐ全体で有効化しましょう

  16. 16 対応の進め⽅ AWSアカウントはたくさんあって、GuardDutyは有 効化しているけど、ちゃんと⾒てない場合 これから説明する⼿順で運⽤を始めてみてね ※検出結果の個別の対応⽅法は割愛します

  17. 17 3. GuardDutyのサマリーダッシュボード活⽤

  18. 18 ダッシュボードのウィジェットの種類 • 概要 • 重⼤度別の検出結果 • 最も⼀般的な検出結果タイプ • 最も多い検出結果を含むリソース

    • 最も多く検出したアカウント • 最も低頻度の検出結果 それぞれ活⽤のポイントがある

  19. 19 概要 • まずは⾼の検知があるか確認する • ⾼のイベントは特に危険なものが多い、実際にやら れている可能性が⾼い • AWSアカウントの重要度をベースにチェックしてい こう

  20. 20 最も低頻度の検出結果 特にこれは要チェック 定常的に検知がある環境 ではノイズを減らしてよ り重要なものを確認でき る

  21. 21 最も⼀般的な検出結果タイプ 特に多いタイプのグラフ おそらく問題のある設定 やアーキテクチャにより 検知されている 例えばSecurity Groupで SSHを開放している 堅牢化する必要がある項

    ⽬を⾒つけられる

  22. 22 最も多い検出結果を含むリソース これらのリソースは格好の的 重要なリソースであれば即対応

  23. 23 4. Detectiveの検出結果グループ活⽤

  24. 24 GuardDutyとDetectiveの違い Detectiveでは複数の検知を繋げて確認する

  25. 25 検出結果グループを使った調査 繋げて攻撃の流れがMITRE ATT&CKの戦術にマッピングして 表⽰される ⾼のイベントがあったら、特にグループが作られていないか確 認する 例えばEC2に対するポートプローブから始まって、SSHブルー トフォース成功、Outsideでクレデンシャル漏洩 S3漏洩などのシナリオで簡単に流れを確認しRoot

    Causeが 確認できる

  26. 26 5.さいごに

  27. 27 ⼀通り調査と対応が終わったら まず検知が上がっているところから暫定対処していく 終わったらSecurity Hubによる堅牢化を全体で⾏いつ つ、堅牢化するための内容を設計指針や共通テンプレー トなどに反映・周知していく それでも起きるときは起きるので通知を受け取り即時対 応できるようにして、セキュリティチームはその運⽤に 注⼒する

    仕組み化して堅牢なAWS運⽤をしよう

  28. 28