Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG_YOKOHAMA_20231204

h-ashisan
December 04, 2023
Technology
0
720

 JAWS-UG_YOKOHAMA_20231204

h-ashisan

December 04, 2023
Tweet

More Decks by h-ashisan

See All by h-ashisan
AIOpsを活用してAWS監視を体験してみた 〜EC2も監視できるよ〜
hiashisan
1
740
20231025_HibiyaTech#1_SecurityLake
hiashisan
0
480
20231007_JAWS-FESTA-2023-Kyushu_omatsuri_ashisan
hiashisan
0
600
20230930_JAWS-FESTA_REJECT-CON_ControlTower
hiashisan
0
1.1k
20230829_ccoe_seminar_session_3
hiashisan
0
720
20230825_SecurityLake_freshmen_LT
hiashisan
0
690
dayone-Classmethodcloudguideline-20230411
hiashisan
0
810
20230215_JAWS-UG_asakai_ControlTower
hiashisan
2
2.3k
20221109_jaws-ug-asakai_days2022-volunteer
hiashisan
0
690

Other Decks in Technology

See All in Technology
Cloud Native Java with Spring Boot (CNCF Aarhus, April 2024)
thomasvitale
1
180
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
260
MapLibreとAmazon Location Service
dayjournal
1
160
Android Target SDK 35 (Android 15) 対応の概要
akkie76
0
110
ServiceNow Knowledge Learning Rise up
manarobot
0
210
ServiceNow Knowledge 24の歩き方 EYストラテジー・アンド・コンサルティング
manarobot
0
200
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
370
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
220
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
130
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
590
APIファーストなプロダクトマネジメントの実践 〜SaaSus Platformでの例〜 / "Practicing API-First Product Management - An Example with SaaSus Platform
oztick139
0
110
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
850

Featured

See All Featured
Mobile First: as difficult as doing things right
swwweet
216
8.6k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
7
1k
Building Your Own Lightsaber
phodgson
99
5.7k
Testing 201, or: Great Expectations
jmmastey
28
6.4k
jQuery: Nuts, Bolts and Bling
dougneiner
59
7.1k
Designing for Performance
lara
601
67k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
2
1.3k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
125
32k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
352
28k
Imperfection Machines: The Place of Print at Facebook
scottboms
260
12k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Web Components: a chance to create the future
zenorocha
305
41k

Transcript

  1. re:Invent 2023 お疲れ様でした! Amazon Detectiveの最新アップデートを 5分でキャッチアップしよう 1

  2. 自己紹介 名前:芦沢広昭 / @ashi_ssan(あしさん) 所属:クラスメソッド株式会社 AWS事業本部 コンサルティング部 / ソリューションアーキテクト 入社:2021年9月

    (≒ AWS歴) 好きなAWSサービス: AWS Control Tower ※JAWS-UG 横浜 初参加 & 初登壇です! 2

  3. 3 率直な雑感想 • 今年で2回目(初回は2022) ◦ 今年も参加させてくれた弊社に感謝!!! • 体力管理の大切さに気づかされた ◦ 5K

    runを全力で参加して平気な方すごい • ワーナーのKeynoteがエモくてよかった ◦ 感想話すと、話が弾む • 早くも re:Invent 2024に行きたい ◦ まずは re:Inforce 2024だ!!!

  4. 4 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ

  5. 5 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ

  6. • AWSにおけるフルマネージドセキュリティサービス ◦ セキュリティインシデント発生時の「調査」を楽に ◦ NIST CSFにおける 「検知(DETECT)」→「対応(RESPONSE)」を橋渡しする 『調査(INVESTIGATION)』に相当 6

    Amazon Detectiveとは?

  7. 7 AWSサービスで表すと... 引用元: https://pages.awscloud.com/rs/112-TZM-766/images/20200715_AWSBlackBelt2020_AmazonDetective.pdf

  8. 8 参考ワークショップ(クローズド) • インシデント対応時のCSIRTの業務を擬似体験で きるワークショップ • OpenSearch ServiceのWeb UIを主に利用 •

    ログ分析関連の事前知識はほぼ不要 ◦ 分析のやり方は教えてくれる ◦ ただし 各AWSサービスの知識は必須 • 現在パブリック公開はされていないが、気になる方 はお近くのAWSJの方にお問い合わせを。 URL: https://dev.classmethod.jp/articles/aws-top-engineer- 2022-security-incident-workshop-report/

  9. 9 ワークショップの体験談 • セキュリティインシデント対応は大変 ◦ ログの相関分析をするとき、色々なログや調査結果を 行き来することになる ◦ 勘所がわかってないと、堂々巡りになり答えにいきつかない =

    時間が かかる • SIEM や インシデント対応フローの整備など事前準備が可能だ が、誰でもどの環境でも準備できるわけではない ◦ 事前に準備しても対応に時間はかかる → 人間でやらずにAIを頼って自動化したい!    〜そんな時にDetectiveが役に立つ〜

  10. 10 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ

  11. 11 re:Inventで発表されたアップデート紹介 re:Invent2023 期間中に発表されたもの:4件 • 11/27 IAM Investigations機能の追加 (Amazon Detective

    announces investigations for IAM) • 11/27 GuardDuty ECSランタイムモニタリングのセキュリティ調査のサポート (Amazon Detective supports security investigations for Amazon GuardDuty ECS Runtime Monitoring) • 11/27 生成AIを使ったグループサマリ機能の追加 (Amazon Detective introduces finding group summaries using generative AI) • 11/27 Amazon Security Lakeからのログ取得に対応 (Amazon Detective now supports log retrieval from Amazon Security Lake)

  12. 12 IAM Investigations機能 • IAM ユーザーや IAM ロールを指定して調査 することが可能 •

    調査内容にはサマリー、異常なアクティビ ティ、TTP マッピングなどが含まれる • 調査結果は json 形式でレポートとしてダウン ロード可能 →攻撃者が利用したIAMロール特定後の調査に 使えそう URL: https://dev.classmethod.jp/articles/update-amaz on-detective-investigation-feature-iam-resource/

  13. 13 IAM Investigations機能、使ってみた

  14. 14 IAM Investigations機能、使ってみた

  15. 15 GuardDuty ECSランタイムモニタリングのセキュリティ調査 • GuardDuty ECS Runtime Monitoring (Fargate含む)の調査結果も Detectiveで調査可能に

    → 最新のGuardDutyアップデートも サポート URL: https://dev.classmethod.jp/articles/detecti ve-guardduty-ecs-runtime-monitoring/

  16. 16 GuardDuty ECSランタイム〜、やってみた 事前にGuardDutyのランタイムモニタリン グを有効化しておく ↓ 作成したECS on Fargateクラスターに ECS

    Execでシェルログイン ↓ 以下コマンドを実行 # dig guarddutyc2activityb.com. # dig pool.supportxmr.com # curl pool.supportxmr.com

  17. 17 GuardDuty ECSランタイム〜、やってみた

  18. 18 生成AIを使ったグループサマリ機能の追加 • Detectiveによる調査結果グループの概 要を生成系AIでわかりやすく表示してく れるようになった! → AIと会話しなくても済んで嬉しい!!! URL: https://dev.classmethod.jp/articles/updat

    e-detective-ai-generated-detection-results- group-overview-now-available/

  19. 19 グループサマリ機能、使ってみた 検知テスト後、1日(24時間)程度経過した後に検出

  20. 20 いい感じにAIがサマリしてくれる 以下、機械翻訳による日本語化 -------------------------------------------------- 侵害された EC2 インスタンス i-0d2fa556c2a2526e8 が検出、ブルート フォース、データ抽出を実行

    EC2 インスタンス i-0d2fa556c2a2526e8 は、IP 172.16.0.20 から 172.16.0.20、172.16.0.27、および 172.16.0.28 に対して SSH、RDP、お よびポートスキャン ブルート フォース攻撃を実行しました。 i-0d2fa556c2a2526e8 C&C サーバーとビットコイン活動に関連するドメ インを照会しました i-0d2fa556c2a2526e8 は、流出したデータに似たアウトバウンド DNS クエリを実行しました i-0d2fa556c2a2526e8 にはローカル権限昇格の脆弱性があります 172.16.0.20 が i-0c046f4b9cfc936a2 および i-01d702667393077a7 に 対して SSH ブルート フォースを実行しました

  21. 21 Amazon Security Lakeからのログ取得に対応 • DetectiveとSecurity Lakeを統合すること で、Detective GUI上でAthaneクエリを 実行可能になった

    → 問題箇所の特定から生ログの調査ま で、シームレスに実行できる URL: https://dev.classmethod.jp/articles/amaz on-detective-supports-integration-with-se curity-lake-awsreinvent/

  22. 22 Security Lake統合、やってみた サービス統合の流れ(Cross Accountの場合) Security Lakeのサブスクライバーを作成 ↓ Detectiveアカウント側にIAMロールを作成する ↓

    Resource共有の許可、Glue Crawlerの作成、 LakeFormation設定 (※コンソールで生成するCFnで設定可) ↓ 統合実施!

  23. 23 Security Lake統合、やってみた 何らかのテストでGuardDutyを検知させた後...

  24. 24 Security Lake統合、やってみた 画面遷移なしで、Athenaでクエリできる!

  25. 25 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ

  26. 26 まとめ • re:Invent2023、最高! • Amazon Detectiveはセキュリティインシデント調査を手助 けするマネージドサービス • re:Invent2023でのアップデートは4つ!

    ◦ すぐ使える「グループサマリ」「IAM調査」からお試しを!

  27. 27 もっと詳しく知りたい方はこちらの動画を! ・[LAUNCH] Elevate your security investigations using generative AI

    (SEC244) 動画URL:https://www.youtube.com/watch?v=Vf-s3ZQmJhc

  28. 28