Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG_YOKOHAMA_20231204

h-ashisan
December 04, 2023

 JAWS-UG_YOKOHAMA_20231204

h-ashisan

December 04, 2023
Tweet

More Decks by h-ashisan

Other Decks in Technology

Transcript

  1. re:Invent 2023 お疲れ様でした!
    Amazon Detectiveの最新アップデートを
    5分でキャッチアップしよう
    1

    View full-size slide

  2. 自己紹介
    名前:芦沢広昭 / @ashi_ssan(あしさん)
    所属:クラスメソッド株式会社 AWS事業本部
    コンサルティング部 / ソリューションアーキテクト
    入社:2021年9月 (≒ AWS歴)
    好きなAWSサービス: AWS Control Tower
    ※JAWS-UG 横浜 初参加 & 初登壇です!
    2

    View full-size slide

  3. 3
    率直な雑感想
    ● 今年で2回目(初回は2022)
    ○ 今年も参加させてくれた弊社に感謝!!!
    ● 体力管理の大切さに気づかされた
    ○ 5K runを全力で参加して平気な方すごい
    ● ワーナーのKeynoteがエモくてよかった
    ○ 感想話すと、話が弾む
    ● 早くも re:Invent 2024に行きたい
    ○ まずは re:Inforce 2024だ!!!

    View full-size slide

  4. 4
    本日話すこと
    ● Amazon Detectiveについて
    ● re:Invent2023期間内のアップデート紹介
    ● まとめ

    View full-size slide

  5. 5
    本日話すこと
    ● Amazon Detectiveについて
    ● re:Invent2023期間内のアップデート紹介
    ● まとめ

    View full-size slide

  6. ● AWSにおけるフルマネージドセキュリティサービス
    ○ セキュリティインシデント発生時の「調査」を楽に
    ○ NIST CSFにおける
    「検知(DETECT)」→「対応(RESPONSE)」を橋渡しする
    『調査(INVESTIGATION)』に相当
    6
    Amazon Detectiveとは?

    View full-size slide

  7. 7
    AWSサービスで表すと...
    引用元: https://pages.awscloud.com/rs/112-TZM-766/images/20200715_AWSBlackBelt2020_AmazonDetective.pdf

    View full-size slide

  8. 8
    参考ワークショップ(クローズド)
    ● インシデント対応時のCSIRTの業務を擬似体験で
    きるワークショップ
    ● OpenSearch ServiceのWeb UIを主に利用
    ● ログ分析関連の事前知識はほぼ不要
    ○ 分析のやり方は教えてくれる
    ○ ただし 各AWSサービスの知識は必須
    ● 現在パブリック公開はされていないが、気になる方
    はお近くのAWSJの方にお問い合わせを。
    URL:
    https://dev.classmethod.jp/articles/aws-top-engineer-
    2022-security-incident-workshop-report/

    View full-size slide

  9. 9
    ワークショップの体験談
    ● セキュリティインシデント対応は大変
    ○ ログの相関分析をするとき、色々なログや調査結果を
    行き来することになる
    ○ 勘所がわかってないと、堂々巡りになり答えにいきつかない = 時間が
    かかる
    ● SIEM や インシデント対応フローの整備など事前準備が可能だ
    が、誰でもどの環境でも準備できるわけではない
    ○ 事前に準備しても対応に時間はかかる
    → 人間でやらずにAIを頼って自動化したい!
       〜そんな時にDetectiveが役に立つ〜

    View full-size slide

  10. 10
    本日話すこと
    ● Amazon Detectiveについて
    ● re:Invent2023期間内のアップデート紹介
    ● まとめ

    View full-size slide

  11. 11
    re:Inventで発表されたアップデート紹介
    re:Invent2023 期間中に発表されたもの:4件
    ● 11/27 IAM Investigations機能の追加
    (Amazon Detective announces investigations for IAM)
    ● 11/27 GuardDuty ECSランタイムモニタリングのセキュリティ調査のサポート
    (Amazon Detective supports security investigations for Amazon GuardDuty ECS
    Runtime Monitoring)
    ● 11/27 生成AIを使ったグループサマリ機能の追加
    (Amazon Detective introduces finding group summaries using generative AI)
    ● 11/27 Amazon Security Lakeからのログ取得に対応
    (Amazon Detective now supports log retrieval from Amazon Security Lake)

    View full-size slide

  12. 12
    IAM Investigations機能
    ● IAM ユーザーや IAM ロールを指定して調査
    することが可能
    ● 調査内容にはサマリー、異常なアクティビ
    ティ、TTP マッピングなどが含まれる
    ● 調査結果は json 形式でレポートとしてダウン
    ロード可能
    →攻撃者が利用したIAMロール特定後の調査に
    使えそう
    URL:
    https://dev.classmethod.jp/articles/update-amaz
    on-detective-investigation-feature-iam-resource/

    View full-size slide

  13. 13
    IAM Investigations機能、使ってみた

    View full-size slide

  14. 14
    IAM Investigations機能、使ってみた

    View full-size slide

  15. 15
    GuardDuty ECSランタイムモニタリングのセキュリティ調査
    ● GuardDuty ECS Runtime Monitoring
    (Fargate含む)の調査結果も
    Detectiveで調査可能に
    → 最新のGuardDutyアップデートも
    サポート
    URL:
    https://dev.classmethod.jp/articles/detecti
    ve-guardduty-ecs-runtime-monitoring/

    View full-size slide

  16. 16
    GuardDuty ECSランタイム〜、やってみた
    事前にGuardDutyのランタイムモニタリン
    グを有効化しておく

    作成したECS on Fargateクラスターに
    ECS Execでシェルログイン

    以下コマンドを実行
    # dig guarddutyc2activityb.com.
    # dig pool.supportxmr.com
    # curl pool.supportxmr.com

    View full-size slide

  17. 17
    GuardDuty ECSランタイム〜、やってみた

    View full-size slide

  18. 18
    生成AIを使ったグループサマリ機能の追加
    ● Detectiveによる調査結果グループの概
    要を生成系AIでわかりやすく表示してく
    れるようになった!
    → AIと会話しなくても済んで嬉しい!!!
    URL:
    https://dev.classmethod.jp/articles/updat
    e-detective-ai-generated-detection-results-
    group-overview-now-available/

    View full-size slide

  19. 19
    グループサマリ機能、使ってみた
    検知テスト後、1日(24時間)程度経過した後に検出

    View full-size slide

  20. 20
    いい感じにAIがサマリしてくれる
    以下、機械翻訳による日本語化
    --------------------------------------------------
    侵害された EC2 インスタンス i-0d2fa556c2a2526e8 が検出、ブルート
    フォース、データ抽出を実行
    EC2 インスタンス i-0d2fa556c2a2526e8 は、IP 172.16.0.20 から
    172.16.0.20、172.16.0.27、および 172.16.0.28 に対して SSH、RDP、お
    よびポートスキャン ブルート フォース攻撃を実行しました。
    i-0d2fa556c2a2526e8 C&C サーバーとビットコイン活動に関連するドメ
    インを照会しました
    i-0d2fa556c2a2526e8 は、流出したデータに似たアウトバウンド DNS
    クエリを実行しました
    i-0d2fa556c2a2526e8 にはローカル権限昇格の脆弱性があります
    172.16.0.20 が i-0c046f4b9cfc936a2 および i-01d702667393077a7 に
    対して SSH ブルート フォースを実行しました

    View full-size slide

  21. 21
    Amazon Security Lakeからのログ取得に対応
    ● DetectiveとSecurity Lakeを統合すること
    で、Detective GUI上でAthaneクエリを
    実行可能になった
    → 問題箇所の特定から生ログの調査ま
    で、シームレスに実行できる
    URL:
    https://dev.classmethod.jp/articles/amaz
    on-detective-supports-integration-with-se
    curity-lake-awsreinvent/

    View full-size slide

  22. 22
    Security Lake統合、やってみた
    サービス統合の流れ(Cross Accountの場合)
    Security Lakeのサブスクライバーを作成

    Detectiveアカウント側にIAMロールを作成する

    Resource共有の許可、Glue Crawlerの作成、
    LakeFormation設定
    (※コンソールで生成するCFnで設定可)

    統合実施!

    View full-size slide

  23. 23
    Security Lake統合、やってみた
    何らかのテストでGuardDutyを検知させた後...

    View full-size slide

  24. 24
    Security Lake統合、やってみた
    画面遷移なしで、Athenaでクエリできる!

    View full-size slide

  25. 25
    本日話すこと
    ● Amazon Detectiveについて
    ● re:Invent2023期間内のアップデート紹介
    ● まとめ

    View full-size slide

  26. 26
    まとめ
    ● re:Invent2023、最高!
    ● Amazon Detectiveはセキュリティインシデント調査を手助
    けするマネージドサービス
    ● re:Invent2023でのアップデートは4つ!
    ○ すぐ使える「グループサマリ」「IAM調査」からお試しを!

    View full-size slide

  27. 27
    もっと詳しく知りたい方はこちらの動画を!
    ・[LAUNCH] Elevate your security investigations using generative AI (SEC244)
    動画URL:https://www.youtube.com/watch?v=Vf-s3ZQmJhc

    View full-size slide