Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG_YOKOHAMA_20231204

h-ashisan
December 04, 2023
Technology
0
900

 JAWS-UG_YOKOHAMA_20231204

h-ashisan

December 04, 2023
Tweet

More Decks by h-ashisan

See All by h-ashisan
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
280
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
430
20240724_cm_odyssey_hibiyatech
hiashisan
0
280
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
650
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
460
20240617_IAM MFAのパスキー対応を理解したい_今更多要素認証とパスキーについてキャッチアップしてみた
hiashisan
0
660
まるクラ勉強会#2_CloudTrail管理戦略
hiashisan
2
520
AIOpsを活用してAWS監視を体験してみた 〜EC2も監視できるよ〜
hiashisan
1
1.5k
20231025_HibiyaTech#1_SecurityLake
hiashisan
0
670

Other Decks in Technology

See All in Technology
Can We Measure Developer Productivity?
ewolff
1
110
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
240
エンジニア候補者向け資料2024.11.07.pdf
macloud
0
4.6k
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
140
データ活用促進のためのデータ分析基盤の進化
takumakouno
2
760
Going down the RAT hole: Deep dive into the Vuln-derland of APT-class RAT Tools
nttcom
0
280
エンジニアが一生困らない ドキュメント作成の基本
naohiro_nakata
2
160
Amazon CloudWatch Network Monitor のススメ
yuki_ink
0
160
The Role of Developer Relations in AI Product Success.
giftojabu1
0
110
AWS⼊社という選択肢、⾒えていますか
iwamot
2
1.1k
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
260
20241108_CS_LLMMT
shigashiyama
0
260

Featured

See All Featured
Designing the Hi-DPI Web
ddemaree
280
34k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.9k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
How GitHub (no longer) Works
holman
310
140k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Speed Design
sergeychernyshev
24
610
Statistics for Hackers
jakevdp
796
220k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k

Transcript

  1. re:Invent 2023 お疲れ様でした! Amazon Detectiveの最新アップデートを 5分でキャッチアップしよう 1

  2. 自己紹介 名前:芦沢広昭 / @ashi_ssan(あしさん) 所属:クラスメソッド株式会社 AWS事業本部 コンサルティング部 / ソリューションアーキテクト 入社:2021年9月

    (≒ AWS歴) 好きなAWSサービス: AWS Control Tower ※JAWS-UG 横浜 初参加 & 初登壇です! 2

  3. 3 率直な雑感想 • 今年で2回目(初回は2022) ◦ 今年も参加させてくれた弊社に感謝!!! • 体力管理の大切さに気づかされた ◦ 5K

    runを全力で参加して平気な方すごい • ワーナーのKeynoteがエモくてよかった ◦ 感想話すと、話が弾む • 早くも re:Invent 2024に行きたい ◦ まずは re:Inforce 2024だ!!!

  4. 4 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ

  5. 5 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ

  6. • AWSにおけるフルマネージドセキュリティサービス ◦ セキュリティインシデント発生時の「調査」を楽に ◦ NIST CSFにおける 「検知(DETECT)」→「対応(RESPONSE)」を橋渡しする 『調査(INVESTIGATION)』に相当 6

    Amazon Detectiveとは?

  7. 7 AWSサービスで表すと... 引用元: https://pages.awscloud.com/rs/112-TZM-766/images/20200715_AWSBlackBelt2020_AmazonDetective.pdf

  8. 8 参考ワークショップ(クローズド) • インシデント対応時のCSIRTの業務を擬似体験で きるワークショップ • OpenSearch ServiceのWeb UIを主に利用 •

    ログ分析関連の事前知識はほぼ不要 ◦ 分析のやり方は教えてくれる ◦ ただし 各AWSサービスの知識は必須 • 現在パブリック公開はされていないが、気になる方 はお近くのAWSJの方にお問い合わせを。 URL: https://dev.classmethod.jp/articles/aws-top-engineer- 2022-security-incident-workshop-report/

  9. 9 ワークショップの体験談 • セキュリティインシデント対応は大変 ◦ ログの相関分析をするとき、色々なログや調査結果を 行き来することになる ◦ 勘所がわかってないと、堂々巡りになり答えにいきつかない =

    時間が かかる • SIEM や インシデント対応フローの整備など事前準備が可能だ が、誰でもどの環境でも準備できるわけではない ◦ 事前に準備しても対応に時間はかかる → 人間でやらずにAIを頼って自動化したい!    〜そんな時にDetectiveが役に立つ〜

  10. 10 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ

  11. 11 re:Inventで発表されたアップデート紹介 re:Invent2023 期間中に発表されたもの:4件 • 11/27 IAM Investigations機能の追加 (Amazon Detective

    announces investigations for IAM) • 11/27 GuardDuty ECSランタイムモニタリングのセキュリティ調査のサポート (Amazon Detective supports security investigations for Amazon GuardDuty ECS Runtime Monitoring) • 11/27 生成AIを使ったグループサマリ機能の追加 (Amazon Detective introduces finding group summaries using generative AI) • 11/27 Amazon Security Lakeからのログ取得に対応 (Amazon Detective now supports log retrieval from Amazon Security Lake)

  12. 12 IAM Investigations機能 • IAM ユーザーや IAM ロールを指定して調査 することが可能 •

    調査内容にはサマリー、異常なアクティビ ティ、TTP マッピングなどが含まれる • 調査結果は json 形式でレポートとしてダウン ロード可能 →攻撃者が利用したIAMロール特定後の調査に 使えそう URL: https://dev.classmethod.jp/articles/update-amaz on-detective-investigation-feature-iam-resource/

  13. 13 IAM Investigations機能、使ってみた

  14. 14 IAM Investigations機能、使ってみた

  15. 15 GuardDuty ECSランタイムモニタリングのセキュリティ調査 • GuardDuty ECS Runtime Monitoring (Fargate含む)の調査結果も Detectiveで調査可能に

    → 最新のGuardDutyアップデートも サポート URL: https://dev.classmethod.jp/articles/detecti ve-guardduty-ecs-runtime-monitoring/

  16. 16 GuardDuty ECSランタイム〜、やってみた 事前にGuardDutyのランタイムモニタリン グを有効化しておく ↓ 作成したECS on Fargateクラスターに ECS

    Execでシェルログイン ↓ 以下コマンドを実行 # dig guarddutyc2activityb.com. # dig pool.supportxmr.com # curl pool.supportxmr.com

  17. 17 GuardDuty ECSランタイム〜、やってみた

  18. 18 生成AIを使ったグループサマリ機能の追加 • Detectiveによる調査結果グループの概 要を生成系AIでわかりやすく表示してく れるようになった! → AIと会話しなくても済んで嬉しい!!! URL: https://dev.classmethod.jp/articles/updat

    e-detective-ai-generated-detection-results- group-overview-now-available/

  19. 19 グループサマリ機能、使ってみた 検知テスト後、1日(24時間)程度経過した後に検出

  20. 20 いい感じにAIがサマリしてくれる 以下、機械翻訳による日本語化 -------------------------------------------------- 侵害された EC2 インスタンス i-0d2fa556c2a2526e8 が検出、ブルート フォース、データ抽出を実行

    EC2 インスタンス i-0d2fa556c2a2526e8 は、IP 172.16.0.20 から 172.16.0.20、172.16.0.27、および 172.16.0.28 に対して SSH、RDP、お よびポートスキャン ブルート フォース攻撃を実行しました。 i-0d2fa556c2a2526e8 C&C サーバーとビットコイン活動に関連するドメ インを照会しました i-0d2fa556c2a2526e8 は、流出したデータに似たアウトバウンド DNS クエリを実行しました i-0d2fa556c2a2526e8 にはローカル権限昇格の脆弱性があります 172.16.0.20 が i-0c046f4b9cfc936a2 および i-01d702667393077a7 に 対して SSH ブルート フォースを実行しました

  21. 21 Amazon Security Lakeからのログ取得に対応 • DetectiveとSecurity Lakeを統合すること で、Detective GUI上でAthaneクエリを 実行可能になった

    → 問題箇所の特定から生ログの調査ま で、シームレスに実行できる URL: https://dev.classmethod.jp/articles/amaz on-detective-supports-integration-with-se curity-lake-awsreinvent/

  22. 22 Security Lake統合、やってみた サービス統合の流れ(Cross Accountの場合) Security Lakeのサブスクライバーを作成 ↓ Detectiveアカウント側にIAMロールを作成する ↓

    Resource共有の許可、Glue Crawlerの作成、 LakeFormation設定 (※コンソールで生成するCFnで設定可) ↓ 統合実施!

  23. 23 Security Lake統合、やってみた 何らかのテストでGuardDutyを検知させた後...

  24. 24 Security Lake統合、やってみた 画面遷移なしで、Athenaでクエリできる!

  25. 25 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ

  26. 26 まとめ • re:Invent2023、最高! • Amazon Detectiveはセキュリティインシデント調査を手助 けするマネージドサービス • re:Invent2023でのアップデートは4つ!

    ◦ すぐ使える「グループサマリ」「IAM調査」からお試しを!

  27. 27 もっと詳しく知りたい方はこちらの動画を! ・[LAUNCH] Elevate your security investigations using generative AI

    (SEC244) 動画URL:https://www.youtube.com/watch?v=Vf-s3ZQmJhc

  28. 28