Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWS-UG_YOKOHAMA_20231204
Search
h-ashisan
December 04, 2023
Technology
1.2k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
JAWS-UG_YOKOHAMA_20231204
h-ashisan
December 04, 2023
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
690
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
460
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
900
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.7k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
840
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
830
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
890
20240724_cm_odyssey_hibiyatech
hiashisan
0
630
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.5k
Other Decks in Technology
See All in Technology
Agentic Web
dynamis
1
210
非エンジニアがClaudeと挑んだ「1ヶ月間プロダクト30本ノック」
askokc
0
380
FinOps × AIエージェントで実現する コストインシデントの自動調査
oasis1994liveforever
0
130
失敗を資産に変えるClaude Code
shinyasaita
0
540
AIっぽい文章を採点して人間らしく直すアプリを作ってみた
yama3133
2
130
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
line_developers_tw
PRO
0
860
小さくはじめるSLI/SLO ~育てながら組織に定着させる実践知~ / Starting Small with SLI/SLOs: Building Adoption Through Continuous Growth
nari_ex
7
1.8k
作って終わりにしない タイミーのセマンティックレイヤー育成の現在地
chanyou0311
4
2.2k
AIの性能が向上しても未解決な組織の重大問題は何か?/An Unsolved Organizational Problem in the Age of AI
moriyuya
4
620
RSA暗号を手計算したくなること、ありますよね?? (20260615_orestudy6_rsa)
thousanda
0
290
Claude Codeをどのように キャッチアップしているか
oikon48
12
6.5k
エラーバジェットのアラートのタイミングを考える.pdf
kairim0
0
130
Featured
See All Featured
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
240
Marketing to machines
jonoalderson
1
5.4k
Unsuck your backbone
ammeep
672
58k
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
200
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
940
Paper Plane
katiecoart
PRO
1
51k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.5k
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
560
Building a Scalable Design System with Sketch
lauravandoore
463
34k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
11k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
1
1.7k
Transcript
re:Invent 2023 お疲れ様でした! Amazon Detectiveの最新アップデートを 5分でキャッチアップしよう 1
自己紹介 名前:芦沢広昭 / @ashi_ssan(あしさん) 所属:クラスメソッド株式会社 AWS事業本部 コンサルティング部 / ソリューションアーキテクト 入社:2021年9月
(≒ AWS歴) 好きなAWSサービス: AWS Control Tower ※JAWS-UG 横浜 初参加 & 初登壇です! 2
3 率直な雑感想 • 今年で2回目(初回は2022) ◦ 今年も参加させてくれた弊社に感謝!!! • 体力管理の大切さに気づかされた ◦ 5K
runを全力で参加して平気な方すごい • ワーナーのKeynoteがエモくてよかった ◦ 感想話すと、話が弾む • 早くも re:Invent 2024に行きたい ◦ まずは re:Inforce 2024だ!!!
4 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ
5 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ
• AWSにおけるフルマネージドセキュリティサービス ◦ セキュリティインシデント発生時の「調査」を楽に ◦ NIST CSFにおける 「検知(DETECT)」→「対応(RESPONSE)」を橋渡しする 『調査(INVESTIGATION)』に相当 6
Amazon Detectiveとは?
7 AWSサービスで表すと... 引用元: https://pages.awscloud.com/rs/112-TZM-766/images/20200715_AWSBlackBelt2020_AmazonDetective.pdf
8 参考ワークショップ(クローズド) • インシデント対応時のCSIRTの業務を擬似体験で きるワークショップ • OpenSearch ServiceのWeb UIを主に利用 •
ログ分析関連の事前知識はほぼ不要 ◦ 分析のやり方は教えてくれる ◦ ただし 各AWSサービスの知識は必須 • 現在パブリック公開はされていないが、気になる方 はお近くのAWSJの方にお問い合わせを。 URL: https://dev.classmethod.jp/articles/aws-top-engineer- 2022-security-incident-workshop-report/
9 ワークショップの体験談 • セキュリティインシデント対応は大変 ◦ ログの相関分析をするとき、色々なログや調査結果を 行き来することになる ◦ 勘所がわかってないと、堂々巡りになり答えにいきつかない =
時間が かかる • SIEM や インシデント対応フローの整備など事前準備が可能だ が、誰でもどの環境でも準備できるわけではない ◦ 事前に準備しても対応に時間はかかる → 人間でやらずにAIを頼って自動化したい! 〜そんな時にDetectiveが役に立つ〜
10 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ
11 re:Inventで発表されたアップデート紹介 re:Invent2023 期間中に発表されたもの:4件 • 11/27 IAM Investigations機能の追加 (Amazon Detective
announces investigations for IAM) • 11/27 GuardDuty ECSランタイムモニタリングのセキュリティ調査のサポート (Amazon Detective supports security investigations for Amazon GuardDuty ECS Runtime Monitoring) • 11/27 生成AIを使ったグループサマリ機能の追加 (Amazon Detective introduces finding group summaries using generative AI) • 11/27 Amazon Security Lakeからのログ取得に対応 (Amazon Detective now supports log retrieval from Amazon Security Lake)
12 IAM Investigations機能 • IAM ユーザーや IAM ロールを指定して調査 することが可能 •
調査内容にはサマリー、異常なアクティビ ティ、TTP マッピングなどが含まれる • 調査結果は json 形式でレポートとしてダウン ロード可能 →攻撃者が利用したIAMロール特定後の調査に 使えそう URL: https://dev.classmethod.jp/articles/update-amaz on-detective-investigation-feature-iam-resource/
13 IAM Investigations機能、使ってみた
14 IAM Investigations機能、使ってみた
15 GuardDuty ECSランタイムモニタリングのセキュリティ調査 • GuardDuty ECS Runtime Monitoring (Fargate含む)の調査結果も Detectiveで調査可能に
→ 最新のGuardDutyアップデートも サポート URL: https://dev.classmethod.jp/articles/detecti ve-guardduty-ecs-runtime-monitoring/
16 GuardDuty ECSランタイム〜、やってみた 事前にGuardDutyのランタイムモニタリン グを有効化しておく ↓ 作成したECS on Fargateクラスターに ECS
Execでシェルログイン ↓ 以下コマンドを実行 # dig guarddutyc2activityb.com. # dig pool.supportxmr.com # curl pool.supportxmr.com
17 GuardDuty ECSランタイム〜、やってみた
18 生成AIを使ったグループサマリ機能の追加 • Detectiveによる調査結果グループの概 要を生成系AIでわかりやすく表示してく れるようになった! → AIと会話しなくても済んで嬉しい!!! URL: https://dev.classmethod.jp/articles/updat
e-detective-ai-generated-detection-results- group-overview-now-available/
19 グループサマリ機能、使ってみた 検知テスト後、1日(24時間)程度経過した後に検出
20 いい感じにAIがサマリしてくれる 以下、機械翻訳による日本語化 -------------------------------------------------- 侵害された EC2 インスタンス i-0d2fa556c2a2526e8 が検出、ブルート フォース、データ抽出を実行
EC2 インスタンス i-0d2fa556c2a2526e8 は、IP 172.16.0.20 から 172.16.0.20、172.16.0.27、および 172.16.0.28 に対して SSH、RDP、お よびポートスキャン ブルート フォース攻撃を実行しました。 i-0d2fa556c2a2526e8 C&C サーバーとビットコイン活動に関連するドメ インを照会しました i-0d2fa556c2a2526e8 は、流出したデータに似たアウトバウンド DNS クエリを実行しました i-0d2fa556c2a2526e8 にはローカル権限昇格の脆弱性があります 172.16.0.20 が i-0c046f4b9cfc936a2 および i-01d702667393077a7 に 対して SSH ブルート フォースを実行しました
21 Amazon Security Lakeからのログ取得に対応 • DetectiveとSecurity Lakeを統合すること で、Detective GUI上でAthaneクエリを 実行可能になった
→ 問題箇所の特定から生ログの調査ま で、シームレスに実行できる URL: https://dev.classmethod.jp/articles/amaz on-detective-supports-integration-with-se curity-lake-awsreinvent/
22 Security Lake統合、やってみた サービス統合の流れ(Cross Accountの場合) Security Lakeのサブスクライバーを作成 ↓ Detectiveアカウント側にIAMロールを作成する ↓
Resource共有の許可、Glue Crawlerの作成、 LakeFormation設定 (※コンソールで生成するCFnで設定可) ↓ 統合実施!
23 Security Lake統合、やってみた 何らかのテストでGuardDutyを検知させた後...
24 Security Lake統合、やってみた 画面遷移なしで、Athenaでクエリできる!
25 本日話すこと • Amazon Detectiveについて • re:Invent2023期間内のアップデート紹介 • まとめ
26 まとめ • re:Invent2023、最高! • Amazon Detectiveはセキュリティインシデント調査を手助 けするマネージドサービス • re:Invent2023でのアップデートは4つ!
◦ すぐ使える「グループサマリ」「IAM調査」からお試しを!
27 もっと詳しく知りたい方はこちらの動画を! ・[LAUNCH] Elevate your security investigations using generative AI
(SEC244) 動画URL:https://www.youtube.com/watch?v=Vf-s3ZQmJhc
28
hiashisan
dynamis
askokc
oasis1994liveforever
shinyasaita
yama3133
line_developers_tw
nari_ex
chanyou0311
moriyuya
thousanda
oikon48
kairim0
nikkihalliwell
jonoalderson
ammeep
sabderemane
jeffersonlam
tammyeverts
katiecoart
kevinliebholz
reverentgeek
lauravandoore
aleyda
uxyall
![27 もっと詳しく知りたい方はこちらの動画を! ・[LAUNCH] Elevate your security investigations using generative AI](https://files.speakerdeck.com/presentations/4fc7997058f54804a53f245e29d53cb9/slide_26.jpg){kind=link}
