JAWS-UG_YOKOHAMA_20231204

by h-ashisan

Slide 1

Slide 1 text

re:Invent 2023 お疲れ様でした！ Amazon Detectiveの最新アップデートを 5分でキャッチアップしよう 1

Slide 2

Slide 2 text

自己紹介名前：芦沢広昭 / @ashi_ssan(あしさん) 所属：クラスメソッド株式会社 AWS事業本部コンサルティング部 / ソリューションアーキテクト入社：2021年9月 (≒ AWS歴) 好きなAWSサービス: AWS Control Tower ※JAWS-UG 横浜初参加 & 初登壇です！ 2

Slide 3

Slide 3 text

3 率直な雑感想 ● 今年で2回目（初回は2022） ○ 今年も参加させてくれた弊社に感謝！！！ ● 体力管理の大切さに気づかされた ○ 5K runを全力で参加して平気な方すごい ● ワーナーのKeynoteがエモくてよかった ○ 感想話すと、話が弾む ● 早くも re:Invent 2024に行きたい ○ まずは re:Inforce 2024だ！！！

Slide 4

Slide 4 text

4 本日話すこと ● Amazon Detectiveについて ● re:Invent2023期間内のアップデート紹介 ● まとめ

Slide 5

Slide 5 text

5 本日話すこと ● Amazon Detectiveについて ● re:Invent2023期間内のアップデート紹介 ● まとめ

Slide 6

Slide 6 text

● AWSにおけるフルマネージドセキュリティサービス ○ セキュリティインシデント発生時の「調査」を楽に ○ NIST CSFにおける「検知(DETECT)」→「対応(RESPONSE)」を橋渡しする『調査(INVESTIGATION)』に相当 6 Amazon Detectiveとは？

Slide 7

Slide 7 text

7 AWSサービスで表すと... 引用元: https://pages.awscloud.com/rs/112-TZM-766/images/20200715_AWSBlackBelt2020_AmazonDetective.pdf

Slide 8

Slide 8 text

8 参考ワークショップ（クローズド） ● インシデント対応時のCSIRTの業務を擬似体験できるワークショップ ● OpenSearch ServiceのWeb UIを主に利用 ● ログ分析関連の事前知識はほぼ不要 ○ 分析のやり方は教えてくれる ○ ただし各AWSサービスの知識は必須 ● 現在パブリック公開はされていないが、気になる方はお近くのAWSJの方にお問い合わせを。 URL: https://dev.classmethod.jp/articles/aws-top-engineer- 2022-security-incident-workshop-report/

Slide 9

Slide 9 text

9 ワークショップの体験談 ● セキュリティインシデント対応は大変 ○ ログの相関分析をするとき、色々なログや調査結果を行き来することになる ○ 勘所がわかってないと、堂々巡りになり答えにいきつかない = 時間がかかる ● SIEM やインシデント対応フローの整備など事前準備が可能だが、誰でもどの環境でも準備できるわけではない ○ 事前に準備しても対応に時間はかかる → 人間でやらずにAIを頼って自動化したい！　　　〜そんな時にDetectiveが役に立つ〜

Slide 10

Slide 10 text

10 本日話すこと ● Amazon Detectiveについて ● re:Invent2023期間内のアップデート紹介 ● まとめ

Slide 11

Slide 11 text

11 re:Inventで発表されたアップデート紹介 re:Invent2023 期間中に発表されたもの：4件 ● 11/27 IAM Investigations機能の追加（Amazon Detective announces investigations for IAM） ● 11/27 GuardDuty ECSランタイムモニタリングのセキュリティ調査のサポート（Amazon Detective supports security investigations for Amazon GuardDuty ECS Runtime Monitoring） ● 11/27 生成AIを使ったグループサマリ機能の追加（Amazon Detective introduces finding group summaries using generative AI） ● 11/27 Amazon Security Lakeからのログ取得に対応（Amazon Detective now supports log retrieval from Amazon Security Lake）

Slide 12

Slide 12 text

12 IAM Investigations機能 ● IAM ユーザーや IAM ロールを指定して調査することが可能 ● 調査内容にはサマリー、異常なアクティビティ、TTP マッピングなどが含まれる ● 調査結果は json 形式でレポートとしてダウンロード可能 →攻撃者が利用したIAMロール特定後の調査に使えそう URL: https://dev.classmethod.jp/articles/update-amaz on-detective-investigation-feature-iam-resource/

Slide 13

Slide 13 text

13 IAM Investigations機能、使ってみた

Slide 14

Slide 14 text

14 IAM Investigations機能、使ってみた

Slide 15

Slide 15 text

15 GuardDuty ECSランタイムモニタリングのセキュリティ調査 ● GuardDuty ECS Runtime Monitoring （Fargate含む）の調査結果も Detectiveで調査可能に → 最新のGuardDutyアップデートもサポート URL: https://dev.classmethod.jp/articles/detecti ve-guardduty-ecs-runtime-monitoring/

Slide 16

Slide 16 text

16 GuardDuty ECSランタイム〜、やってみた事前にGuardDutyのランタイムモニタリングを有効化しておく ↓ 作成したECS on Fargateクラスターに ECS Execでシェルログイン ↓ 以下コマンドを実行 # dig guarddutyc2activityb.com. # dig pool.supportxmr.com # curl pool.supportxmr.com

Slide 17

Slide 17 text

17 GuardDuty ECSランタイム〜、やってみた

Slide 18

Slide 18 text

18 生成AIを使ったグループサマリ機能の追加 ● Detectiveによる調査結果グループの概要を生成系AIでわかりやすく表示してくれるようになった！ → AIと会話しなくても済んで嬉しい！！！ URL: https://dev.classmethod.jp/articles/updat e-detective-ai-generated-detection-results- group-overview-now-available/

Slide 19

Slide 19 text

19 グループサマリ機能、使ってみた検知テスト後、1日(24時間)程度経過した後に検出

Slide 20

Slide 20 text

20 いい感じにAIがサマリしてくれる以下、機械翻訳による日本語化 -------------------------------------------------- 侵害された EC2 インスタンス i-0d2fa556c2a2526e8 が検出、ブルートフォース、データ抽出を実行 EC2 インスタンス i-0d2fa556c2a2526e8 は、IP 172.16.0.20 から 172.16.0.20、172.16.0.27、および 172.16.0.28 に対して SSH、RDP、およびポートスキャンブルートフォース攻撃を実行しました。 i-0d2fa556c2a2526e8 C&C サーバーとビットコイン活動に関連するドメインを照会しました i-0d2fa556c2a2526e8 は、流出したデータに似たアウトバウンド DNS クエリを実行しました i-0d2fa556c2a2526e8 にはローカル権限昇格の脆弱性があります 172.16.0.20 が i-0c046f4b9cfc936a2 および i-01d702667393077a7 に対して SSH ブルートフォースを実行しました

Slide 21

Slide 21 text

21 Amazon Security Lakeからのログ取得に対応 ● DetectiveとSecurity Lakeを統合することで、Detective GUI上でAthaneクエリを実行可能になった → 問題箇所の特定から生ログの調査まで、シームレスに実行できる URL: https://dev.classmethod.jp/articles/amaz on-detective-supports-integration-with-se curity-lake-awsreinvent/

Slide 22

Slide 22 text

22 Security Lake統合、やってみたサービス統合の流れ(Cross Accountの場合) Security Lakeのサブスクライバーを作成 ↓ Detectiveアカウント側にIAMロールを作成する ↓ Resource共有の許可、Glue Crawlerの作成、 LakeFormation設定（※コンソールで生成するCFnで設定可） ↓ 統合実施！

Slide 23

Slide 23 text

23 Security Lake統合、やってみた何らかのテストでGuardDutyを検知させた後...

Slide 24

Slide 24 text

24 Security Lake統合、やってみた画面遷移なしで、Athenaでクエリできる！

Slide 25

Slide 25 text

25 本日話すこと ● Amazon Detectiveについて ● re:Invent2023期間内のアップデート紹介 ● まとめ

Slide 26

Slide 26 text

26 まとめ ● re:Invent2023、最高！ ● Amazon Detectiveはセキュリティインシデント調査を手助けするマネージドサービス ● re:Invent2023でのアップデートは4つ! ○ すぐ使える「グループサマリ」「IAM調査」からお試しを！

Slide 27

Slide 27 text

27 もっと詳しく知りたい方はこちらの動画を！・[LAUNCH] Elevate your security investigations using generative AI （SEC244）動画URL：https://www.youtube.com/watch?v=Vf-s3ZQmJhc