AWS セキュリティ(脅威検知とモニタリング)-Security Lake-

セキュリティデータを一元管理できる。
対象はAWS、オンプレミス、サードパーティ製品。
OCSF(Open Cybersecurity Schema Framework) を採用している。
有効かはスタンドアロンAWSアカウント、AWS Oraganization 管理アカウント。

AWS セキュリティ(脅威検知とモニタリング)-設定変更の監視-

1. パブリックアクセス禁止

• RDS ⇒ Config：rds-instance-public-access-check
• S3 ⇒ ？？？

2. KMS キーの削除

• KMS ⇒ EventBridge ⇒ SNS
  KMSのDisableKey、ScheduleKeyDeletionのAPIイベントをキャッチ。
  EventBridge ⇒ SSM のオートメーションランブックで修復も可能。

AWS セキュリティ(脅威検知とモニタリング)-脅威検知-

1. Guard Duty
   • S3 Protection
     • Policy:S3/BucketAnonymousAccessGranted
       バケットがインターネットに公開された
     • Policy:S3/BucketPublicAccessGranted
       全てのAWSユーザにS3バケットへのパブリックアクセスを許可した
2. Security Hub
   • セキュリティ検出結果の一元管理
   • 業界標準のセキュリティ診断(CISベンチマークなど)
   • EventBridgeとの統合により特定の検出結果への自動対策が可能

AWS セキュリティ(脅威検知とモニタリング)-通知-

1. GuardDuty ⇒ Eventbridge ⇒ SNS

AWS セキュリティ(脅威検知とモニタリング)-ロギング-

1. AWSリソースの操作の記録
   • CloudTrail
     Cloudwatch Logsに転送することでリアルタイム監視が可能
2. ネットワークサービスのログ
   • WAF
     ログの内容：
     保存先：S3、Amazon Data Firehose、CloudWatch Logs
   • ALB
     ログの内容：
     保存先：S3のみ？
   • VPCフローログ
     ログの内容：
     保存先：S3、CloudWatch Logs