Open5

リスキリング!40代おっさんのAWSセキュリティ(脅威検知とモニタリング)

ththrobotththrobot

AWS セキュリティ(脅威検知とモニタリング)-Security Lake-

セキュリティデータを一元管理できる。
対象はAWS、オンプレミス、サードパーティ製品。
OCSF(Open Cybersecurity Schema Framework) を採用している。
有効かはスタンドアロンAWSアカウント、AWS Oraganization 管理アカウント。

ththrobotththrobot

AWS セキュリティ(脅威検知とモニタリング)-設定変更の監視-

1. パブリックアクセス禁止

  • RDS ⇒ Config:rds-instance-public-access-check
  • S3 ⇒ ???

2. KMS キーの削除

  • KMS ⇒ EventBridge ⇒ SNS
    KMSのDisableKey、ScheduleKeyDeletionのAPIイベントをキャッチ。
    EventBridge ⇒ SSM のオートメーションランブックで修復も可能。
ththrobotththrobot

AWS セキュリティ(脅威検知とモニタリング)-脅威検知-

  1. Guard Duty
    • S3 Protection
      • Policy:S3/BucketAnonymousAccessGranted
        バケットがインターネットに公開された
      • Policy:S3/BucketPublicAccessGranted
        全てのAWSユーザにS3バケットへのパブリックアクセスを許可した
  2. Security Hub
    • セキュリティ検出結果の一元管理
    • 業界標準のセキュリティ診断(CISベンチマークなど)
    • EventBridgeとの統合により特定の検出結果への自動対策が可能
ththrobotththrobot

AWS セキュリティ(脅威検知とモニタリング)-通知-

  1. GuardDuty ⇒ Eventbridge ⇒ SNS
ththrobotththrobot

AWS セキュリティ(脅威検知とモニタリング)-ロギング-

  1. AWSリソースの操作の記録
    • CloudTrail
      Cloudwatch Logsに転送することでリアルタイム監視が可能
  2. ネットワークサービスのログ
    • WAF
      ログの内容:
      保存先:S3、Amazon Data Firehose、CloudWatch Logs
    • ALB
      ログの内容:
      保存先:S3のみ?
    • VPCフローログ
      ログの内容:
      保存先:S3、CloudWatch Logs