Open5
リスキリング!40代おっさんのAWSセキュリティ(脅威検知とモニタリング)
AWS セキュリティ(脅威検知とモニタリング)-Security Lake-
セキュリティデータを一元管理できる。
対象はAWS、オンプレミス、サードパーティ製品。
OCSF(Open Cybersecurity Schema Framework) を採用している。
有効かはスタンドアロンAWSアカウント、AWS Oraganization 管理アカウント。
AWS セキュリティ(脅威検知とモニタリング)-設定による脆弱性の監視-
1. パブリックアクセス禁止
- RDS ⇒ Config:rds-instance-public-access-check
- S3 ⇒ ???
2. KMS キーの削除
- KMS ⇒ EventBridge ⇒ SNS
KMSのDisableKey、ScheduleKeyDeletionのAPIイベントをキャッチ。
EventBridge ⇒ SSM のオートメーションランブックで修復も可能。
3. EC2インスタンスのネットワーク
- Amazon Inspector Network Reachability
EC2のネットワーク到達性を評価
AWS セキュリティ(脅威検知とモニタリング)-脅威検知-
- Guard Duty
- S3 Protection
- Policy:S3/BucketAnonymousAccessGranted
バケットがインターネットに公開された - Policy:S3/BucketPublicAccessGranted
全てのAWSユーザにS3バケットへのパブリックアクセスを許可した
- Policy:S3/BucketAnonymousAccessGranted
- S3 Protection
- Security Hub
- セキュリティ検出結果の一元管理
- 業界標準のセキュリティ診断(CISベンチマークなど)
- EventBridgeとの統合により特定の検出結果への自動対策が可能
AWS セキュリティ(脅威検知とモニタリング)-通知-
- GuardDuty ⇒ Eventbridge ⇒ SNS
AWS セキュリティ(脅威検知とモニタリング)-ロギング-
- AWSリソースの操作の記録
- CloudTrail
AWS操作のログ
Cloudwatch Logsに転送することでリアルタイム監視が可能
1つの証跡で複数リージョンから1つのS3やCloudWatch Logsにログを集約できる。
- CloudTrail
- ネットワークサービスのログ
- WAF
ログの内容:
保存先:S3、Amazon Data Firehose、CloudWatch Logs - ALB
ログの内容:
保存先:S3のみ? - VPCフローログ
ログの内容:
保存先:S3、CloudWatch Logs
- WAF