Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSアカウントのセキュリティインシデント調査どうする? Amazon Detective...

AWSアカウントのセキュリティインシデント調査どうする? Amazon Detectiveを利用した調査の勘所

cm-usuda-keisuke

June 25, 2021
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. 8 SEC6のベストプラクティス SEC 6: コンピューティングリソースをどのように保護 していますか? • 脆弱性管理を実⾏する • 攻撃領域を削減する

    • マネージドサービスを活⽤する • コンピューティング保護を⾃動化する • ユーザーが遠距離でアクションを実⾏できるように する • ソフトウェアの整合性を検証する
  2. 14 SEC10のベストプラクティス SEC 10: インシデントの予測、対応、復旧はどのように⾏い ますか? • 重要な⼈員と外部リソースを特定する • インシデント管理計画を作成する

    • フォレンジック機能を備える • 封じ込め機能を⾃動化する • アクセスを事前にプロビジョニングする • ツールを事前にデプロイする • ゲームデーを実施する
  3. 17 GuardDutyをトリガーとするインシデント対応フロー 1. GuardDutyによるインシデント検知 2. CloudTrail / VPC Flow Logs

    / Athenaなどによ るログ調査 3. インシデントの優先度判断 4. 影響範囲の確認 5. インシデント対応
  4. 18 GuardDutyをトリガーとするインシデント対応フロー 1. GuardDutyによるイベント検知 2. CloudTrail / VPC Flow Logs

    / Athenaなどによ るログ調査 ← ここ 3. インシデントの優先度判断 4. 影響範囲の確認 5. インシデント対応 Amazon Detectiveで簡単に調査できる
  5. 22 Amazon Detectiveとは • インシデント対応フローの「調査」の役割 • 従来はCloudTrailやVPCフローログなど各種ログを ⾃分で集めて、Athenaやエクセルなどで⾃分で分析 する必要があった •

    VPC Flow Logs / CloudTrail / GuardDuty Findingsを⾃動で取り込む • 各エンティティ間を⾃動で関連付け • わかりやすいグラフやマップで視覚化
  6. 31 コインマイニングの対応 • GuardDuty Findings 「CryptoCurrency:EC2/BitcoinTool.B」など • データソース: VPCフローログ /

    DNSログ • 100%マイニングされていると思っていい • なぜマイニングされるのか︖ • IAMが乗っ取られている • EC2が乗っ取られている • どちらかで調査する先や対応が変わる
  7. 33 コインマイニングの対応 • ユーザーがいつ作られたか • 誰が作ったか • 攻撃者が作ったなら更にその元をたどる • どこからクレデンシャルが漏洩したのかたどる

    • IAMユーザーのアクセスキーか • EC2などのIAMロールの⼀時クレデンシャルか • 漏洩したクレデンシャルの削除・無効化する
  8. 36 コインマイニングの対応 • 既存EC2ならAMIバックアップ + Security Group による隔離 • 動いているコンピューティングリソースが直接料⾦

    に繋がるので最低限の保全と調査が終わり次第殆ど は消す • すべてのリージョンで確認する
  9. 37 S3データアクセス • GuardDuty Findings 「PenTest:S3/KaliLinux」など • データソース: S3データアクセス •

    S3のデータに対して怪しいアクセスが来ている • 公開しているバケットなのか︖ • 公開しているデータなのか︖
  10. 38 S3データアクセス • Detectiveで調査する⽅法は︖ • ない • サポートされている検索結果タイプ • https://docs.aws.amazon.com/ja_jp/detective/lates

    t/userguide/supported-finding-types.html • GuardDutyで検知まではしてくれる • S3データアクセスはCloudTrailで追加で取得する必 要がある
  11. 39 準備が⼤切 • 有効化するもの • CloudTrail • GuardDuty • Detective

    • 他にもいろいろ • 重要データを保管するS3があるなら • CloudTrailデータイベント • S3にログを保管するなら • 別AWSアカウントに集約 • S3オブジェクトロック / SCP
  12. 42