$30 off During Our Annual Pro Sale. View Details »

JAWS-UG_YOKOHAMA_20231204

h-ashisan
December 04, 2023

 JAWS-UG_YOKOHAMA_20231204

h-ashisan

December 04, 2023
Tweet

More Decks by h-ashisan

Other Decks in Technology

Transcript

  1. 3 率直な雑感想 • 今年で2回目(初回は2022) ◦ 今年も参加させてくれた弊社に感謝!!! • 体力管理の大切さに気づかされた ◦ 5K

    runを全力で参加して平気な方すごい • ワーナーのKeynoteがエモくてよかった ◦ 感想話すと、話が弾む • 早くも re:Invent 2024に行きたい ◦ まずは re:Inforce 2024だ!!!
  2. 8 参考ワークショップ(クローズド) • インシデント対応時のCSIRTの業務を擬似体験で きるワークショップ • OpenSearch ServiceのWeb UIを主に利用 •

    ログ分析関連の事前知識はほぼ不要 ◦ 分析のやり方は教えてくれる ◦ ただし 各AWSサービスの知識は必須 • 現在パブリック公開はされていないが、気になる方 はお近くのAWSJの方にお問い合わせを。 URL: https://dev.classmethod.jp/articles/aws-top-engineer- 2022-security-incident-workshop-report/
  3. 9 ワークショップの体験談 • セキュリティインシデント対応は大変 ◦ ログの相関分析をするとき、色々なログや調査結果を 行き来することになる ◦ 勘所がわかってないと、堂々巡りになり答えにいきつかない =

    時間が かかる • SIEM や インシデント対応フローの整備など事前準備が可能だ が、誰でもどの環境でも準備できるわけではない ◦ 事前に準備しても対応に時間はかかる → 人間でやらずにAIを頼って自動化したい!    〜そんな時にDetectiveが役に立つ〜
  4. 11 re:Inventで発表されたアップデート紹介 re:Invent2023 期間中に発表されたもの:4件 • 11/27 IAM Investigations機能の追加 (Amazon Detective

    announces investigations for IAM) • 11/27 GuardDuty ECSランタイムモニタリングのセキュリティ調査のサポート (Amazon Detective supports security investigations for Amazon GuardDuty ECS Runtime Monitoring) • 11/27 生成AIを使ったグループサマリ機能の追加 (Amazon Detective introduces finding group summaries using generative AI) • 11/27 Amazon Security Lakeからのログ取得に対応 (Amazon Detective now supports log retrieval from Amazon Security Lake)
  5. 12 IAM Investigations機能 • IAM ユーザーや IAM ロールを指定して調査 することが可能 •

    調査内容にはサマリー、異常なアクティビ ティ、TTP マッピングなどが含まれる • 調査結果は json 形式でレポートとしてダウン ロード可能 →攻撃者が利用したIAMロール特定後の調査に 使えそう URL: https://dev.classmethod.jp/articles/update-amaz on-detective-investigation-feature-iam-resource/
  6. 15 GuardDuty ECSランタイムモニタリングのセキュリティ調査 • GuardDuty ECS Runtime Monitoring (Fargate含む)の調査結果も Detectiveで調査可能に

    → 最新のGuardDutyアップデートも サポート URL: https://dev.classmethod.jp/articles/detecti ve-guardduty-ecs-runtime-monitoring/
  7. 16 GuardDuty ECSランタイム〜、やってみた 事前にGuardDutyのランタイムモニタリン グを有効化しておく ↓ 作成したECS on Fargateクラスターに ECS

    Execでシェルログイン ↓ 以下コマンドを実行 # dig guarddutyc2activityb.com. # dig pool.supportxmr.com # curl pool.supportxmr.com
  8. 20 いい感じにAIがサマリしてくれる 以下、機械翻訳による日本語化 -------------------------------------------------- 侵害された EC2 インスタンス i-0d2fa556c2a2526e8 が検出、ブルート フォース、データ抽出を実行

    EC2 インスタンス i-0d2fa556c2a2526e8 は、IP 172.16.0.20 から 172.16.0.20、172.16.0.27、および 172.16.0.28 に対して SSH、RDP、お よびポートスキャン ブルート フォース攻撃を実行しました。 i-0d2fa556c2a2526e8 C&C サーバーとビットコイン活動に関連するドメ インを照会しました i-0d2fa556c2a2526e8 は、流出したデータに似たアウトバウンド DNS クエリを実行しました i-0d2fa556c2a2526e8 にはローカル権限昇格の脆弱性があります 172.16.0.20 が i-0c046f4b9cfc936a2 および i-01d702667393077a7 に 対して SSH ブルート フォースを実行しました
  9. 21 Amazon Security Lakeからのログ取得に対応 • DetectiveとSecurity Lakeを統合すること で、Detective GUI上でAthaneクエリを 実行可能になった

    → 問題箇所の特定から生ログの調査ま で、シームレスに実行できる URL: https://dev.classmethod.jp/articles/amaz on-detective-supports-integration-with-se curity-lake-awsreinvent/
  10. 22 Security Lake統合、やってみた サービス統合の流れ(Cross Accountの場合) Security Lakeのサブスクライバーを作成 ↓ Detectiveアカウント側にIAMロールを作成する ↓

    Resource共有の許可、Glue Crawlerの作成、 LakeFormation設定 (※コンソールで生成するCFnで設定可) ↓ 統合実施!
  11. 28