AWS GuardDuty Black Belt Online Seminar参加メモ(をただ貼るだけ
[AWS Black Belt Online Seminar] Amazon GuardDuty
に参加した時のメモ書き。を単に貼るだけだけど上げておく。
==========
AWS GuardDuty Black Belt Online Seminar
==========
VPC flow logs
DNS Logs
CloudTrail
GuardDutyではOS上にIDS/IPSを入れていても検知できないアカウントの不正使用などAWS内部の脅威も検知できる。
GuardDutyからのHighのアラートに対してのアクションをCloudWatch Event -> Lambdaと渡すことも可能。
GuardDuty用のIAMロールが自動作成される
デモは、amazon-guardduty-tester (github を使う
GuardDutyのテストはちゃんと侵入テスト申請をしてからやること
有効化は1クリックだけ
アタックの結果がGuardDutyに表示されるには少し時間がかかる
■検知の仕組み
Threat Detection Types
シグネチャベースではマッチングしたら閉じる
ビヘイビアベースではアノマリーを検知する
■Data Sourcesは以下の3つ
VPC flow logs
DNS Logs
CloudTrail
VPC flow logsやCloudTrailを有効化していなくてもGDで勝手に取れる
■脅威インテリジェンス=脅威と判断する定義
攻撃者のIPアドレスとドメインで構成
パートナーと協力して得たノウハウとAWSセキュリティのノウハウを併せてIPアドレスとドメインを判断してる
Findings(=脅威)
マネジメントコンソールでの確認
・重要度、頻度、リージョン、国、脅威タイプ、影響範囲、攻撃元情報
API/JSONフォーマット
getfindingsで叩く
・SIEM連携、データ活用
Finding Purpose
backdoor, behavior, crypto currency, pentest, recon, stealth, trojan, unauthorized access
Findings(脅威リスク)はどんどん自動的に追加される
■severity levels for GD Findings
High : 7.0 - 8.9
Medium : 4.0-6.9
Low : 01.-3.9
検出時のアクション
通知をトリガーにしてやりたいこと
・cloudwatch eventsからlambdaを呼び出す
severityに応じてアクションを定義できる
amazon-guardduty-to-slack (github
■Pricing
・CloudTrail Events:イベントの数
・VPC Flog Logs/DNS Logs:ログの量
30日無料利用期間がある
current chargeが確認できるので、◯日経過したら30日を予測できる
■Region, multiaccount
リージョンごとに有効にしないと駄目
マルチアカウント時のGDは?
1つのアカウントで検知した脅威を他のアカウントに転送できる
アドミンアカウントに子アカウントを紐付けることができる
cloudformation (stacksets)を使うと1個のアカウントでマルチリージョンでGDを有効化するとかできる
デモは1アカウントでのマルチリージョンを実施
GDを有効化した後にログを集約する
→ログを集約管理するアカウントとログを収集されるアカウント
amazon-guardduty-multiaccount-scripts (github
■パートナー
アクセンチュア
デロイト
RedLock
alertlgic
rapid7
paloalto
evident.io
IBM
proofpoint
trend micro
logicworks
splunk
sumologic
書けないところもある感じ
■
脅威の検知はなかなかコストや工数もかかるので導入が難しい
→マネージド・サービスで提供されるメリット
→エージェント不要、既存環境に影響を与えない
→cloudwatch eventsの合わせ技で検知からの対応の自動化
■
GD Lab
http://lab.gregmcconnel.net/
Click here to download the zip file for the lab. Then unzip the file to get all of the contents of the lab.
ってzipファイルが落とせる画面が
■Q&A
環境に別のクレデンシャルを持ち込むとどうなる?
→持ち込んで試してみて
テスト実行のコマンドはgithubのテスターに含まれてるか?
→含まれてる。試してみて
レポート機能は?
→今はない
→findingsのエクスポートで今は対応。JSONで出る
→90日以上ログを保持したければ、S3に吐くなどするように
サーバレスだけ使ってる環境でのGDのメリットは?
→IAMとEC2のfindingsが多い
→サーバレスだけでもAWSプラットフォームの管理(IAMとか)ができるのでメリットある
残りのQAはブログで回答します
→質問がかなり来てるらしい。ブログに期待