SEC 4: セキュリティイベントをどのように検出し、調査していますか?

ログやメトリクスからイベントを可視化して把握し、分析します。セキュリティイベントや潜在的な脅威に対して措置をとることで、ワークロードを保護します。

リソース

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

ベストプラクティス:

改善計画

サービスとアプリケーションのログ記録を設定する

  • AWS のサービスのログ記録を有効にする: 要求事項を遵守するため AWS のサービスのログ記録を有効にします。ログ記録機能には、VPC フローログ、ELB ログ、S3 バケットログ、CloudFront アクセスログ、Route 53 クエリログ、Amazon RDS ログを含みます。
    AWS Answers: native AWS security-logging capabilities
  • オペレーティングシステムとアプリケーション固有のログ機能を評価して有効にする: オペレーティングシステムとアプリケーションごとのログ機能を評価して有効にし、不審な動作を検出します。
    Getting started with CloudWatch Logs
    Developer Tools/Log Analysis
  • ログに適切なコントロールを適用する: ログには機密情報が含まれている場合があるため、承認されたユーザーにのみログへのアクセス権を与えるようにします。S3 バケットと CloudWatch Logs のロググループに対するアクセス権を制限することを検討します。
    Authentication and Access Control for Amazon CloudWatch
    Identity and access management in Amazon S3
  • Amazon GuardDuty を設定する: Amazon GuardDuty は脅威検出サービスです。悪意のある動作や不正な動作を継続的に検索し、AWS のアカウントとワークロードを保護できるようにします。GuardDuty を有効にし、ラボを使用して E メールの自動アラートを設定します。
    Amazon GuardDuty
    Lab: Automated Deployment of Detective Controls
  • CloudTrail でカスタマイズされた証跡を設定する: 証跡を設定するとデフォルトの期間よりも長くログを保存し、後で分析できます。
    Creating a trail in CloudTrail
    Lab: Automated Deployment of Detective Controls
  • AWS Config を有効にする: AWS Config は、AWS アカウントの AWS リソースの設定を詳細に表示します。このビューには、リソース間の関係と設定の履歴が含まれるため、時間の経過とともに設定と関係がどのように変わるかを確認できます。
    AWS Config
    Lab: Automated Deployment of Detective Controls
  • AWS Security Hub を有効にする: AWS Security Hub では、AWS のセキュリティ状態の包括的なビューが提供され、セキュリティ業界の標準とベストプラクティスへの準拠を確認するのに役立ちます。Security Hub は、AWS アカウント、サービス、およびサポートされているサードパーティーのパートナー製品からセキュリティデータを収集し、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。
    AWS Security Hub
  • ログ、結果、メトリクスを一元的に分析する

  • ログ処理機能を評価する: ログの処理に使用できるオプションを評価する
    Use Amazon Elasticsearch Service to log and monitor (almost) everything
    Find a partner that specializes in logging and monitoring solutions
  • CloudTrail ログの分析の最初の作業として Amazon Athena をテストする
    Configuring Athena to analyze CloudTrail logs
  • AWS での集中ロギングを実装する: 複数のソースからのログ記録を一元化する AWS のサンプルソリューション。
    Centralize logging solution
  • パートナーで集中ロギングを実装する: APN パートナーは、ログを一元的に分析するためのソリューションを提供しています。
    Logging and Monitoring
  • イベントへの応答を自動化する

  • Amazon GuardDuty で自動アラートを実装する: Amazon GuardDuty は脅威検出サービスです。悪意のある動作や不正な動作を継続的にモニタリングし、AWS のアカウントとワークロードを保護できるようにします。GuardDuty を有効にし、自動アラートを設定します。
    Lab: Automated Deployment of Detective Controls
  • 調査プロセスを自動化する: 時間を節約するため、イベントを調査して情報を管理者に報告する自動化されたプロセスを開発します。
    Lab: Amazon GuardDuty hands on
  • 実用的なセキュリティイベントを実装する

  • AWS のサービスで利用可能なメトリクスを検出する: 使用しているサービスについて CloudWatch を通じて利用できるメトリクスを確認します。
    AWS service documentation
    Using Amazon CloudWatch Metrics
  • Amazon CloudWatch アラームを設定します: 。
    Using Amazon CloudWatch Alarms