SEC 4: セキュリティイベントをどのように検出し、調査していますか?
ログやメトリクスからイベントを可視化して把握し、分析します。セキュリティイベントや潜在的な脅威に対して措置をとることで、ワークロードを保護します。
リソース
Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring
ベストプラクティス:
-
サービスとアプリケーションのログ記録を設定する: アプリケーションログ、リソースログ、AWS のサービスログを含め、ワークロード全体でログ記録を設定します。例えば、組織内のすべてのアカウントで AWS CloudTrail、Amazon CloudWatch Logs、Amazon GuardDuty、AWS Security Hub が有効になっていることを確認します。
-
ログ、結果、メトリクスを一元的に分析する: 異常や不正なアクティビティの兆候を検出するため、すべてのログ、メトリクス、テレメトリーを一元的に収集し、自動的に分析する必要があります。ダッシュボードを使用すると、リアルタイムの状態に関する洞察に簡単にアクセスできます。例えば、Amazon GuardDuty と Security Hub のログがアラートと分析のためにあるロケーションに一元的に送信されるようにします。
-
イベントへの応答を自動化する: 自動化を使用してイベントを調査および修正することで、人為的な労力やエラーが軽減され、調査機能をスケールできます。定期的なレビューは、自動化ツールを調整するのに役立ちます。継続して繰り返し行います。例えば、最初の調査ステップを自動化して Amazon GuardDuty イベントへの応答を自動化し、同様の作業を繰り返して、人間の労力を徐々に排除します。
-
実用的なセキュリティイベントを実装する: チームに送信され、チームによるアクションが可能なアラートを作成します。チームがアクションを実行するための関連情報がアラートに含まれていることを確認します。例えば、Amazon GuardDuty と AWS Security Hub のアラートが、アクションを実行するためにチームに送信されたり、オートメーションフレームワークからのメッセージによってチームが通知される状態を保ちつつ、レスポンスオートメーションツールに送信されたりするようにします。
改善計画
サービスとアプリケーションのログ記録を設定する
AWS Answers: native AWS security-logging capabilities
Getting started with CloudWatch Logs
Developer Tools/Log Analysis
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls
AWS Config
Lab: Automated Deployment of Detective Controls
AWS Security Hub
ログ、結果、メトリクスを一元的に分析する
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions
Configuring Athena to analyze CloudTrail logs
Centralize logging solution
Logging and Monitoring
イベントへの応答を自動化する
Lab: Automated Deployment of Detective Controls
Lab: Amazon GuardDuty hands on
実用的なセキュリティイベントを実装する
AWS service documentation
Using Amazon CloudWatch Metrics
Using Amazon CloudWatch Alarms