SEC 4: セキュリティイベントをどのように検出し、調査していますか？

ログやメトリクスからイベントを可視化して把握し、分析します。セキュリティイベントや潜在的な脅威に対して措置をとることで、ワークロードを保護します。

リソース

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

ベストプラクティス:

• サービスとアプリケーションのログ記録を設定する: アプリケーションログ、リソースログ、AWS のサービスログを含め、ワークロード全体でログ記録を設定します。例えば、組織内のすべてのアカウントで AWS CloudTrail、Amazon CloudWatch Logs、Amazon GuardDuty、AWS Security Hub が有効になっていることを確認します。

• ログ、結果、メトリクスを一元的に分析する: 異常や不正なアクティビティの兆候を検出するため、すべてのログ、メトリクス、テレメトリーを一元的に収集し、自動的に分析する必要があります。ダッシュボードを使用すると、リアルタイムの状態に関する洞察に簡単にアクセスできます。例えば、Amazon GuardDuty と Security Hub のログがアラートと分析のためにあるロケーションに一元的に送信されるようにします。

• イベントへの応答を自動化する: 自動化を使用してイベントを調査および修正することで、人為的な労力やエラーが軽減され、調査機能をスケールできます。定期的なレビューは、自動化ツールを調整するのに役立ちます。継続して繰り返し行います。例えば、最初の調査ステップを自動化して Amazon GuardDuty イベントへの応答を自動化し、同様の作業を繰り返して、人間の労力を徐々に排除します。

• 実用的なセキュリティイベントを実装する: チームに送信され、チームによるアクションが可能なアラートを作成します。チームがアクションを実行するための関連情報がアラートに含まれていることを確認します。例えば、Amazon GuardDuty と AWS Security Hub のアラートが、アクションを実行するためにチームに送信されたり、オートメーションフレームワークからのメッセージによってチームが通知される状態を保ちつつ、レスポンスオートメーションツールに送信されたりするようにします。

改善計画

サービスとアプリケーションのログ記録を設定する

AWS のサービスのログ記録を有効にする: 要求事項を遵守するため AWS のサービスのログ記録を有効にします。ログ記録機能には、VPC フローログ、ELB ログ、S3 バケットログ、CloudFront アクセスログ、Route 53 クエリログ、Amazon RDS ログを含みます。
AWS Answers: native AWS security-logging capabilities

オペレーティングシステムとアプリケーション固有のログ機能を評価して有効にする: オペレーティングシステムとアプリケーションごとのログ機能を評価して有効にし、不審な動作を検出します。
Getting started with CloudWatch Logs
Developer Tools/Log Analysis

ログに適切なコントロールを適用する: ログには機密情報が含まれている場合があるため、承認されたユーザーにのみログへのアクセス権を与えるようにします。S3 バケットと CloudWatch Logs のロググループに対するアクセス権を制限することを検討します。
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3

Amazon GuardDuty を設定する: Amazon GuardDuty は脅威検出サービスです。悪意のある動作や不正な動作を継続的に検索し、AWS のアカウントとワークロードを保護できるようにします。GuardDuty を有効にし、ラボを使用して E メールの自動アラートを設定します。
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

CloudTrail でカスタマイズされた証跡を設定する: 証跡を設定するとデフォルトの期間よりも長くログを保存し、後で分析できます。
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls

AWS Config を有効にする: AWS Config は、AWS アカウントの AWS リソースの設定を詳細に表示します。このビューには、リソース間の関係と設定の履歴が含まれるため、時間の経過とともに設定と関係がどのように変わるかを確認できます。
AWS Config
Lab: Automated Deployment of Detective Controls

AWS Security Hub を有効にする: AWS Security Hub では、AWS のセキュリティ状態の包括的なビューが提供され、セキュリティ業界の標準とベストプラクティスへの準拠を確認するのに役立ちます。Security Hub は、AWS アカウント、サービス、およびサポートされているサードパーティーのパートナー製品からセキュリティデータを収集し、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。
AWS Security Hub

ログ、結果、メトリクスを一元的に分析する

ログ処理機能を評価する: ログの処理に使用できるオプションを評価する
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions

CloudTrail ログの分析の最初の作業として Amazon Athena をテストする
Configuring Athena to analyze CloudTrail logs

AWS での集中ロギングを実装する: 複数のソースからのログ記録を一元化する AWS のサンプルソリューション。
Centralize logging solution

パートナーで集中ロギングを実装する: APN パートナーは、ログを一元的に分析するためのソリューションを提供しています。
Logging and Monitoring

イベントへの応答を自動化する

Amazon GuardDuty で自動アラートを実装する: Amazon GuardDuty は脅威検出サービスです。悪意のある動作や不正な動作を継続的にモニタリングし、AWS のアカウントとワークロードを保護できるようにします。GuardDuty を有効にし、自動アラートを設定します。
Lab: Automated Deployment of Detective Controls

調査プロセスを自動化する: 時間を節約するため、イベントを調査して情報を管理者に報告する自動化されたプロセスを開発します。
Lab: Amazon GuardDuty hands on

実用的なセキュリティイベントを実装する

AWS のサービスで利用可能なメトリクスを検出する: 使用しているサービスについて CloudWatch を通じて利用できるメトリクスを確認します。
AWS service documentation
Using Amazon CloudWatch Metrics

Amazon CloudWatch アラームを設定します: 。
Using Amazon CloudWatch Alarms