AWS継続的セキュリティ実践ガイド ログの収集／分析による監視体制の構築

投稿元：

レビューを見る

自分にぴったりの教材本だった．
セキュリティ×AWSを畑とする人全員に有益．

OCSF：サイバーセキュリティ向け標準スキーマ
ASFF：セキュリティHubのエコシステムを支える標準フォーマット
SIEM on AOS, SecurityHub, Security Lake，AppFabric → セキュリティ屋さんの飯の種が減っていきますな．

ログ活用の発展の流れ：
探索的分析→可視化→監視

ーーーーーーーーーーーーーーーーーーーーーーーーーーー
責任共有モデルは管理責任を分けているのみ。説明責任は対象としない。→AWS管理責任範囲の事故でお客様向けアプリに影響が出ても説明責任を果たさないといけないのは企業

Caputal One -> 教科書のようなクラウド事故 SSRF

クラウド化により，システムにかかるコストは「設備投資」から「経費」に

ISO27001:2022
要求事項が114から82に．
脅威インテリジェンス，クラウド，セキュアコーディングなど．

NIST CSFはNIST Sp800シリーズの親 p23

AWS SecurityHubはベースラインアプローチ，リスクベースアプローチの両輪
ベースライン：構成情報，セキュリティ基準とのGap
（CISB，AWSベスプラ，PCIDSS，NIST SP800-53
リスクベース：脅威などのイベント情報

ログで何ができるか…
・デジタルマーケにおけるユーザの行動分析
・システムの監視
・マイクロサービスのオブザーバビリティ

ログを使ったセキュリティ業務は様々
・監査
・監視
・フォレンジック
・脅威ハンティング，監視ロジック開発

フォレンジック：リアクティブな行為
ログが”法的に効力のある状態”＝
改ざんされてない状態を保証できること”である必要
SIEM，監査：プロアクティブな行為

P41　AWS環境におけるログ全体概要図
P42　セキュリティ業務で使用するログ

コンテナログの取得はFireLens
FLuentd
https://tech-lab.sios.jp/archives/37271

CloudTrail
・KMSとRDSのイベント記録を除外できる→ログ量が多く，コストが増え，ノイズになりがち
・インサイトイベント→ ベースラインからの逸脱を検知．かこ7日がベースライン

CLoudTrail Lake
・S3+Athena(ログ保存と検索）と同じようなことができる．

SSM
・マネコンからEC2インスタンス操作できる．（AWSログイン必要）
・Fleet ManagerはRDPの代わりになるもの（AMCでGUI操作）
・SSMを使う場合のシェル操作やパワーシェル操作は記録可能．S3バケットorCWLogsロググループ
・CWLogsへの出力はリアルタイム形式とバッチ処理形式．リアルタイム（ストリームセッションログ）推奨
・SSH over SSMは記録できない．
・SSMするEC2はインターネットアクセスが必要．インターネット通信NGの場合はVPCエンドポイントが必要．IAMロールも必要．

RDS/Aurora
→採用するサービスやミドルウェアによって，ログ取得の方法や，ログの形式が異なる．
・SQL文の内容を監視することは現実的ではない．何をもって不正かの判断が難しい．
・CWLogsのイベントサイズに��限があり，また緩和もできない．SQLログが長くい場合ログが取れず，また再送もされない．
・MySQLとMatiaDBの監査ログはMariaDBのプラグインを使って出力する
・SQLの結果をロギングしてしまうとログ保管場所にDBが持つ機密情報と同等の情報を持つことになる．

□NetworkFirewall
IPS/IDSの仕事をする．名称的にファイアウィールを想起するが
実際はOSSのIPSであるSuricata
Suricata互換ルールをサポート
SYNフラッド，BoF，OS脆弱性攻撃
ただ，アウトバウンドのフィルタも可能（Proxy的運用）
・ログは2種類：フローログ，アラートログ

□WAF
・SQLE，XSS，OSコマンドインジェクション，パラメータ改ざん
・保護対象ごとにWebACLを作成．WebACLには複数のルールが配置
・いきなり遮断モードにはしない．カウントモードで様子見する

□EC2
・CWエージェント
filepathパラメータで指定したログファイルを取り込み．さらにfilterパラメータでフィルタリング可能．

□Kinesisエージェント
・FIrehoseやStreamsにOS・アプリログを転送可能
・データを事前加工して転送できる．「単一行に変換」「CSVをJSONに変換」etc
・すにでSIEM基盤を持っている場合，EC2→Kinesis→独自SIEMといった経路がとれる

□ECS/Fargate
・CWLogs
・FireLens　→ コンテナタスクに監視用（FireLensコンテナ）をサイドカーとして追加し，当該コンテナ経由でログを転送．中身はFluentdもしくはFluent Bits

□データレイク→DWH/データマート→監視，可視化，分析
ログの保存先：データレイクとしてはS3がおすすめ．
しかしサービスによってはCWLogsにしか出力できないものも．（CW->S3は別）　p123

□Cloudwatch
・メトリクスフィルターでフィルタリング
・CWアラートで検知
・CWインサイトでクエリを用いた検索，分析，可視化
・サブスクリプションフィルターはCLIからの未設定

□ログ転送アーキテクチャとコスト→127
使い方によってコスト最適なアーキが変わる．

□Security Lake
・2023年5月にGAした新サービス
・s3をデータレイクにみたてたマネージドサービス
・実体はS3，Lake Formation，Glue，SQS，Lambda，EventBridge

□ログの探索的分析 p138
・ログはとって終わりではない．しかしどんな情報が得られるか”試行錯誤”が必要
→この作業を探索的分析と言う
→ログで「できること」と「やりたいこと」のマッチング作業

□可視化
SIEM on AOS -> Githubにダッシュボードを構成するためのファイルがあり即使用可能
Cloudtrail Lakeもダッシュボード機能あり

□SecurityHub
・AWS Configの併用必須．Hubを有効にしたらConfig Rulesが作られる
・ベンチマークの一つ，AWSベスプラは更新頻度高い．（数ヶ月おき）CISBは数年
・23年3月からNIST SP800-53対応
・実運用では100％を目指さない．不要なコントロールの除外などを実施してチューニング．
・「コントロールの無効化」で各チェック項目を無効化できる
・PCIDSS最新版はv4.0しかしHubではv3.2.1
・「FIndings」検出されたセキュリティリスクのこと．90日間Hub上に保存される．データ>インフォメーション>インテリ���ェンスにおけるインテリジェンスのようなもの
・マルチアカウント戦略をPRD/UAT/PRD環境とアカウントを使い分ける場合，Hubでの検知も濃淡をつけたいものであるが，現状はそのような機能を持たない．
・Configで作成したオリジナルルールをFIndingsとして検知可能．Config->EventBridge->Hubという流れ．

□PCIDSS
・カード会員データ，センシティブ認証データ，総称としてアカウントデータ．これが保護対象．
・センシティブ認証データはたとえ暗号化をしていても保存すらしてはいけない．

□GuradDuty
・取り込むログによって検知できる脅威イベントが異なる
・Lambda，EKSやEBS，RDS(Auroraログイン）も拡張機能で監視可能
・アカウント単位・リージョン単位で有効化するもの．
　マルチリージョン有効化は作業が必要な点に注意
・Organizations管理下アカウントは自動有効化できる．
・脅威インテリジェンスはproofpointやcrowdstrikeのインテリジェンスも含んでいる
□Config
・AWSリソースの設定を評価，監査，審査
・デフォルト7年保持
・p264 AWS Config全体像
・マネージドルールは300ほど存在
・カスタムルールはユーザ自身で作成する．Python，Node.js
・アカウント単位，かつ，リージョン単位が基本．マルチアカウント・マルチリージョン管理には「アグリゲーター機能」を使う．監査用アカウントで「アグリゲーター」を作成する．p266
・評価モード：プロアクティブ/ディテクティブ
プロアクティブ：リソース作成，更新前にチェック
ディテクティブ：作成済みリソースに対してチェック（リソース変更時 or 定期チェック時)
・SecurituHubが有効化されると自動でRuleが作られる．ルールには「securityhub-」という接頭辞がつく．

□Macie
・S3，ストレージ型DLP
・機密情報検出，暗号化状態，共有・公開設定の状態を可視化

□Inspector
・パッケージ脆弱性，コード脆弱性，ネットワーク到達可能性を検査
・EC2にはSSMエージェントを介して検査を実施．
・EC2ではなくAMIにも検査可能
・NW到達性は「インターネットからPort80で到達可能」といった具合．
・Hubと連携可能．
・23年6月にSBOM Export機能がリリース．EC2（Linuxのみ）やECRコンテナイメージ，ラムダ関数を対象にSBOMをS3に出力できる．

□IAMアクセスアナライザー
・リソースベースポリシーをチェックしてくれる
　S3，KMS，SQS，EBS，etc…

□MITRE ATT@CK IaaSマトリクス
→IaaS向けアタック

★宿題
・FLuentd
・Firelens
・監査ログ
・k8s
・AWS基礎セキュリティのベストプラクティス
・MITRE ATT@CK IaaSマトリクス