Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Security JAWS Amazon GuardDuty 20180223

616 views

Published on

2018/02/23にAWS目黒オフィスで開催されたSecurity JAWSでの登壇資料です。

Published in: Technology
  • Be the first to comment

Security JAWS Amazon GuardDuty 20180223

  1. 1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Hayato Kiriyama February 23, 2018 Amazon GuardDuty 「みんなでクラウドセキュリティの 見張り役になろう」
  2. 2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. サンプルケース – 不正アクセス/侵入検知防御 AWSの該当事項 お客様の該当事項 推奨される追加の対応事項 AWS は、ISO 27001 規格に合わせて、AWS リソースに 対する論理アクセスについて最小限の基準を示す正式 なポリシー、手続きを規定しています。 AWS SOC レポートには、AWS リソースに対するアクセ スプロビジョニングを管理するために用意されている統 制の概要が記載されています。 詳細は、AWSウェブサイトの「アマゾンウェブサービス: セキュリティプロセスの概要」 (https://aws.amazon.com/jp/security/security- resources/ ⇒ AWS セキュリティプロセスのご紹介(日 本語))を参照してください。 また、AWS は、Payment Card Industry (PCI) データセ キュリティ基準(Data Security Standard/DSS)のレベル1 に準拠しています。詳細については、AWS Artifact (https://console.aws.amazon.com/artifact) を使用して、 PCI DSS Attestation of Compliance (AOC) と Responsibility Summary をリクエストしてください。 AWSのお客様は、お客様が定義した要件に従って、お客様の ネットワークトラフィックを管理する責任を有します。 ファイアウォール、ルータ等は、AWSではSecurity Group、 Route Table、NetworkACL等に該当します。お客様は、これら のAWSリソースを適切に構成し、必要最小限のアクセスを許 可するよう設計する必要があります。 また、Amazon GuardDuty はマネージド型の 脅威検出サービスです。悪意のある操作や不正な動作を継 続的に監視し、AWS アカウントとワークロードを保護します。 アカウント侵害の可能性を示す異常な API コールや潜在的 に不正なデプロイといったアクティビティが監視の対象となり ます。インスタンスへの侵入の可能性や攻撃者による偵察と いった脅威も、GuardDuty によって検出されます。 必要に応じてAWS WAFを利用して、ルー ルベースで外部からの不正アクセス・攻撃 を防御することができます。 侵入検知に明確な要件がある場合には、 サードパーティのサービスを利用して侵入 検知等の防御対策を講じることを強く推奨 します。 https://aws.amazon.com/jp/solutions/sol ution-providers-japan/technology- partners/ アーキテクチャダ イアグラムの該当 箇所 AWS CloudFormation テンプレートにおける実装の概要 AWS リソースタイプ AWS CloudFormation テンプレート名 (スタック) 17, 18, 19, 20, 22, 23, 26 VPC内でSecurityGroupおよびNetworkACLによってネットワークセグ メントを分割し、パブリックサブネットを従来のDMZに見立てて利用し ています。また、パラメータで指定された場合はAmazon GuardDutyを 有効化します。 AWS::EC2::SecurityGroup AWS::EC2::NetworkAcl AWS::EC2::NetworkAclEntry AWS::GuardDuty::Detector vpc-management vpc-production guardduty
  3. 3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. What is GuardDuty ? • AWSアカウントを、セキュリティの観点から継続的にモ ニタリング・分析し、セキュリティリスクを可視化・検 知するAWSマネージド・サービス • 分析のソースには下記を利用し、メタデータの連続スト リームを分析 • VPC Flow Logs • AWS CloudTrail Event Logs • DNS Logs • 既知の悪意のあるIPアドレス、異常検出、機械学習などの 統合脅威インテリジェンスを使用して、脅威を認識
  4. 4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon GuardDuty - 利用可能なリージョン 東京リージョンでご利用頂けます • Asia Pacific (ムンバイ) • Asia Pacific (ソウル) • Asia Pacific (シンガポール) • Asia Pacific (シドニー) • Asia Pacific (東京) • Canada (セントラル) • EU (フランクフルト) • EU (アイルランド) • EU (ロンドン) • US East (北バージニア) • US East (オハイオ) • US West (北カリフォルニア) • US West (オレゴン) • South America (サンパウロ)
  5. 5. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Setting Up Amazon GuardDuty
  6. 6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Setting Up Amazon GuardDuty
  7. 7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. What can you monitor today ? • 検知できる内容(一部代表例) • EC2上で発生する悪意のあるアクティビティ • クレデンシャルを悪用したアクション • GuardDutyが、悪意の可能性のあるアクティビティを 検知すると、Findings(結果)を生成します • Findings Summary • Resource Affected • Action • Actor
  8. 8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. What can you monitor today ?
  9. 9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Severity Levels for GuardDuty Findings • GuardDutyが検知するFindingsには重要度(Severity)が 設定されている • 重要度は、0.0 – 10.0 の範囲で設定 • High (重要度: 高) : Severity 7.0 – 8.9 • 例) EC2 instance / IAM user credentials 関連 • Medium (重要度: 中) : Severity 4.0 – 6.9 • 例) 大量トラフィック、通常アクティビティから外れる動き • Low (重要度: 低) : Severity 0.1 – 3.9 • 例) リソースに影響を及ぼす前にブロックされた悪意の疑いの あるアクティブティ
  10. 10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Finding Types • Backdoor:EC2/XORDDOS • Backdoor:EC2/Spambot • Backdoor:EC2/C&CActivity.B!DNS • Behavior:IAMUser/InstanceLaunchUnusual • Behavior:EC2/NetworkPortUnusual • Behavior:EC2/TrafficVolumeUnusual • CryptoCurrency:EC2/BitcoinTool.A • CryptoCurrency:EC2/BitcoinTool.B!DNS • PenTest:IAMUser/KaliLinux • Recon:EC2/PortProbeUnprotectedPort • Recon:IAMUser/TorIPCaller • Recon:IAMUser/MaliciousIPCaller.Custom • Recon:IAMUser/MaliciousIPCaller • Recon:EC2/Portscan • Stealth:IAMUser/PasswordPolicyChange • Stealth:IAMUser/CloudTrailLoggingDisabled • Trojan:EC2/BlackholeTraffic • Trojan:EC2/DropPoint • Trojan:EC2/BlackholeTraffic!DNS • Trojan:EC2/DriveBySourceTraffic!DNS • Trojan:EC2/DropPoint!DNS • Trojan:EC2/DGADomainRequest.B • Trojan:EC2/DNSDataExfiltration • UnauthorizedAccess:IAMUser/TorIPCaller • UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom • UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B • UnauthorizedAccess:IAMUser/MaliciousIPCaller • UnauthorizedAccess:IAMUser/UnusualASNCaller • UnauthorizedAccess:EC2/TorIPCaller • UnauthorizedAccess:EC2/MaliciousIPCaller.Custom • UnauthorizedAccess:EC2/SSHBruteForce • UnauthorizedAccess:EC2/RDPBruteForce • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html#crypto3
  11. 11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Finding Types サンプル CryptoCurrency:EC2/BitcoinTool.B!DNS • EC2 インスタンスは、ビットコインに関連する既知のドメインと通 信 • AWS 環境の EC2 インスタンスがビットコインに関連する既知のド メインと通信していることを検知・通知 ThreatPurpose ThreatFamilyName ThreatFamilyVariant: ResourceTypeAffecte d / . ! Artifact CryptoCurrency BitcoinTool B: EC2 / . ! DNS
  12. 12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Trusted IP Lists and Threat Lists • Trusted IP List : 登録されたIPリストはホワイトリストさ れ、登録IPに対するアクティビティは、GuardDutyは Findingsとして検知しない • Threat List : 既知の悪意のあるIPリストを登録可能。登 録したThreat Listに基づき GuardDuty Findings として 通知
  13. 13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Trusted IP Lists and Threat Lists の設定
  14. 14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • 感染したインスタンスの封じ込め • 漏洩したAWSクレデンシャルの不正利用防止 例:以下のケースに対して自動的に緩和策を実施 GuardDuty CloudWatch Events Lambda Amazon GuardDuty Amazon CloudWatch CloudWatch Event Lambda Function AWS Lambda Findingsからの対応
  15. 15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • GuardDutyのFindingsにより感染インスタンスが特定される • CloudWatch Event のアラームが Lambda 関数を起動 • 該当インスタンスのタグに応じて自動アクションさせる、もしくは重要 な本番サーバーであれば手動対応するなども可能 Lambda Lambda Function AWS Lambda • Lambda 関数例: • 該当Security Groupから該当インスタンス を削除し、新規インスタンス追加 • EBSボリュームのスナップショット取得 • セキュリティチームにメール/Slack通知 Findingsからの対応
  16. 16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Managing AWS Accounts in Amazon GuardDuty • あるAWSアカウントで検知したFindingを、他AWSアカ ウントのGuardDutyに転送することが可能 • 例えば、セキュリティ管理アカウントに他AWSアカウントの GuardDuty Findingsを集約し一元管理が可能
  17. 17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 価格 • GuardDuty は2つのディメンジョンの合計金額が課金 されます • CloudTrail Events: 分析されたAWS CloudTrailイベントの数 量(1,000,000イベントあたり)と • VPC Flow Logs/DNS Logs: 分析されたAmazon VPC Flow LogおよびDNS Logデータの量(GBあたり) https://aws.amazon.com/guardduty/pricing/
  18. 18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon GuardDuty 30-day-Free-Trial
  19. 19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. GuardDuty Demo Amazon GuardDuty Tester • テスト用のFindingsを生成するためのCloudFormationテンプ レートとサンプルスクリプト • https://github.com/awslabs/amazon-guardduty-tester Amazon GuardDuty Lab • GuardDutyの基本機能を用いて脅威検知した後、Lambdaに よる対応までを体験できるラボ • http://loftlab.gregmcconnel.net/
  20. 20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Security JAWSの皆様へ お知らせ事項
  21. 21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSセキュリティ認定試験 今なら試験料半額 & 本試験バウチャーもらえます AWS Certified Security – Specialty exam ができます 3/2までベータ試験受けられます • 受かれば → 認定取得者! • 落ちても → 本試験バウチャーGet! 受験資格: • Associate or Cloud Practitioner保持者 https://aws.amazon.com/blogs/architecture/announcing-our-new-beta-for-the-aws-certified-security-specialty-exam/ AWS Certified Security
  22. 22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. We Are Hiring! セキュリティソリューションアーキテクト(Security SA)大募集中! Security SA, Compliance Security SA, Managed Services Security SA, Engineering 業界ガイドライン・認 証・法規制・スタン ダードに精通し、顧客 のセキュリティ評価・ リファレンスアーキテ クチャ開発などで顧客 セキュリティ要件実現 AWSセキュリティの マネージドサービスを 用いた顧客ワークロー ドの実現を支援し、 アーキテクチャや運用 の継続的改善を推進 AWSセキュリティに 関連するソリューショ ンを開発。PoC、 デ モ、ハンズオンなど高 度な技術的支援を通じ てセキュアのAWS環 境を実現 NISC, FISC, FinTech, ISO, PCI DSS, HIPAA, GxP, NIST, CIS, Inspector, Config Rules, CloudFormation, Service Catalog MSS, SOC, CSIRT, Incident Response, SSO, GuardDuty, Shield, WAF, Macie, Systems Manager, Well-Architected Security Response, Analysis, IDPS, SIEM, EC2, VPC, RDS, S3, IAM, KMS, Lambda, CI/CD, DevSecOps, Well-Architected https://www.amazon.jobs/en/jobs/627132/s ecurity-solutions-architect-security-engineer https://www.amazon.jobs/en/jobs/629852/securi ty-solutions-architect-managed-security-services https://www.amazon.jobs/en/jobs/629853/s ecurity-solutions-architect-compliance
  23. 23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSセキュリティエンジニアコミュニティ 目的:AWSセキュリティエンジニア の情報交換プラットフォーム 方針:AWSセキュリティに関するこ とであれば何でもOK 対象:AWSセキュリティに関して • 業務や趣味で利用している方 • 優れた設計(Well-Architected)やベストプラク ティスの情報交換をしたい方 • ブログ等に「やってみた」投稿をする方 • イベント登壇する方 • Security Operation on AWSなどのAWSトレー ニングを受講する方 • AWS Certified Security 認定取得する方 現在、正式発足前のプレメンバー募集しております! AWSセキュリティエンジニア コミュニティ(仮) https://www.facebook.com /groups/2038392602855805/ Hayato Kiriyama まで 名刺交換&DMください! グループに追加します AWS Certified Security Lounge オフサイトイベント招待 AWS CTF ベータ参加者招待 特典例:
  24. 24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Thank you! Hayato Kiriyama

×