SlideShare ist ein Scribd-Unternehmen logo
1 von 65
© 2021, Amazon Web Services, Inc. or its Affiliates.
1
AWS 公式 Webinar
https://amzn.to/JPWebinar
過去資料
https://amzn.to/JPArchive
Security Solutions Architect
中島 智広
2021/01/19
AWS CloudTrail
サービスカットシリーズ
[AWS Black Belt Online Seminar]
© 2021, Amazon Web Services, Inc. or its Affiliates.
2
⾃⼰紹介
中島 智広(Tomohiro Nakashima)
AWS Security Solutions Architect
お客様のセキュリティの取り組みを
AWSアーキテクチャの視点からご⽀援
好きなAWSサービス
セキュリティ関連サービス全般
© 2021, Amazon Web Services, Inc. or its Affiliates.
3
AWS Black Belt Online Seminar とは
「サービス別」「ソリューション別」「業種別」のそれぞれのテーマに分かれて、アマゾ
ン ウェブ サービス ジャパン株式会社が主催するオンラインセミナーシリーズです。
質問を投げることができます!
• 書き込んだ質問は、主催者にしか⾒えません
• 今後のロードマップに関するご質問は
お答えできませんのでご了承下さい
Twitter ハッシュタグは以下をご利⽤ください
#awsblackbelt
① 吹き出しをクリック
② 質問を⼊⼒
③ Sendをクリック
© 2021, Amazon Web Services, Inc. or its Affiliates.
4
内容についての注意点
• 本資料では2021年1⽉19⽇時点のサービス内容および価格についてご説明しています。最新の
情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
• 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に
相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
• 価格は税抜表記となっています。⽇本居住者のお客様には別途消費税をご請求させていただ
きます。
• AWS does not offer binding price quotes. AWS pricing is publicly available and is subject
to change in accordance with the AWS Customer Agreement available at
http://aws.amazon.com/agreement/. Any pricing information included in this document
is provided only as an estimate of usage charges for AWS services based on certain
information that you have provided. Monthly charges will be based on your actual use of
AWS services, and may vary from the estimates provided.
© 2021, Amazon Web Services, Inc. or its Affiliates.
5
本セミナーの概要
AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運⽤監査、
リスク監査を⾏うためのサービスです。
AWS CloudTrail を使⽤すると、AWS インフラストラクチャ全体でアカウントアク
ティビティをログに記録し、継続的にモニタリングし、保持できます。
本セミナーでは、AWS CloudTrailの基礎と、その活⽤⽅法について解説します。
© 2021, Amazon Web Services, Inc. or its Affiliates.
6
はじめに/Key Takeaways
• まずベースラインとして「ログの保全と脅威検知の有効化」から始める
• すべてのAWSリージョンでAWS CloudTrailの証跡の有効化
• Amazon GuradDutyの有効化
• 次に「AWS CloudTrail でのセキュリティのベストプラクティス」を取り込む
• さらに「調査、モニタリング、脅威検出」の体制を整備する
© 2021, Amazon Web Services, Inc. or its Affiliates.
7
Agenda
1. AWS CloudTrailの基本
2. 証跡ログの保存、保護
3. コスト最適化
4. 証跡ログの調査
5. 証跡ログのモニタリング、脅威検出
6. ふりかえり
© 2021, Amazon Web Services, Inc. or its Affiliates.
8
AWS CloudTrailの基本
© 2021, Amazon Web Services, Inc. or its Affiliates.
9
AWSの操作はAPIを通じて提供される
AWS の
サービスの
API エンド
ポイント
API インターフェイス
AWS SDK
AWS CLI
そのほかの
AWS のサービス
AWS
マネジメント
コンソール
© 2021, Amazon Web Services, Inc. or its Affiliates.
10
APIリクエストの認証認可、証跡取得
HTTP/HTTPS
クライアント
API インターフェイス
IAM
AWS
CloudTrail
AWS サービスの
API エンドポイント
API リクエスト
認証・認可
証跡取得
© 2021, Amazon Web Services, Inc. or its Affiliates.
11
AWS CloudTrailはリージョン毎のサービス
証跡の保存はリージョン毎に有効化が必要(ただし⼀括有効化オプション有り)
AWS CloudTrail のリージョン別エンドポイントの例
サンパウロ
バージニア北部
モントリオール
AWS GovCloud (⻄部)
オハイオ
バージニアカリフォルニア
オレゴン ロンドン
アイルランド
パリ
フランクフルト
北京
寧夏
ムンバイ
シンガポール
シドニー
東京
ソウル
⼤阪
AWS GovCloud (東部)
ストックホルム
バーレーン ⾹港
© 2021, Amazon Web Services, Inc. or its Affiliates.
12
AWS CloudTrailが保存する証跡
• AWS CloudTrailがサポートする全てのサービスのAPIイベント
• API リクエストによって直接トリガーされない⼀部のイベント
• AWS マネジメントコンソールへのログイン試⾏、
AWS フォーラム、および AWS サポートセンター
• すべての IAM ユーザーのサインインの試⾏
• AWS アカウントのルートユーザーの成功したサインイン試⾏
など
CloudTrail サポートされるサービスと統合
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html
CloudTrail でサポートされていないサービス
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-unsupported-aws-services.html
© 2021, Amazon Web Services, Inc. or its Affiliates.
13
AWS CloudTrail 証跡ログの出⼒タイミング
• ログファイルは1 時間に複数回、約 5 分ごとに発⾏
• アカウントアクティビティは通常 15 分以内に配信
• デフォルトでは、ログファイルは永続的に保存
• インサイトイベント(後述)は
異常なアクティビティから通常 30 分以内にバケットに配信
© 2021, Amazon Web Services, Inc. or its Affiliates.
14
AWS CloudTrail ”の“セキュリティ&コンプライアンス
複数の コンプライアンスプログラムの⼀環として、AWS CloudTrail のセキュリ
ティとコンプライアンスの評価が⾏われています
すべてのプログラムを確認するには・・・
コンプライアンスプログラムによる AWS 対象範囲内のサービス
https://aws.amazon.com/jp/compliance/programs/
など
© 2021, Amazon Web Services, Inc. or its Affiliates.
15
証跡ログの保存、保護
© 2021, Amazon Web Services, Inc. or its Affiliates.
16
AWS CloudTrail 証跡の作成
© 2021, Amazon Web Services, Inc. or its Affiliates.
17
証跡ログ 3つのイベント
管理イベント データイベント
AWSアカウントのリソース
上またはリソース内で実⾏
されたリソースオペレー
ション
AWS アカウントのリソース
で実⾏される管理オペレー
ション
インサイトイベント
管理イベントのAPI コールボ
リュームの計測値が、通常
のパターンから外れた場合
に⽣成
例)
• ログ記録の設定
• ネットワーク構成変更
• コンフィグの参照
• デバイスの登録
例)
• Amazon S3 オブジェクトレ
ベルの API アクティビティ
(GetObject、DeleteObject、
PutObject APIなど)
• AWS Lambda 関数の実⾏ア
クティビティ (Invoke API)
コントロールプレーン
オペレーション
データプレーン
オペレーション
読み取り専⽤ではない管
理イベントの異常な傾向
例)
• リソースプロビジョニング
の急上昇
• IAMアクションのバースト
• 定期的なメンテナンスアク
ティビティのギャップ
© 2021, Amazon Web Services, Inc. or its Affiliates.
18
証跡ログの出⼒先とライフサイクル
CloudWatch Logsへ出⼒
(オプション)
Amazon
CloudWatch Logs
Amazon S3
バケット
Amazon Glacier
ボールト
S3バケットへ出⼒
短期間 中⻑期間 ⻑期間
ライフサイクルの例
〜14⽇ 〜90⽇ 〜2年
AWS
CloudTrail
Amazon S3 バケットを基本に、Amazon CloudWatch Logsへの出⼒もサポート
要件に応じた証跡ログのモニタリング、アーカイブ、バックアップを構成可能
ログデータのエクスポート
KMS暗号化された
S3バケットへの出⼒を
サポートしない点に留意
© 2021, Amazon Web Services, Inc. or its Affiliates.
19
証跡ログの集約
リージョンやアカウント毎の証跡ログを集約することで運⽤を容易にする
アカウント A
ap-northeast-1
us-west-2
その他
ap-northeast-1
ap-northeast-1
アカウント A
アカウント B
その他
アカウント E
すべてのリージョンのログを
1 つのリージョンへ
すべてのアカウントのログを
1 つのアカウントへ
AWS Cloud AWS Cloud
© 2021, Amazon Web Services, Inc. or its Affiliates.
20
AWS Organizationsとの連携
組織毎に統合された証跡の作成を強制することが可能
AWS Cloud(メンバーアカウント)
AWS Cloud(マネジメントアカウント)
AWS
CloudTrail
②「組織内のすべて
のアカウントについ
て有効化」を選択
管理者
AWSServiceRoleForCloudTrail
AWS CloudTrail
証跡の作成
AWS
Organizations
①CloudTrail
統合の設定
AWS Cloud(ログアーカイブアカウント)
Amazon S3
バケット
組織の証跡の作成を準備する
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html
© 2021, Amazon Web Services, Inc. or its Affiliates.
21
証跡ログ 保護の重要性
• コンプライアンス要件
• データの耐久性、改ざん検知
• “Write Once Read Many” (WORM)モデル など
• 係争時の説明、証拠能⼒の維持
• 証跡が真正なものであることを説明するのはお客様の責任
• 証拠裁判主義の下の⾃由⼼証主義(⽇本国の場合)
刑事訴訟法第318条
証拠の証明⼒は、裁判官の⾃由な判断に委ねる。
⺠事訴訟法第247条
裁判所は、判決をするに当たり、⼝頭弁論の全
趣旨及び証拠調べの結果をしん酌して、⾃由な
⼼証により、事実についての主張を採⽤すべき
か否かを判断する
© 2021, Amazon Web Services, Inc. or its Affiliates.
22
証跡ログの保護:AWS CloudTrail ログファイル整合性検証
電⼦署名のメカニズムにより証跡ログがAWS CloudTrail以外によって変更されてい
ないことを検証可能にする
AWS CloudTrail
ログファイルの整合性
3:15 AM に有効化
ログファイル
SHA-256
ハッシュ
アルゴリズム
3:21 AM
3:48 AM
4:08 AM
ハッシュ
028374
269920
782342
1 時間ごとのダイジェストファイル
4:15 AM に作成および署名
AWS CLIによる検証実行例
$ aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap-
northeast-1:123456789012:trail/example-trail-name --start-time
2021-01-01T00:00:00Z --end-time 2021-01-18T23:59:59Z
© 2021, Amazon Web Services, Inc. or its Affiliates.
23
証跡ログの保護:Amazon S3/Glacierの保護設定
機能 概要 特記事項
KMS暗号化 鍵へのアクセス権を持たないユーザーや第三者か
らの意図しない参照を予防
バケットにデフォルト暗号化を設定し
すべてのオブジェクトを暗号化
バージョニング オブジェクトの更新ごとに新しいバージョンを作
成、ユーザーの意図しない削除操作から保護し、
削除されたオブジェクトの取得を容易にする
ライフサイクルポリシーを使⽤してコ
ストをコントロール
MFA Delete オブジェクトの削除にMFA認証を要求 バージョニングの有効化が必要
オブジェクトロック(S3)
ボールトロック(Glacier)
“Write Once Read Many” (WORM)モデルによる
保護
保護期間中にデータを削除したい場合
は、AWSアカウントの解約によって
データの破棄が可能
レプリケーション Amazon S3 バケット間でオブジェクトを⾃動で
⾮同期的にコピー
Amazon S3の仕様に準ずる(※)
Amazon S3 レプリケーション
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/replication.html
Amazon S3 がレプリケートするもの
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/replication-what-is-isnot-replicated.html
※
© 2021, Amazon Web Services, Inc. or its Affiliates.
24
証跡ログの保護を確実にするAWS Config Rules
AWS CloudTrailに関連するAWSマネージドルールを要件にあわせて有効化
機能 概要
cloudtrail-enabled AWS アカウントで AWS CloudTrail が有効になっているかどうかを確認します。
cloud-trail-log-file-
validation-enabled
AWS CloudTrail でログを含むダイジェストファイルを作成するかどうかを確認します。
cloud-trail-encryption-
enabled
AWS CloudTrail がサーバー側の暗号化 (SSE) AWS Key Management Service (AWS
KMS) カスタマーマスターキー (CMK) 暗号化を使⽤するよう設定されているかどうかを
確認します。
cloudtrail-s3-dataevents-
enabled
少なくとも 1 つの AWS CloudTrail 証跡がすべての S3 バケットの Amazon S3 データイ
ベントをログ記録しているかどうかを確認します。
cloudtrail-security-trail-
enabled
セキュリティのベストプラクティスで定義されている AWS CloudTrail 証跡が少なくと
も 1 つあることを確認します。
multi-region-cloudtrail-
enabled
マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。
cloud-trail-cloud-watch-
logs-enabled
AWS CloudTrail 証跡がログを Amazon CloudWatch Logs に送信するように設定されて
いるかどうかを確認します。
© 2021, Amazon Web Services, Inc. or its Affiliates.
25
コスト最適化
© 2021, Amazon Web Services, Inc. or its Affiliates.
26
コスト最適化の考え⽅
利⽤料⾦の仕組み
• 管理イベントの最初の配信のみ無料、2つめからは有料
• データイベント、インサイトイベントは、全ての配信が有料
• Amazon CloudWatchに配信した場合、Amazon CloudWatchの利⽤料が発⽣
すなわち、
配信する証跡を多く設定すると、同⼀のデータの出⼒であっても追加コストが発⽣
イベントセレクターやデザインパターンによってコストを最適化
© 2021, Amazon Web Services, Inc. or its Affiliates.
27
イベントセレクター:データイベントログの選択的保存
Amazon S3のデータイベント
を限定して保存する例
注:選択的保存が出来るのはデータイベントのみ
© 2021, Amazon Web Services, Inc. or its Affiliates.
28
デザインパターン
AWS
CloudTrail
ログファイル
⽤途①
⽤途② AWS
CloudTrail
ログファイル
⽤途①
⽤途②
Amazon S3
バケット
⽤途毎に証跡を設定するパターン 集約した証跡を⽤途毎にロードするパターン
保存⽤
ログ
AWS CloudTrailから出⼒する際の重複を少なくするとコストが節約できる
集約データを⽤途に応じてロードするのは柔軟性の⾼い⼀般的なアプローチ
保存⽤
ログ
© 2021, Amazon Web Services, Inc. or its Affiliates.
29
証跡ログの調査
© 2021, Amazon Web Services, Inc. or its Affiliates.
30
証跡ログでわかること
AWS
CloudTrail
誰?
どこ? いつ?
何?
誰が API コールを
実⾏したか
どこから API コールが実
⾏されたか
いつ API コールが実⾏されたか
どのような API コールで、
どのリソースが影響を受けたか
© 2021, Amazon Web Services, Inc. or its Affiliates.
31
証跡ログの例
{
"Records": [{
"eventVersion": "1.0",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn":
"arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "EXAMPLE_KEY_ID",
"userName": "Alice"
},
"eventTime": "2018-03-06T21:01:59Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "StopInstances",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.176",
"userAgent": "ec2-api-tools 1.6.12.2",
"responseElements": {
"instancesSet": {
"items": [{
"instanceId": "i-ebeaf9e2",
"currentState": {
"code": 64,
"name": "stopping"
},
"previousState": {
"code": 16,
"name": "running"
}
"requestParameters": {
"instancesSet": {
"items": [{
"instanceId": "i-ebeaf9e2"
}]
},
"force": false
},
誰がリクエストを⾏ったか いつ、どこから
何がリクエストされたか
どんな応答があったか
© 2021, Amazon Web Services, Inc. or its Affiliates.
32
AWS Cloud Trail イベント履歴
• 過去 90 ⽇間のイベントを無料で参照、ダウンロード可能(管理イベントのみ)
• 単⼀の属性キーに対するフィルタリング機能を有する
• クエリなどを⽤いた⾼度な検索、調査機能はない
© 2021, Amazon Web Services, Inc. or its Affiliates.
33
AWS Cloud Trail イベント履歴(マネジメントコンソール)
イベントの条件フィルタリング
表⽰カラムの追加
(オプション)
イベント⽐較表⽰
© 2021, Amazon Web Services, Inc. or its Affiliates.
34
AWS Cloud Trail イベント履歴(AWS CLI / SDK)
$ aws cloudtrail lookup-events --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
$ aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt
AWS CLI を使用して CloudTrail イベントを表示する
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/view-cloudtrail-events-cli.html
AWS CloudTrail lookupEvents
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/APIReference/API_LookupEvents.html
フィルタリング条件の⼊⼒にJSONを利⽤する
属性キーでフィルタリングする
• AccessKeyId
• EventId
• EventName
• EventSource
• ReadOnly
• ResourceName
• ResourceType
• Username
指定可能な属性キー
$ aws cloudtrail lookup-events --start-time <timestamp> --end-time <timestamp>
タイムスタンプでフィルタリングする
$ aws cloudtrail lookup-events help
コマンドラインのヘルプを取得する
© 2021, Amazon Web Services, Inc. or its Affiliates.
35
保存場所ごとの適した調査⼿法
Amazon
CloudWatch Logs
Amazon S3
バケット
Amazon
CloudWatch Logs
Insights
Amazon Athena
Amazon
Elasticsearch Service
など
データ参照
データ取り込み
データ参照
Amazon Glacier
ボールト
データ取り出し
⾼度で応⽤的な
選択肢
簡便かつ限定的な
選択肢
最も基本となる
選択肢
エクスポート
© 2021, Amazon Web Services, Inc. or its Affiliates.
36
Amazon Athena
Amazon S3 内のデータを SQL で分析できるインタラクティブなクエリサービス
• データのロードや集約が不要
• サーバーレス/フルマネージド/従量課⾦
Amazon
Athena
データを
クエリする
テーブルを
作成する
データセットを
選択する
利用手順
© 2021, Amazon Web Services, Inc. or its Affiliates.
37
AWS CloudTrail 証跡ログのテーブルの作成
マネジメントコンソールを使用して自動作成
手動あるいはカスタマイズしたテーブルを作成するには・・・
手動パーティション処理を使用して CloudTrail で Athena ログのテーブルを作成する
https://docs.aws.amazon.com/ja_jp/athena/latest/ug/cloudtrail-logs.html
© 2021, Amazon Web Services, Inc. or its Affiliates.
38
Amazon Athena 操作例
対象期間内の
コンソールログインを
抜粋し全て表⽰した例
テーブルの定義はいつでも確認可能
SQL⽂で
調査クエリを記述
© 2021, Amazon Web Services, Inc. or its Affiliates.
39
Amazon Elasticsearch Service
• RESTful 分散検索/分析エンジンElasticsearchのフルマネージドサービス
• ⼤規模かつ簡単でコスト効率の良い⽅法を使⽤してデプロイ、保護、実⾏
• インスタンスとストレージの維持に追加コストが発⽣
• Kibanaによる可観測性(オブザーバビリティ)をサポート
データを
クエリする
データの抽出・変
換・取り込み
インスタンスの
デプロイ
利用手順
© 2021, Amazon Web Services, Inc. or its Affiliates.
40
Amazon Elasticsearch Service 操作例
画像は後で貼り替え
検索条件、フィルタリング条件の指定
複数ログの
横断的分析指定
Amazon S3のPutObjectイベントから
特定の条件を除外し抽出した例
© 2021, Amazon Web Services, Inc. or its Affiliates.
41
Amazon CloudWatch Logs Insights
Amazon CloudWatch Logs内のデータを独⾃のクエリ⾔語を⽤いて分析できるイン
タラクティブなクエリサービス
• データのロードや集約が不要
• サーバーレス/フルマネージド/従量課⾦
データを
クエリする
対象期間を
指定する
ロググループを
選択する
Amazon
CloudWatch Logs
Insights
利用手順
© 2021, Amazon Web Services, Inc. or its Affiliates.
42
Amazon CloudWatch Logs Insights 操作例
対象期間内のユーザー
作成イベントを抜粋し
可視化した実⾏例
①ロググループを選択
(複数選択可) ②期間を選択
③クエリを記述
© 2021, Amazon Web Services, Inc. or its Affiliates.
43
着⽬するフィールドは調査の⽬的によって異なる
調査⽬的の例
• アクションに失敗した原因を究明したい
• アラートの原因究明のため前後の挙動を確認したい
• 特定のユーザーや送信元IPアドレスからの操作を時系列に整理したい
など
• userIdentity
• eventsource
• sourceIpAddress
• userAgent
• eventName
• requestParameters
• responseElements
• errorCode
• errorMessage
ログ調査時に参照される典型的なフィールド
© 2021, Amazon Web Services, Inc. or its Affiliates.
44
UserIdentity要素
• リクエストを⾏ったプリンシパルの種類(Type)と使⽤された認証情報を⽰す
• ロールを利⽤したプリンシパルを特定するには、さらに追加で要素の参照が必要
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAJ45Q7YFFAREXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "”,
"userName": "Alice”}
CloudTrail userIdentity 要素
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html
UserIdentity要素の例
Alice(IAMユーザー)
の操作であることが判る
© 2021, Amazon Web Services, Inc. or its Affiliates.
45
ロールを利⽤したプリンシパルを特定する(ケース1)
特定の条件下ではRoleSessionName値がロールを利⽤したプリンシパルを⽰す
• マネジメントコンソールを⽤いたスイッチロール
• AWSリソースにアタッチされたIAMロール(例:インスタンスプロファイル)
• RoleSessionNameにプリンシパルを含めるように構成されたSAML/Web ID フェデレーション
• Conditionにて“sts:RoleSessionName”に“${aws:username}”の指定を強制したIAMロール(※)
• その他RoleSessionNameにプリンシパルを含めてAssumeRoleされたケース
など
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXXXXXXXEXAMPLE: RoleSessionName ",
"arn": "arn:aws:sts::123456789012:assumed-role/role-name/RoleSessionName ",
"accountId": " 123456789012",
"accessKeyId": "ASIAXXXXXXXEXAMPLE
※IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定
https://aws.amazon.com/jp/about-aws/whats-new/2020/04/now-easily-
identify-the-identity-responsible-for-the-actions-performed-using-iam-roles/
プリンシパルを特定したいロールが実⾏したイベント この値からロールを利⽤した
プリンシパルを確認
© 2021, Amazon Web Services, Inc. or its Affiliates.
46
ロールを利⽤したプリンシパルを特定する(ケース2)
いくつかの⽅法で特定可能、
たとえば、対応するAssumeRoleイベントを特定しUserIdentity要素を確認する
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIDPPEZS35WEXAMPLE:MySessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "123456789012",
"accessKeyId": "",
"sessionContext": {
"attributes": { "mfaAuthenticated": "false", "creationDate": "20131102T010628Z" },
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIDPPEZS35WEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed”
} }
プリンシパルを特定したいロールが実⾏したイベント
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAAAAAAAAAAAAAAAAAA",
"arn": "arn:aws:iam::123456789012 :user/Alice",
"userName": "Alice”},
"eventName": "AssumeRole",
"responseElements": {
"assumedRoleUser": {
"assumedRoleId": "AROAIDPPEZS35WEXAMPLE:MySessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",} }
AssumeRoleイベント
①対応するIDを探索 ②UserIdentityを参照
※一部要素省略
※一部要素省略
© 2021, Amazon Web Services, Inc. or its Affiliates.
47
⼀意の識別⼦とフレンドリ名、ARN
IAM がユーザー、グループ、ロール、ポリシー、インスタンスプロファイルなどを
作成するとき、各リソースには次のような⼀意の識別⼦が割り当てられる
多くの場合、“Alice”のようなフレンドリ名と ARNを⽤いて識別可能だが、⼀意の識
別⼦は以下のようなケースにおいてもその各々を⼀意に識別することを可能とする
• IAM ユーザー名を再利⽤しているケースにおける、削除前のユーザーと再作成後
のユーザー など
IAMユーザーの⼀意の識別⼦例
AIDAJQABLZS4A3QDU576Q
⼀意の識別⼦
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids
プレフィクス4⽂字はリソースタイプを⽰す
IAMロールの⼀意の識別⼦例
AROAIDPPEZS35WEXAMPLE
© 2021, Amazon Web Services, Inc. or its Affiliates.
48
errorMessage/errorCode要素
• リクエストがエラーを返す場合にその詳細を出⼒
• サービスによって出⼒するフィールドの階層が異なる
• 最上位のフィールドとして提供するパターン
• responseElements の⼀部として提供するパターン
• errorMessage/errorCodeが存在しないイベントはリクエストに成功している
"eventName": "CreateAccessKey",
"errorCode": "AccessDenied",
"errorMessage": "User: arn:aws:iam::123456789012:user/alice is not authorized to perform:
iam:CreateAccessKey on resource: user alice",
権限不⾜によりアクセスキーの作成がエラーとなった例
© 2021, Amazon Web Services, Inc. or its Affiliates.
49
証跡ログのモニタリング、脅威検出
© 2021, Amazon Web Services, Inc. or its Affiliates.
50
モニタリング、脅威検知のステップアップ
有効化するのみで開始できるモニタリング、
脅威検知のサービスや機能を利⽤
独⾃のモニタリング、脅威検知を構成し、
メカニズムをメンテナンスする
© 2021, Amazon Web Services, Inc. or its Affiliates.
51
モニタリング、脅威検知に⽤いられるサービスや機能の例
機械学習、脅威インテリジェンスに基づく
モニタリング、脅威検知のサービスや機能
Amazon
Elasticsearch
Service
お客様独⾃のモニタリング、脅威検知を
実装可能なサービスや機能
Amazon
GuardDuty
など
Amazon CloudWatch
Logs
など
AWS CloudTrail
Insights
© 2021, Amazon Web Services, Inc. or its Affiliates.
52
Amazon GuardDutyとは
• セキュリティの観点から脅威を検知するAWSマネージドサービス
• 悪意のあるIPアドレス、異常検出、機械学習などの統合脅威インテリジェンスを
使⽤して脅威を認識
• IDS/IPSなどで検出が難しいAWSのアカウントやバケットの侵害も検出する
Threat intel,
ML/AI
Anomaly
Detection
偵察⾏為
インスタンス侵害
アカウント/バケット侵害
DNS Logs
HIGH
MEDIUM
LOW
Findings
データソース
脅威の種類
Flow logs
CloudTrail Event
Amazon
GuardDuty
© 2021, Amazon Web Services, Inc. or its Affiliates.
53
AWS CloudTrail Insights
管理イベントを⾃動的に分析して通常の動作のベースラインを確⽴、APIコール
レートの異常なパターンを検出 RunInsntaces APIの
コールレート上昇を
検知し確認した例
© 2021, Amazon Web Services, Inc. or its Affiliates.
54
Amazon CloudWatch Logsとは
特定のフレーズ、値、またはパターンを⾒つけるためにログをリアルタイムで
モニタリングするマネージドサービス
CloudWatch > Log Groups > PostgreSQL1 > PostgreSQL-Logs
Expand all Row Text
Time (UTC +01:00) Message
“LOG” all 30s 5m 1h 6h 1d 1w custom
16:17:43
16:17:43
16:17:43
16:17:43
2019-05-17 ::: @ >LOG: database system was shut down at 2019-05-17 16:17:42 EST
2019-05-17 ::: @ >LOG: MultiXact member wraparound protections are now enabled
2019-05-17 ::: @ >LOG: database system is ready to accept connections
2019-05-17 :: [unknown] : [unknown] @ [unknown] >LOG: connection received : host=12…
2019-05-17 :: [unknown] : [unknown] @ [unknown] >LOG: connection received : host = 120.154.68.29 port = 56329
© 2021, Amazon Web Services, Inc. or its Affiliates.
55
Amazon CloudWatch Logsによるモニタリング例
AWS
CloudTrail
Amazon
CloudWatch
アラーム
Amazon SNS
E メール通知
CloudWatch Logs
メトリクスフィルター
CloudWatch Logsにログを送信す
るように CloudTrail を設定する
1
アラームをトリガーするメ
トリクスを指定して、ルー
トアカウントの使⽤を検出
するようにフィルタを作成
する
2
メトリクスがトリガーされたと
きに Amazon SNS 通知を送信す
るようにアラームを作成する
3
メール通知からイベントが
発⽣したことを確認する
4
ユーザー
© 2021, Amazon Web Services, Inc. or its Affiliates.
56
Amazon CloudWatch Logsによるモニタリングパターンの例
CloudTrail構成変更
• StopLogging
• DeleteTrail
• UpdateTrail
ネットワーク構成変更
• AttachInternetGateway
• AssociateRouteTable
• CreateRoute
• DeleteCustomerGateway
• DeleteInternetGateway
• DeleteRoute
• DeleteRouteTable
• DeleteDhcpOptions
ルートアカウントでの操作
• "type":"Root"
IAMポリシーの削除、付与
• DeleteGroupPolicy
• DeleteRole
• DeleteRolePolicy
• DeleteUserPolicy
• PutGroupPolicy
• PutRolePolicy
• PutUserPolicy
操作の失敗、エラー
• Unauthorized*
• errorCode
• AccessDenied
• Failed authentication
インスタンスの起動、終了
• RunInstances
• CreateInstances
• LaunchInstances
• TerminateInstances
• DisassociateRouteTable
• CreateNetworkAcl
• CreateNetworkAclEntry
• DeleteNetworkAcl
• DeleteNetworkAclEntry
• ReplaceNetworkAclEntry
• ReplaceNetworkAclAssociation
© 2021, Amazon Web Services, Inc. or its Affiliates.
57
SIEM on Amazon Elasticsearch Service (Amazon ES)
• AWS サービスのログの可視化やセキュリティ分析を実現するテンプレート
• デプロイはAWS CloudFormation を⽤い約20分で完了
• 分析対象のログを S3 バケットにエクスポートするだけで、複数種類のログに対
する相関分析、作成済みのダッシュボードによる可視化が可能
CloudTrail証跡ログ可視化ダッシュボードの例
https://github.com/aws-samples/siem-on-amazon-elasticsearch/
© 2021, Amazon Web Services, Inc. or its Affiliates.
58
ふりかえり
© 2021, Amazon Web Services, Inc. or its Affiliates.
59
Key Takeaways
• まずベースラインとして「ログの保全と脅威検知の有効化」から始める
• すべてのAWSリージョンでAWS CloudTrailの証跡の有効化
• Amazon GuradDutyの有効化
• 次に「AWS CloudTrail でのセキュリティのベストプラクティス」を取り込む
• さらに「調査、モニタリング、脅威検出」の体制整備を進める
© 2021, Amazon Web Services, Inc. or its Affiliates.
60
AWS CloudTrail セキュリティのベストプラクティス抜粋
• 専⽤および⼀元化されたAmazon S3バケットへのログ記録
• AWS KMSで管理されたキーを使⽤したサーバー側の暗号化
• ログファイルを保存するAmazon S3バケットで MFA Delete を有効にする
• ログファイルを保存するAmazon S3バケットでオブジェクトのライフサイクル管
理を設定する
• ログファイルを保存する Amazon S3バケットへの最⼩限の特権アクセスを実装
• AWS CloudTrailへの特権アクセス(例:AWSCloudTrailFullAccessポリシー)を
最⼩化 AWS CloudTrail でのセキュリティのベストプラクティス
https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/best-practices-security.html
© 2021, Amazon Web Services, Inc. or its Affiliates.
61
適材適所の調査⼿法の選択
Amazon
CloudWatch Logs
Amazon S3
バケット
Amazon
CloudWatch Logs
Insights
Amazon Athena
Amazon
Elasticsearch Service
など
データ参照
データ取り込み
データ参照
Amazon Glacier
ボールト
データ取り出し
⾼度で応⽤的な
選択肢
簡便かつ限定的な
選択肢
最も基本となる
選択肢
エクスポート
© 2021, Amazon Web Services, Inc. or its Affiliates.
62
Q&A
ご質問への回答は
AWS Japan Blog 「https://aws.amazon.com/jp/blogs/news/」にて
後⽇掲載します。
質問を投げることができます!
• 書き込んだ質問は、主催者にしか⾒えません
• 今後のロードマップに関するご質問は
お答えできませんのでご了承下さい
Twitter ハッシュタグは以下をご利⽤ください
#awsblackbelt
① 吹き出しをクリック
② 質問を⼊⼒
③ Sendをクリック
© 2021, Amazon Web Services, Inc. or its Affiliates.
64
AWS の⽇本語資料の場所「AWS 資料」で検索
https://amzn.to/JPArchive
© 2021, Amazon Web Services, Inc. or its Affiliates.
65
AWS Well-Architected 個別技術相談会
毎週”W-A個別技術相談会”を実施中
• AWSのソリューションアーキテクト(SA)に
対策などを相談することも可能
• 申込みはイベント告知サイトから
(https://aws.amazon.com/jp/about-aws/events/)
で[検索]
AWS イベント
© 2021, Amazon Web Services, Inc. or its Affiliates.
66
AWS 公式 Webinar
https://amzn.to/JPWebinar
過去資料
https://amzn.to/JPArchive
ご視聴ありがとうございました

Más contenido relacionado

Was ist angesagt?

20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...Amazon Web Services Japan
 
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage GatewayAWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage GatewayAmazon Web Services Japan
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本Amazon Web Services Japan
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep diveAmazon Web Services Japan
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model  20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model Amazon Web Services Japan
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipelineAmazon Web Services Japan
 
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...Amazon Web Services Japan
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)Amazon Web Services Japan
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield AdvancedAmazon Web Services Japan
 
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS OpsWorks
AWS Black Belt Online Seminar 2017 AWS OpsWorksAWS Black Belt Online Seminar 2017 AWS OpsWorks
AWS Black Belt Online Seminar 2017 AWS OpsWorksAmazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)Amazon Web Services Japan
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...Amazon Web Services Japan
 
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM 20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM Amazon Web Services Japan
 
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMRAmazon Web Services Japan
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-RayAmazon Web Services Japan
 
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...Amazon Web Services Japan
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQLAmazon Web Services Japan
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用Amazon Web Services Japan
 

Was ist angesagt? (20)

20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
 
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
 
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage GatewayAWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model  20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
 
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
 
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
 
AWS Black Belt Online Seminar 2017 AWS OpsWorks
AWS Black Belt Online Seminar 2017 AWS OpsWorksAWS Black Belt Online Seminar 2017 AWS OpsWorks
AWS Black Belt Online Seminar 2017 AWS OpsWorks
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
 
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM 20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
 
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
 
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
 

Ähnlich wie 20210119 AWS Black Belt Online Seminar AWS CloudTrail

AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfHayato Kiriyama
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点Tomohiro Nakashima
 
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublicjunkoy66
 
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報Amazon Web Services Japan
 
[最新版は別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar AWS re:Inven...
[最新版は別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar AWS re:Inven...[最新版は別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar AWS re:Inven...
[最新版は別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar AWS re:Inven...Amazon Web Services Japan
 
[最新版(12/5 最新版) が別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar A...
[最新版(12/5 最新版) が別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar A...[最新版(12/5 最新版) が別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar A...
[最新版(12/5 最新版) が別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar A...Amazon Web Services Japan
 
20220624 私の検証環境のいま
20220624 私の検証環境のいま20220624 私の検証環境のいま
20220624 私の検証環境のいまMasaru Ogura
 
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築Junji Nishihara
 
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows PowershellAWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows PowershellAmazon Web Services Japan
 
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShellAmazon Web Services Japan
 
CloudFormation/SAMのススメ
CloudFormation/SAMのススメCloudFormation/SAMのススメ
CloudFormation/SAMのススメEiji KOMINAMI
 
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or ServerlessRunning Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or ServerlessKeisuke Nishitani
 

Ähnlich wie 20210119 AWS Black Belt Online Seminar AWS CloudTrail (20)

AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
 
AWS Update 2011/10
AWS Update 2011/10AWS Update 2011/10
AWS Update 2011/10
 
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)
 
20191125 Container Security
20191125 Container Security20191125 Container Security
20191125 Container Security
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
 
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
 
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報
 
[最新版は別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar AWS re:Inven...
[最新版は別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar AWS re:Inven...[最新版は別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar AWS re:Inven...
[最新版は別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar AWS re:Inven...
 
[最新版(12/5 最新版) が別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar A...
[最新版(12/5 最新版) が別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar A...[最新版(12/5 最新版) が別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar A...
[最新版(12/5 最新版) が別にございます! Descriptionをご確認ください] AWS Black Belt Online Seminar A...
 
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
 
AWS Black Belt Techシリーズ AWS IAM
AWS Black Belt Techシリーズ AWS IAMAWS Black Belt Techシリーズ AWS IAM
AWS Black Belt Techシリーズ AWS IAM
 
20220624 私の検証環境のいま
20220624 私の検証環境のいま20220624 私の検証環境のいま
20220624 私の検証環境のいま
 
はじめてのAWS CLI
はじめてのAWS CLIはじめてのAWS CLI
はじめてのAWS CLI
 
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
 
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows PowershellAWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
 
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
 
CloudFormation/SAMのススメ
CloudFormation/SAMのススメCloudFormation/SAMのススメ
CloudFormation/SAMのススメ
 
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or ServerlessRunning Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
Running Java Apps with Amazon EC2, AWS Elastic Beanstalk or Serverless
 
Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明
 
Ops jaws meetup#3
Ops jaws meetup#3Ops jaws meetup#3
Ops jaws meetup#3
 

Mehr von Amazon Web Services Japan

Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したことAmazon Web Services Japan
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介Amazon Web Services Japan
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチAmazon Web Services Japan
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介Amazon Web Services Japan
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...Amazon Web Services Japan
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operationsAmazon Web Services Japan
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報Amazon Web Services Japan
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをなAmazon Web Services Japan
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPNAmazon Web Services Japan
 
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)Amazon Web Services Japan
 
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)Amazon Web Services Japan
 
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)Amazon Web Services Japan
 
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法Amazon Web Services Japan
 
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤Amazon Web Services Japan
 

Mehr von Amazon Web Services Japan (20)

Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
 
20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
 
AWS の IoT 向けサービス
AWS の IoT 向けサービスAWS の IoT 向けサービス
AWS の IoT 向けサービス
 
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
 
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
 
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
 
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
 
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
 
03_AWS IoTのDRを考える
03_AWS IoTのDRを考える03_AWS IoTのDRを考える
03_AWS IoTのDRを考える
 

Último

SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」IGDA Japan SIG-Audio
 
これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024Hideki Saito
 
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜Naomi Yamasaki
 
The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))yoshidakids7
 
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdfIGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdfIGDA Japan SIG-Audio
 
バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析sugiuralab
 
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。iPride Co., Ltd.
 
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~honeshabri
 
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版Takayuki Nakayama
 
00001_test_automation_portfolio_20240313
00001_test_automation_portfolio_2024031300001_test_automation_portfolio_20240313
00001_test_automation_portfolio_20240313ssuserf8ea02
 
チームで開発するための環境を整える
チームで開発するための環境を整えるチームで開発するための環境を整える
チームで開発するための環境を整えるonozaty
 
AWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作りAWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作りiPride Co., Ltd.
 

Último (12)

SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
 
これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024
 
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
 
The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))
 
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdfIGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
 
バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析
 
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
 
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
 
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
 
00001_test_automation_portfolio_20240313
00001_test_automation_portfolio_2024031300001_test_automation_portfolio_20240313
00001_test_automation_portfolio_20240313
 
チームで開発するための環境を整える
チームで開発するための環境を整えるチームで開発するための環境を整える
チームで開発するための環境を整える
 
AWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作りAWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作り
 

20210119 AWS Black Belt Online Seminar AWS CloudTrail

  • 1. © 2021, Amazon Web Services, Inc. or its Affiliates. 1 AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive Security Solutions Architect 中島 智広 2021/01/19 AWS CloudTrail サービスカットシリーズ [AWS Black Belt Online Seminar]
  • 2. © 2021, Amazon Web Services, Inc. or its Affiliates. 2 ⾃⼰紹介 中島 智広(Tomohiro Nakashima) AWS Security Solutions Architect お客様のセキュリティの取り組みを AWSアーキテクチャの視点からご⽀援 好きなAWSサービス セキュリティ関連サービス全般
  • 3. © 2021, Amazon Web Services, Inc. or its Affiliates. 3 AWS Black Belt Online Seminar とは 「サービス別」「ソリューション別」「業種別」のそれぞれのテーマに分かれて、アマゾ ン ウェブ サービス ジャパン株式会社が主催するオンラインセミナーシリーズです。 質問を投げることができます! • 書き込んだ質問は、主催者にしか⾒えません • 今後のロードマップに関するご質問は お答えできませんのでご了承下さい Twitter ハッシュタグは以下をご利⽤ください #awsblackbelt ① 吹き出しをクリック ② 質問を⼊⼒ ③ Sendをクリック
  • 4. © 2021, Amazon Web Services, Inc. or its Affiliates. 4 内容についての注意点 • 本資料では2021年1⽉19⽇時点のサービス内容および価格についてご説明しています。最新の 情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 • 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に 相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。⽇本居住者のお客様には別途消費税をご請求させていただ きます。 • AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
  • 5. © 2021, Amazon Web Services, Inc. or its Affiliates. 5 本セミナーの概要 AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運⽤監査、 リスク監査を⾏うためのサービスです。 AWS CloudTrail を使⽤すると、AWS インフラストラクチャ全体でアカウントアク ティビティをログに記録し、継続的にモニタリングし、保持できます。 本セミナーでは、AWS CloudTrailの基礎と、その活⽤⽅法について解説します。
  • 6. © 2021, Amazon Web Services, Inc. or its Affiliates. 6 はじめに/Key Takeaways • まずベースラインとして「ログの保全と脅威検知の有効化」から始める • すべてのAWSリージョンでAWS CloudTrailの証跡の有効化 • Amazon GuradDutyの有効化 • 次に「AWS CloudTrail でのセキュリティのベストプラクティス」を取り込む • さらに「調査、モニタリング、脅威検出」の体制を整備する
  • 7. © 2021, Amazon Web Services, Inc. or its Affiliates. 7 Agenda 1. AWS CloudTrailの基本 2. 証跡ログの保存、保護 3. コスト最適化 4. 証跡ログの調査 5. 証跡ログのモニタリング、脅威検出 6. ふりかえり
  • 8. © 2021, Amazon Web Services, Inc. or its Affiliates. 8 AWS CloudTrailの基本
  • 9. © 2021, Amazon Web Services, Inc. or its Affiliates. 9 AWSの操作はAPIを通じて提供される AWS の サービスの API エンド ポイント API インターフェイス AWS SDK AWS CLI そのほかの AWS のサービス AWS マネジメント コンソール
  • 10. © 2021, Amazon Web Services, Inc. or its Affiliates. 10 APIリクエストの認証認可、証跡取得 HTTP/HTTPS クライアント API インターフェイス IAM AWS CloudTrail AWS サービスの API エンドポイント API リクエスト 認証・認可 証跡取得
  • 11. © 2021, Amazon Web Services, Inc. or its Affiliates. 11 AWS CloudTrailはリージョン毎のサービス 証跡の保存はリージョン毎に有効化が必要(ただし⼀括有効化オプション有り) AWS CloudTrail のリージョン別エンドポイントの例 サンパウロ バージニア北部 モントリオール AWS GovCloud (⻄部) オハイオ バージニアカリフォルニア オレゴン ロンドン アイルランド パリ フランクフルト 北京 寧夏 ムンバイ シンガポール シドニー 東京 ソウル ⼤阪 AWS GovCloud (東部) ストックホルム バーレーン ⾹港
  • 12. © 2021, Amazon Web Services, Inc. or its Affiliates. 12 AWS CloudTrailが保存する証跡 • AWS CloudTrailがサポートする全てのサービスのAPIイベント • API リクエストによって直接トリガーされない⼀部のイベント • AWS マネジメントコンソールへのログイン試⾏、 AWS フォーラム、および AWS サポートセンター • すべての IAM ユーザーのサインインの試⾏ • AWS アカウントのルートユーザーの成功したサインイン試⾏ など CloudTrail サポートされるサービスと統合 https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html CloudTrail でサポートされていないサービス https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-unsupported-aws-services.html
  • 13. © 2021, Amazon Web Services, Inc. or its Affiliates. 13 AWS CloudTrail 証跡ログの出⼒タイミング • ログファイルは1 時間に複数回、約 5 分ごとに発⾏ • アカウントアクティビティは通常 15 分以内に配信 • デフォルトでは、ログファイルは永続的に保存 • インサイトイベント(後述)は 異常なアクティビティから通常 30 分以内にバケットに配信
  • 14. © 2021, Amazon Web Services, Inc. or its Affiliates. 14 AWS CloudTrail ”の“セキュリティ&コンプライアンス 複数の コンプライアンスプログラムの⼀環として、AWS CloudTrail のセキュリ ティとコンプライアンスの評価が⾏われています すべてのプログラムを確認するには・・・ コンプライアンスプログラムによる AWS 対象範囲内のサービス https://aws.amazon.com/jp/compliance/programs/ など
  • 15. © 2021, Amazon Web Services, Inc. or its Affiliates. 15 証跡ログの保存、保護
  • 16. © 2021, Amazon Web Services, Inc. or its Affiliates. 16 AWS CloudTrail 証跡の作成
  • 17. © 2021, Amazon Web Services, Inc. or its Affiliates. 17 証跡ログ 3つのイベント 管理イベント データイベント AWSアカウントのリソース 上またはリソース内で実⾏ されたリソースオペレー ション AWS アカウントのリソース で実⾏される管理オペレー ション インサイトイベント 管理イベントのAPI コールボ リュームの計測値が、通常 のパターンから外れた場合 に⽣成 例) • ログ記録の設定 • ネットワーク構成変更 • コンフィグの参照 • デバイスの登録 例) • Amazon S3 オブジェクトレ ベルの API アクティビティ (GetObject、DeleteObject、 PutObject APIなど) • AWS Lambda 関数の実⾏ア クティビティ (Invoke API) コントロールプレーン オペレーション データプレーン オペレーション 読み取り専⽤ではない管 理イベントの異常な傾向 例) • リソースプロビジョニング の急上昇 • IAMアクションのバースト • 定期的なメンテナンスアク ティビティのギャップ
  • 18. © 2021, Amazon Web Services, Inc. or its Affiliates. 18 証跡ログの出⼒先とライフサイクル CloudWatch Logsへ出⼒ (オプション) Amazon CloudWatch Logs Amazon S3 バケット Amazon Glacier ボールト S3バケットへ出⼒ 短期間 中⻑期間 ⻑期間 ライフサイクルの例 〜14⽇ 〜90⽇ 〜2年 AWS CloudTrail Amazon S3 バケットを基本に、Amazon CloudWatch Logsへの出⼒もサポート 要件に応じた証跡ログのモニタリング、アーカイブ、バックアップを構成可能 ログデータのエクスポート KMS暗号化された S3バケットへの出⼒を サポートしない点に留意
  • 19. © 2021, Amazon Web Services, Inc. or its Affiliates. 19 証跡ログの集約 リージョンやアカウント毎の証跡ログを集約することで運⽤を容易にする アカウント A ap-northeast-1 us-west-2 その他 ap-northeast-1 ap-northeast-1 アカウント A アカウント B その他 アカウント E すべてのリージョンのログを 1 つのリージョンへ すべてのアカウントのログを 1 つのアカウントへ AWS Cloud AWS Cloud
  • 20. © 2021, Amazon Web Services, Inc. or its Affiliates. 20 AWS Organizationsとの連携 組織毎に統合された証跡の作成を強制することが可能 AWS Cloud(メンバーアカウント) AWS Cloud(マネジメントアカウント) AWS CloudTrail ②「組織内のすべて のアカウントについ て有効化」を選択 管理者 AWSServiceRoleForCloudTrail AWS CloudTrail 証跡の作成 AWS Organizations ①CloudTrail 統合の設定 AWS Cloud(ログアーカイブアカウント) Amazon S3 バケット 組織の証跡の作成を準備する https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html
  • 21. © 2021, Amazon Web Services, Inc. or its Affiliates. 21 証跡ログ 保護の重要性 • コンプライアンス要件 • データの耐久性、改ざん検知 • “Write Once Read Many” (WORM)モデル など • 係争時の説明、証拠能⼒の維持 • 証跡が真正なものであることを説明するのはお客様の責任 • 証拠裁判主義の下の⾃由⼼証主義(⽇本国の場合) 刑事訴訟法第318条 証拠の証明⼒は、裁判官の⾃由な判断に委ねる。 ⺠事訴訟法第247条 裁判所は、判決をするに当たり、⼝頭弁論の全 趣旨及び証拠調べの結果をしん酌して、⾃由な ⼼証により、事実についての主張を採⽤すべき か否かを判断する
  • 22. © 2021, Amazon Web Services, Inc. or its Affiliates. 22 証跡ログの保護:AWS CloudTrail ログファイル整合性検証 電⼦署名のメカニズムにより証跡ログがAWS CloudTrail以外によって変更されてい ないことを検証可能にする AWS CloudTrail ログファイルの整合性 3:15 AM に有効化 ログファイル SHA-256 ハッシュ アルゴリズム 3:21 AM 3:48 AM 4:08 AM ハッシュ 028374 269920 782342 1 時間ごとのダイジェストファイル 4:15 AM に作成および署名 AWS CLIによる検証実行例 $ aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap- northeast-1:123456789012:trail/example-trail-name --start-time 2021-01-01T00:00:00Z --end-time 2021-01-18T23:59:59Z
  • 23. © 2021, Amazon Web Services, Inc. or its Affiliates. 23 証跡ログの保護:Amazon S3/Glacierの保護設定 機能 概要 特記事項 KMS暗号化 鍵へのアクセス権を持たないユーザーや第三者か らの意図しない参照を予防 バケットにデフォルト暗号化を設定し すべてのオブジェクトを暗号化 バージョニング オブジェクトの更新ごとに新しいバージョンを作 成、ユーザーの意図しない削除操作から保護し、 削除されたオブジェクトの取得を容易にする ライフサイクルポリシーを使⽤してコ ストをコントロール MFA Delete オブジェクトの削除にMFA認証を要求 バージョニングの有効化が必要 オブジェクトロック(S3) ボールトロック(Glacier) “Write Once Read Many” (WORM)モデルによる 保護 保護期間中にデータを削除したい場合 は、AWSアカウントの解約によって データの破棄が可能 レプリケーション Amazon S3 バケット間でオブジェクトを⾃動で ⾮同期的にコピー Amazon S3の仕様に準ずる(※) Amazon S3 レプリケーション https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/replication.html Amazon S3 がレプリケートするもの https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/replication-what-is-isnot-replicated.html ※
  • 24. © 2021, Amazon Web Services, Inc. or its Affiliates. 24 証跡ログの保護を確実にするAWS Config Rules AWS CloudTrailに関連するAWSマネージドルールを要件にあわせて有効化 機能 概要 cloudtrail-enabled AWS アカウントで AWS CloudTrail が有効になっているかどうかを確認します。 cloud-trail-log-file- validation-enabled AWS CloudTrail でログを含むダイジェストファイルを作成するかどうかを確認します。 cloud-trail-encryption- enabled AWS CloudTrail がサーバー側の暗号化 (SSE) AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) 暗号化を使⽤するよう設定されているかどうかを 確認します。 cloudtrail-s3-dataevents- enabled 少なくとも 1 つの AWS CloudTrail 証跡がすべての S3 バケットの Amazon S3 データイ ベントをログ記録しているかどうかを確認します。 cloudtrail-security-trail- enabled セキュリティのベストプラクティスで定義されている AWS CloudTrail 証跡が少なくと も 1 つあることを確認します。 multi-region-cloudtrail- enabled マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。 cloud-trail-cloud-watch- logs-enabled AWS CloudTrail 証跡がログを Amazon CloudWatch Logs に送信するように設定されて いるかどうかを確認します。
  • 25. © 2021, Amazon Web Services, Inc. or its Affiliates. 25 コスト最適化
  • 26. © 2021, Amazon Web Services, Inc. or its Affiliates. 26 コスト最適化の考え⽅ 利⽤料⾦の仕組み • 管理イベントの最初の配信のみ無料、2つめからは有料 • データイベント、インサイトイベントは、全ての配信が有料 • Amazon CloudWatchに配信した場合、Amazon CloudWatchの利⽤料が発⽣ すなわち、 配信する証跡を多く設定すると、同⼀のデータの出⼒であっても追加コストが発⽣ イベントセレクターやデザインパターンによってコストを最適化
  • 27. © 2021, Amazon Web Services, Inc. or its Affiliates. 27 イベントセレクター:データイベントログの選択的保存 Amazon S3のデータイベント を限定して保存する例 注:選択的保存が出来るのはデータイベントのみ
  • 28. © 2021, Amazon Web Services, Inc. or its Affiliates. 28 デザインパターン AWS CloudTrail ログファイル ⽤途① ⽤途② AWS CloudTrail ログファイル ⽤途① ⽤途② Amazon S3 バケット ⽤途毎に証跡を設定するパターン 集約した証跡を⽤途毎にロードするパターン 保存⽤ ログ AWS CloudTrailから出⼒する際の重複を少なくするとコストが節約できる 集約データを⽤途に応じてロードするのは柔軟性の⾼い⼀般的なアプローチ 保存⽤ ログ
  • 29. © 2021, Amazon Web Services, Inc. or its Affiliates. 29 証跡ログの調査
  • 30. © 2021, Amazon Web Services, Inc. or its Affiliates. 30 証跡ログでわかること AWS CloudTrail 誰? どこ? いつ? 何? 誰が API コールを 実⾏したか どこから API コールが実 ⾏されたか いつ API コールが実⾏されたか どのような API コールで、 どのリソースが影響を受けたか
  • 31. © 2021, Amazon Web Services, Inc. or its Affiliates. 31 証跡ログの例 { "Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2018-03-06T21:01:59Z", "eventSource": "ec2.amazonaws.com", "eventName": "StopInstances", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.176", "userAgent": "ec2-api-tools 1.6.12.2", "responseElements": { "instancesSet": { "items": [{ "instanceId": "i-ebeaf9e2", "currentState": { "code": 64, "name": "stopping" }, "previousState": { "code": 16, "name": "running" } "requestParameters": { "instancesSet": { "items": [{ "instanceId": "i-ebeaf9e2" }] }, "force": false }, 誰がリクエストを⾏ったか いつ、どこから 何がリクエストされたか どんな応答があったか
  • 32. © 2021, Amazon Web Services, Inc. or its Affiliates. 32 AWS Cloud Trail イベント履歴 • 過去 90 ⽇間のイベントを無料で参照、ダウンロード可能(管理イベントのみ) • 単⼀の属性キーに対するフィルタリング機能を有する • クエリなどを⽤いた⾼度な検索、調査機能はない
  • 33. © 2021, Amazon Web Services, Inc. or its Affiliates. 33 AWS Cloud Trail イベント履歴(マネジメントコンソール) イベントの条件フィルタリング 表⽰カラムの追加 (オプション) イベント⽐較表⽰
  • 34. © 2021, Amazon Web Services, Inc. or its Affiliates. 34 AWS Cloud Trail イベント履歴(AWS CLI / SDK) $ aws cloudtrail lookup-events --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string> $ aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt AWS CLI を使用して CloudTrail イベントを表示する https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/view-cloudtrail-events-cli.html AWS CloudTrail lookupEvents https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/APIReference/API_LookupEvents.html フィルタリング条件の⼊⼒にJSONを利⽤する 属性キーでフィルタリングする • AccessKeyId • EventId • EventName • EventSource • ReadOnly • ResourceName • ResourceType • Username 指定可能な属性キー $ aws cloudtrail lookup-events --start-time <timestamp> --end-time <timestamp> タイムスタンプでフィルタリングする $ aws cloudtrail lookup-events help コマンドラインのヘルプを取得する
  • 35. © 2021, Amazon Web Services, Inc. or its Affiliates. 35 保存場所ごとの適した調査⼿法 Amazon CloudWatch Logs Amazon S3 バケット Amazon CloudWatch Logs Insights Amazon Athena Amazon Elasticsearch Service など データ参照 データ取り込み データ参照 Amazon Glacier ボールト データ取り出し ⾼度で応⽤的な 選択肢 簡便かつ限定的な 選択肢 最も基本となる 選択肢 エクスポート
  • 36. © 2021, Amazon Web Services, Inc. or its Affiliates. 36 Amazon Athena Amazon S3 内のデータを SQL で分析できるインタラクティブなクエリサービス • データのロードや集約が不要 • サーバーレス/フルマネージド/従量課⾦ Amazon Athena データを クエリする テーブルを 作成する データセットを 選択する 利用手順
  • 37. © 2021, Amazon Web Services, Inc. or its Affiliates. 37 AWS CloudTrail 証跡ログのテーブルの作成 マネジメントコンソールを使用して自動作成 手動あるいはカスタマイズしたテーブルを作成するには・・・ 手動パーティション処理を使用して CloudTrail で Athena ログのテーブルを作成する https://docs.aws.amazon.com/ja_jp/athena/latest/ug/cloudtrail-logs.html
  • 38. © 2021, Amazon Web Services, Inc. or its Affiliates. 38 Amazon Athena 操作例 対象期間内の コンソールログインを 抜粋し全て表⽰した例 テーブルの定義はいつでも確認可能 SQL⽂で 調査クエリを記述
  • 39. © 2021, Amazon Web Services, Inc. or its Affiliates. 39 Amazon Elasticsearch Service • RESTful 分散検索/分析エンジンElasticsearchのフルマネージドサービス • ⼤規模かつ簡単でコスト効率の良い⽅法を使⽤してデプロイ、保護、実⾏ • インスタンスとストレージの維持に追加コストが発⽣ • Kibanaによる可観測性(オブザーバビリティ)をサポート データを クエリする データの抽出・変 換・取り込み インスタンスの デプロイ 利用手順
  • 40. © 2021, Amazon Web Services, Inc. or its Affiliates. 40 Amazon Elasticsearch Service 操作例 画像は後で貼り替え 検索条件、フィルタリング条件の指定 複数ログの 横断的分析指定 Amazon S3のPutObjectイベントから 特定の条件を除外し抽出した例
  • 41. © 2021, Amazon Web Services, Inc. or its Affiliates. 41 Amazon CloudWatch Logs Insights Amazon CloudWatch Logs内のデータを独⾃のクエリ⾔語を⽤いて分析できるイン タラクティブなクエリサービス • データのロードや集約が不要 • サーバーレス/フルマネージド/従量課⾦ データを クエリする 対象期間を 指定する ロググループを 選択する Amazon CloudWatch Logs Insights 利用手順
  • 42. © 2021, Amazon Web Services, Inc. or its Affiliates. 42 Amazon CloudWatch Logs Insights 操作例 対象期間内のユーザー 作成イベントを抜粋し 可視化した実⾏例 ①ロググループを選択 (複数選択可) ②期間を選択 ③クエリを記述
  • 43. © 2021, Amazon Web Services, Inc. or its Affiliates. 43 着⽬するフィールドは調査の⽬的によって異なる 調査⽬的の例 • アクションに失敗した原因を究明したい • アラートの原因究明のため前後の挙動を確認したい • 特定のユーザーや送信元IPアドレスからの操作を時系列に整理したい など • userIdentity • eventsource • sourceIpAddress • userAgent • eventName • requestParameters • responseElements • errorCode • errorMessage ログ調査時に参照される典型的なフィールド
  • 44. © 2021, Amazon Web Services, Inc. or its Affiliates. 44 UserIdentity要素 • リクエストを⾏ったプリンシパルの種類(Type)と使⽤された認証情報を⽰す • ロールを利⽤したプリンシパルを特定するには、さらに追加で要素の参照が必要 "userIdentity": { "type": "IAMUser", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "”, "userName": "Alice”} CloudTrail userIdentity 要素 https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html UserIdentity要素の例 Alice(IAMユーザー) の操作であることが判る
  • 45. © 2021, Amazon Web Services, Inc. or its Affiliates. 45 ロールを利⽤したプリンシパルを特定する(ケース1) 特定の条件下ではRoleSessionName値がロールを利⽤したプリンシパルを⽰す • マネジメントコンソールを⽤いたスイッチロール • AWSリソースにアタッチされたIAMロール(例:インスタンスプロファイル) • RoleSessionNameにプリンシパルを含めるように構成されたSAML/Web ID フェデレーション • Conditionにて“sts:RoleSessionName”に“${aws:username}”の指定を強制したIAMロール(※) • その他RoleSessionNameにプリンシパルを含めてAssumeRoleされたケース など "userIdentity": { "type": "AssumedRole", "principalId": "AROAXXXXXXXEXAMPLE: RoleSessionName ", "arn": "arn:aws:sts::123456789012:assumed-role/role-name/RoleSessionName ", "accountId": " 123456789012", "accessKeyId": "ASIAXXXXXXXEXAMPLE ※IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定 https://aws.amazon.com/jp/about-aws/whats-new/2020/04/now-easily- identify-the-identity-responsible-for-the-actions-performed-using-iam-roles/ プリンシパルを特定したいロールが実⾏したイベント この値からロールを利⽤した プリンシパルを確認
  • 46. © 2021, Amazon Web Services, Inc. or its Affiliates. 46 ロールを利⽤したプリンシパルを特定する(ケース2) いくつかの⽅法で特定可能、 たとえば、対応するAssumeRoleイベントを特定しUserIdentity要素を確認する "userIdentity": { "type": "AssumedRole", "principalId": "AROAIDPPEZS35WEXAMPLE:MySessionName", "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName", "accountId": "123456789012", "accessKeyId": "", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "20131102T010628Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAIDPPEZS35WEXAMPLE", "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed", "accountId": "123456789012", "userName": "RoleToBeAssumed” } } プリンシパルを特定したいロールが実⾏したイベント "userIdentity": { "type": "IAMUser", "principalId": "AIDAAAAAAAAAAAAAAAAAA", "arn": "arn:aws:iam::123456789012 :user/Alice", "userName": "Alice”}, "eventName": "AssumeRole", "responseElements": { "assumedRoleUser": { "assumedRoleId": "AROAIDPPEZS35WEXAMPLE:MySessionName", "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",} } AssumeRoleイベント ①対応するIDを探索 ②UserIdentityを参照 ※一部要素省略 ※一部要素省略
  • 47. © 2021, Amazon Web Services, Inc. or its Affiliates. 47 ⼀意の識別⼦とフレンドリ名、ARN IAM がユーザー、グループ、ロール、ポリシー、インスタンスプロファイルなどを 作成するとき、各リソースには次のような⼀意の識別⼦が割り当てられる 多くの場合、“Alice”のようなフレンドリ名と ARNを⽤いて識別可能だが、⼀意の識 別⼦は以下のようなケースにおいてもその各々を⼀意に識別することを可能とする • IAM ユーザー名を再利⽤しているケースにおける、削除前のユーザーと再作成後 のユーザー など IAMユーザーの⼀意の識別⼦例 AIDAJQABLZS4A3QDU576Q ⼀意の識別⼦ https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids プレフィクス4⽂字はリソースタイプを⽰す IAMロールの⼀意の識別⼦例 AROAIDPPEZS35WEXAMPLE
  • 48. © 2021, Amazon Web Services, Inc. or its Affiliates. 48 errorMessage/errorCode要素 • リクエストがエラーを返す場合にその詳細を出⼒ • サービスによって出⼒するフィールドの階層が異なる • 最上位のフィールドとして提供するパターン • responseElements の⼀部として提供するパターン • errorMessage/errorCodeが存在しないイベントはリクエストに成功している "eventName": "CreateAccessKey", "errorCode": "AccessDenied", "errorMessage": "User: arn:aws:iam::123456789012:user/alice is not authorized to perform: iam:CreateAccessKey on resource: user alice", 権限不⾜によりアクセスキーの作成がエラーとなった例
  • 49. © 2021, Amazon Web Services, Inc. or its Affiliates. 49 証跡ログのモニタリング、脅威検出
  • 50. © 2021, Amazon Web Services, Inc. or its Affiliates. 50 モニタリング、脅威検知のステップアップ 有効化するのみで開始できるモニタリング、 脅威検知のサービスや機能を利⽤ 独⾃のモニタリング、脅威検知を構成し、 メカニズムをメンテナンスする
  • 51. © 2021, Amazon Web Services, Inc. or its Affiliates. 51 モニタリング、脅威検知に⽤いられるサービスや機能の例 機械学習、脅威インテリジェンスに基づく モニタリング、脅威検知のサービスや機能 Amazon Elasticsearch Service お客様独⾃のモニタリング、脅威検知を 実装可能なサービスや機能 Amazon GuardDuty など Amazon CloudWatch Logs など AWS CloudTrail Insights
  • 52. © 2021, Amazon Web Services, Inc. or its Affiliates. 52 Amazon GuardDutyとは • セキュリティの観点から脅威を検知するAWSマネージドサービス • 悪意のあるIPアドレス、異常検出、機械学習などの統合脅威インテリジェンスを 使⽤して脅威を認識 • IDS/IPSなどで検出が難しいAWSのアカウントやバケットの侵害も検出する Threat intel, ML/AI Anomaly Detection 偵察⾏為 インスタンス侵害 アカウント/バケット侵害 DNS Logs HIGH MEDIUM LOW Findings データソース 脅威の種類 Flow logs CloudTrail Event Amazon GuardDuty
  • 53. © 2021, Amazon Web Services, Inc. or its Affiliates. 53 AWS CloudTrail Insights 管理イベントを⾃動的に分析して通常の動作のベースラインを確⽴、APIコール レートの異常なパターンを検出 RunInsntaces APIの コールレート上昇を 検知し確認した例
  • 54. © 2021, Amazon Web Services, Inc. or its Affiliates. 54 Amazon CloudWatch Logsとは 特定のフレーズ、値、またはパターンを⾒つけるためにログをリアルタイムで モニタリングするマネージドサービス CloudWatch > Log Groups > PostgreSQL1 > PostgreSQL-Logs Expand all Row Text Time (UTC +01:00) Message “LOG” all 30s 5m 1h 6h 1d 1w custom 16:17:43 16:17:43 16:17:43 16:17:43 2019-05-17 ::: @ >LOG: database system was shut down at 2019-05-17 16:17:42 EST 2019-05-17 ::: @ >LOG: MultiXact member wraparound protections are now enabled 2019-05-17 ::: @ >LOG: database system is ready to accept connections 2019-05-17 :: [unknown] : [unknown] @ [unknown] >LOG: connection received : host=12… 2019-05-17 :: [unknown] : [unknown] @ [unknown] >LOG: connection received : host = 120.154.68.29 port = 56329
  • 55. © 2021, Amazon Web Services, Inc. or its Affiliates. 55 Amazon CloudWatch Logsによるモニタリング例 AWS CloudTrail Amazon CloudWatch アラーム Amazon SNS E メール通知 CloudWatch Logs メトリクスフィルター CloudWatch Logsにログを送信す るように CloudTrail を設定する 1 アラームをトリガーするメ トリクスを指定して、ルー トアカウントの使⽤を検出 するようにフィルタを作成 する 2 メトリクスがトリガーされたと きに Amazon SNS 通知を送信す るようにアラームを作成する 3 メール通知からイベントが 発⽣したことを確認する 4 ユーザー
  • 56. © 2021, Amazon Web Services, Inc. or its Affiliates. 56 Amazon CloudWatch Logsによるモニタリングパターンの例 CloudTrail構成変更 • StopLogging • DeleteTrail • UpdateTrail ネットワーク構成変更 • AttachInternetGateway • AssociateRouteTable • CreateRoute • DeleteCustomerGateway • DeleteInternetGateway • DeleteRoute • DeleteRouteTable • DeleteDhcpOptions ルートアカウントでの操作 • "type":"Root" IAMポリシーの削除、付与 • DeleteGroupPolicy • DeleteRole • DeleteRolePolicy • DeleteUserPolicy • PutGroupPolicy • PutRolePolicy • PutUserPolicy 操作の失敗、エラー • Unauthorized* • errorCode • AccessDenied • Failed authentication インスタンスの起動、終了 • RunInstances • CreateInstances • LaunchInstances • TerminateInstances • DisassociateRouteTable • CreateNetworkAcl • CreateNetworkAclEntry • DeleteNetworkAcl • DeleteNetworkAclEntry • ReplaceNetworkAclEntry • ReplaceNetworkAclAssociation
  • 57. © 2021, Amazon Web Services, Inc. or its Affiliates. 57 SIEM on Amazon Elasticsearch Service (Amazon ES) • AWS サービスのログの可視化やセキュリティ分析を実現するテンプレート • デプロイはAWS CloudFormation を⽤い約20分で完了 • 分析対象のログを S3 バケットにエクスポートするだけで、複数種類のログに対 する相関分析、作成済みのダッシュボードによる可視化が可能 CloudTrail証跡ログ可視化ダッシュボードの例 https://github.com/aws-samples/siem-on-amazon-elasticsearch/
  • 58. © 2021, Amazon Web Services, Inc. or its Affiliates. 58 ふりかえり
  • 59. © 2021, Amazon Web Services, Inc. or its Affiliates. 59 Key Takeaways • まずベースラインとして「ログの保全と脅威検知の有効化」から始める • すべてのAWSリージョンでAWS CloudTrailの証跡の有効化 • Amazon GuradDutyの有効化 • 次に「AWS CloudTrail でのセキュリティのベストプラクティス」を取り込む • さらに「調査、モニタリング、脅威検出」の体制整備を進める
  • 60. © 2021, Amazon Web Services, Inc. or its Affiliates. 60 AWS CloudTrail セキュリティのベストプラクティス抜粋 • 専⽤および⼀元化されたAmazon S3バケットへのログ記録 • AWS KMSで管理されたキーを使⽤したサーバー側の暗号化 • ログファイルを保存するAmazon S3バケットで MFA Delete を有効にする • ログファイルを保存するAmazon S3バケットでオブジェクトのライフサイクル管 理を設定する • ログファイルを保存する Amazon S3バケットへの最⼩限の特権アクセスを実装 • AWS CloudTrailへの特権アクセス(例:AWSCloudTrailFullAccessポリシー)を 最⼩化 AWS CloudTrail でのセキュリティのベストプラクティス https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/best-practices-security.html
  • 61. © 2021, Amazon Web Services, Inc. or its Affiliates. 61 適材適所の調査⼿法の選択 Amazon CloudWatch Logs Amazon S3 バケット Amazon CloudWatch Logs Insights Amazon Athena Amazon Elasticsearch Service など データ参照 データ取り込み データ参照 Amazon Glacier ボールト データ取り出し ⾼度で応⽤的な 選択肢 簡便かつ限定的な 選択肢 最も基本となる 選択肢 エクスポート
  • 62. © 2021, Amazon Web Services, Inc. or its Affiliates. 62 Q&A ご質問への回答は AWS Japan Blog 「https://aws.amazon.com/jp/blogs/news/」にて 後⽇掲載します。 質問を投げることができます! • 書き込んだ質問は、主催者にしか⾒えません • 今後のロードマップに関するご質問は お答えできませんのでご了承下さい Twitter ハッシュタグは以下をご利⽤ください #awsblackbelt ① 吹き出しをクリック ② 質問を⼊⼒ ③ Sendをクリック
  • 63. © 2021, Amazon Web Services, Inc. or its Affiliates. 64 AWS の⽇本語資料の場所「AWS 資料」で検索 https://amzn.to/JPArchive
  • 64. © 2021, Amazon Web Services, Inc. or its Affiliates. 65 AWS Well-Architected 個別技術相談会 毎週”W-A個別技術相談会”を実施中 • AWSのソリューションアーキテクト(SA)に 対策などを相談することも可能 • 申込みはイベント告知サイトから (https://aws.amazon.com/jp/about-aws/events/) で[検索] AWS イベント
  • 65. © 2021, Amazon Web Services, Inc. or its Affiliates. 66 AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive ご視聴ありがとうございました