SlideShare ist ein Scribd-Unternehmen logo

Security JAWS Amazon GuardDuty 20180223

Hayato Kiriyama
Hayato Kiriyama

2018/02/23にAWS目黒オフィスで開催されたSecurity JAWSでの登壇資料です。

Technologie
1 von 24
Downloaden Sie, um offline zu lesen
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Hayato Kiriyama February 23, 2018 Amazon GuardDuty 「みんなでクラウドセキュリティの 見張り役になろう」
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. サンプルケース – 不正アクセス/侵入検知防御 AWSの該当事項 お客様の該当事項 推奨される追加の対応事項 AWS は、ISO 27001 規格に合わせて、AWS リソースに 対する論理アクセスについて最小限の基準を示す正式 なポリシー、手続きを規定しています。 AWS SOC レポートには、AWS リソースに対するアクセ スプロビジョニングを管理するために用意されている統 制の概要が記載されています。 詳細は、AWSウェブサイトの「アマゾンウェブサービス: セキュリティプロセスの概要」 (https://aws.amazon.com/jp/security/security- resources/ ⇒ AWS セキュリティプロセスのご紹介(日 本語))を参照してください。 また、AWS は、Payment Card Industry (PCI) データセ キュリティ基準(Data Security Standard/DSS)のレベル1 に準拠しています。詳細については、AWS Artifact (https://console.aws.amazon.com/artifact) を使用して、 PCI DSS Attestation of Compliance (AOC) と Responsibility Summary をリクエストしてください。 AWSのお客様は、お客様が定義した要件に従って、お客様の ネットワークトラフィックを管理する責任を有します。 ファイアウォール、ルータ等は、AWSではSecurity Group、 Route Table、NetworkACL等に該当します。お客様は、これら のAWSリソースを適切に構成し、必要最小限のアクセスを許 可するよう設計する必要があります。 また、Amazon GuardDuty はマネージド型の 脅威検出サービスです。悪意のある操作や不正な動作を継 続的に監視し、AWS アカウントとワークロードを保護します。 アカウント侵害の可能性を示す異常な API コールや潜在的 に不正なデプロイといったアクティビティが監視の対象となり ます。インスタンスへの侵入の可能性や攻撃者による偵察と いった脅威も、GuardDuty によって検出されます。 必要に応じてAWS WAFを利用して、ルー ルベースで外部からの不正アクセス・攻撃 を防御することができます。 侵入検知に明確な要件がある場合には、 サードパーティのサービスを利用して侵入 検知等の防御対策を講じることを強く推奨 します。 https://aws.amazon.com/jp/solutions/sol ution-providers-japan/technology- partners/ アーキテクチャダ イアグラムの該当 箇所 AWS CloudFormation テンプレートにおける実装の概要 AWS リソースタイプ AWS CloudFormation テンプレート名 (スタック) 17, 18, 19, 20, 22, 23, 26 VPC内でSecurityGroupおよびNetworkACLによってネットワークセグ メントを分割し、パブリックサブネットを従来のDMZに見立てて利用し ています。また、パラメータで指定された場合はAmazon GuardDutyを 有効化します。 AWS::EC2::SecurityGroup AWS::EC2::NetworkAcl AWS::EC2::NetworkAclEntry AWS::GuardDuty::Detector vpc-management vpc-production guardduty
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. What is GuardDuty ? • AWSアカウントを、セキュリティの観点から継続的にモ ニタリング・分析し、セキュリティリスクを可視化・検 知するAWSマネージド・サービス • 分析のソースには下記を利用し、メタデータの連続スト リームを分析 • VPC Flow Logs • AWS CloudTrail Event Logs • DNS Logs • 既知の悪意のあるIPアドレス、異常検出、機械学習などの 統合脅威インテリジェンスを使用して、脅威を認識
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon GuardDuty - 利用可能なリージョン 東京リージョンでご利用頂けます • Asia Pacific (ムンバイ) • Asia Pacific (ソウル) • Asia Pacific (シンガポール) • Asia Pacific (シドニー) • Asia Pacific (東京) • Canada (セントラル) • EU (フランクフルト) • EU (アイルランド) • EU (ロンドン) • US East (北バージニア) • US East (オハイオ) • US West (北カリフォルニア) • US West (オレゴン) • South America (サンパウロ)
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Setting Up Amazon GuardDuty
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Setting Up Amazon GuardDuty
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. What can you monitor today ? • 検知できる内容(一部代表例) • EC2上で発生する悪意のあるアクティビティ • クレデンシャルを悪用したアクション • GuardDutyが、悪意の可能性のあるアクティビティを 検知すると、Findings(結果)を生成します • Findings Summary • Resource Affected • Action • Actor
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. What can you monitor today ?
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Severity Levels for GuardDuty Findings • GuardDutyが検知するFindingsには重要度(Severity)が 設定されている • 重要度は、0.0 – 10.0 の範囲で設定 • High (重要度: 高) : Severity 7.0 – 8.9 • 例) EC2 instance / IAM user credentials 関連 • Medium (重要度: 中) : Severity 4.0 – 6.9 • 例) 大量トラフィック、通常アクティビティから外れる動き • Low (重要度: 低) : Severity 0.1 – 3.9 • 例) リソースに影響を及ぼす前にブロックされた悪意の疑いの あるアクティブティ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Finding Types • Backdoor:EC2/XORDDOS • Backdoor:EC2/Spambot • Backdoor:EC2/C&CActivity.B!DNS • Behavior:IAMUser/InstanceLaunchUnusual • Behavior:EC2/NetworkPortUnusual • Behavior:EC2/TrafficVolumeUnusual • CryptoCurrency:EC2/BitcoinTool.A • CryptoCurrency:EC2/BitcoinTool.B!DNS • PenTest:IAMUser/KaliLinux • Recon:EC2/PortProbeUnprotectedPort • Recon:IAMUser/TorIPCaller • Recon:IAMUser/MaliciousIPCaller.Custom • Recon:IAMUser/MaliciousIPCaller • Recon:EC2/Portscan • Stealth:IAMUser/PasswordPolicyChange • Stealth:IAMUser/CloudTrailLoggingDisabled • Trojan:EC2/BlackholeTraffic • Trojan:EC2/DropPoint • Trojan:EC2/BlackholeTraffic!DNS • Trojan:EC2/DriveBySourceTraffic!DNS • Trojan:EC2/DropPoint!DNS • Trojan:EC2/DGADomainRequest.B • Trojan:EC2/DNSDataExfiltration • UnauthorizedAccess:IAMUser/TorIPCaller • UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom • UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B • UnauthorizedAccess:IAMUser/MaliciousIPCaller • UnauthorizedAccess:IAMUser/UnusualASNCaller • UnauthorizedAccess:EC2/TorIPCaller • UnauthorizedAccess:EC2/MaliciousIPCaller.Custom • UnauthorizedAccess:EC2/SSHBruteForce • UnauthorizedAccess:EC2/RDPBruteForce • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html#crypto3
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Finding Types サンプル CryptoCurrency:EC2/BitcoinTool.B!DNS • EC2 インスタンスは、ビットコインに関連する既知のドメインと通 信 • AWS 環境の EC2 インスタンスがビットコインに関連する既知のド メインと通信していることを検知・通知 ThreatPurpose ThreatFamilyName ThreatFamilyVariant: ResourceTypeAffecte d / . ! Artifact CryptoCurrency BitcoinTool B: EC2 / . ! DNS
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Trusted IP Lists and Threat Lists • Trusted IP List : 登録されたIPリストはホワイトリストさ れ、登録IPに対するアクティビティは、GuardDutyは Findingsとして検知しない • Threat List : 既知の悪意のあるIPリストを登録可能。登 録したThreat Listに基づき GuardDuty Findings として 通知
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Trusted IP Lists and Threat Lists の設定
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • 感染したインスタンスの封じ込め • 漏洩したAWSクレデンシャルの不正利用防止 例:以下のケースに対して自動的に緩和策を実施 GuardDuty CloudWatch Events Lambda Amazon GuardDuty Amazon CloudWatch CloudWatch Event Lambda Function AWS Lambda Findingsからの対応
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • GuardDutyのFindingsにより感染インスタンスが特定される • CloudWatch Event のアラームが Lambda 関数を起動 • 該当インスタンスのタグに応じて自動アクションさせる、もしくは重要 な本番サーバーであれば手動対応するなども可能 Lambda Lambda Function AWS Lambda • Lambda 関数例: • 該当Security Groupから該当インスタンス を削除し、新規インスタンス追加 • EBSボリュームのスナップショット取得 • セキュリティチームにメール/Slack通知 Findingsからの対応
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Managing AWS Accounts in Amazon GuardDuty • あるAWSアカウントで検知したFindingを、他AWSアカ ウントのGuardDutyに転送することが可能 • 例えば、セキュリティ管理アカウントに他AWSアカウントの GuardDuty Findingsを集約し一元管理が可能
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 価格 • GuardDuty は2つのディメンジョンの合計金額が課金 されます • CloudTrail Events: 分析されたAWS CloudTrailイベントの数 量(1,000,000イベントあたり)と • VPC Flow Logs/DNS Logs: 分析されたAmazon VPC Flow LogおよびDNS Logデータの量(GBあたり) https://aws.amazon.com/guardduty/pricing/
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon GuardDuty 30-day-Free-Trial
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. GuardDuty Demo Amazon GuardDuty Tester • テスト用のFindingsを生成するためのCloudFormationテンプ レートとサンプルスクリプト • https://github.com/awslabs/amazon-guardduty-tester Amazon GuardDuty Lab • GuardDutyの基本機能を用いて脅威検知した後、Lambdaに よる対応までを体験できるラボ • http://loftlab.gregmcconnel.net/
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Security JAWSの皆様へ お知らせ事項
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSセキュリティ認定試験 今なら試験料半額 & 本試験バウチャーもらえます AWS Certified Security – Specialty exam ができます 3/2までベータ試験受けられます • 受かれば → 認定取得者! • 落ちても → 本試験バウチャーGet! 受験資格: • Associate or Cloud Practitioner保持者 https://aws.amazon.com/blogs/architecture/announcing-our-new-beta-for-the-aws-certified-security-specialty-exam/ AWS Certified Security
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. We Are Hiring! セキュリティソリューションアーキテクト(Security SA)大募集中! Security SA, Compliance Security SA, Managed Services Security SA, Engineering 業界ガイドライン・認 証・法規制・スタン ダードに精通し、顧客 のセキュリティ評価・ リファレンスアーキテ クチャ開発などで顧客 セキュリティ要件実現 AWSセキュリティの マネージドサービスを 用いた顧客ワークロー ドの実現を支援し、 アーキテクチャや運用 の継続的改善を推進 AWSセキュリティに 関連するソリューショ ンを開発。PoC、 デ モ、ハンズオンなど高 度な技術的支援を通じ てセキュアのAWS環 境を実現 NISC, FISC, FinTech, ISO, PCI DSS, HIPAA, GxP, NIST, CIS, Inspector, Config Rules, CloudFormation, Service Catalog MSS, SOC, CSIRT, Incident Response, SSO, GuardDuty, Shield, WAF, Macie, Systems Manager, Well-Architected Security Response, Analysis, IDPS, SIEM, EC2, VPC, RDS, S3, IAM, KMS, Lambda, CI/CD, DevSecOps, Well-Architected https://www.amazon.jobs/en/jobs/627132/s ecurity-solutions-architect-security-engineer https://www.amazon.jobs/en/jobs/629852/securi ty-solutions-architect-managed-security-services https://www.amazon.jobs/en/jobs/629853/s ecurity-solutions-architect-compliance
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSセキュリティエンジニアコミュニティ 目的:AWSセキュリティエンジニア の情報交換プラットフォーム 方針:AWSセキュリティに関するこ とであれば何でもOK 対象:AWSセキュリティに関して • 業務や趣味で利用している方 • 優れた設計(Well-Architected)やベストプラク ティスの情報交換をしたい方 • ブログ等に「やってみた」投稿をする方 • イベント登壇する方 • Security Operation on AWSなどのAWSトレー ニングを受講する方 • AWS Certified Security 認定取得する方 現在、正式発足前のプレメンバー募集しております! AWSセキュリティエンジニア コミュニティ(仮) https://www.facebook.com /groups/2038392602855805/ Hayato Kiriyama まで 名刺交換&DMください! グループに追加します AWS Certified Security Lounge オフサイトイベント招待 AWS CTF ベータ参加者招待 特典例:
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Thank you! Hayato Kiriyama

Empfohlen

DevSecOps in Multi Account
DevSecOps in Multi AccountDevSecOps in Multi Account
DevSecOps in Multi Account
Tomoaki Sakatoku
 
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てAWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
Hinemos
 
AWS WAF Security Automation
AWS WAF Security AutomationAWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
 
aws mackerel twilio_handson_public
aws mackerel twilio_handson_publicaws mackerel twilio_handson_public
aws mackerel twilio_handson_public
Tomoaki Sakatoku
 
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
Yasuhiro Horiuchi
 
AWS運用管理のベストプラクティス hinemosクラウド管理オプションのご紹介
AWS運用管理のベストプラクティス hinemosクラウド管理オプションのご紹介AWS運用管理のベストプラクティス hinemosクラウド管理オプションのご紹介
AWS運用管理のベストプラクティス hinemosクラウド管理オプションのご紹介
Hinemos
 
AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)
Akio Katayama
 
AWS Cloud Design Pattern for Enterprise
AWS Cloud Design Pattern for EnterpriseAWS Cloud Design Pattern for Enterprise
AWS Cloud Design Pattern for Enterprise
Akio Katayama
 

Empfohlen

DevSecOps in Multi Account
DevSecOps in Multi AccountDevSecOps in Multi Account
DevSecOps in Multi Account
Tomoaki Sakatoku
 
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てAWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
Hinemos
 
AWS WAF Security Automation
AWS WAF Security AutomationAWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
 
aws mackerel twilio_handson_public
aws mackerel twilio_handson_publicaws mackerel twilio_handson_public
aws mackerel twilio_handson_public
Tomoaki Sakatoku
 
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
Yasuhiro Horiuchi
 
AWS運用管理のベストプラクティス hinemosクラウド管理オプションのご紹介
AWS運用管理のベストプラクティス hinemosクラウド管理オプションのご紹介AWS運用管理のベストプラクティス hinemosクラウド管理オプションのご紹介
AWS運用管理のベストプラクティス hinemosクラウド管理オプションのご紹介
Hinemos
 
AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)AWSの共有責任モデル(shared responsibility model)
AWSの共有責任モデル(shared responsibility model)
Akio Katayama
 
AWS Cloud Design Pattern for Enterprise
AWS Cloud Design Pattern for EnterpriseAWS Cloud Design Pattern for Enterprise
AWS Cloud Design Pattern for Enterprise
Akio Katayama
 
クラウドで実現するこれからのITとはたらきかた改革
クラウドで実現するこれからのITとはたらきかた改革クラウドで実現するこれからのITとはたらきかた改革
クラウドで実現するこれからのITとはたらきかた改革
Serverworks Co.,Ltd.
 
Security re:Cap 2017
Security re:Cap 2017Security re:Cap 2017
Security re:Cap 2017
Kwiil Kang
 
Amazon guard duty_security_recap
Amazon guard duty_security_recapAmazon guard duty_security_recap
Amazon guard duty_security_recap
Tomoaki Sakatoku
 
クラウドでPCI DSS環境を構築・運用するポイント
クラウドでPCI DSS環境を構築・運用するポイントクラウドでPCI DSS環境を構築・運用するポイント
クラウドでPCI DSS環境を構築・運用するポイント
真吾 吉田
 
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
Tomohiro Nakashima
 
Security Night #1 AWSのセキュリティアプローチとTLS
Security Night #1 AWSのセキュリティアプローチとTLSSecurity Night #1 AWSのセキュリティアプローチとTLS
Security Night #1 AWSのセキュリティアプローチとTLS
hkiriyam
 
クラウドとAWSの説明
クラウドとAWSの説明クラウドとAWSの説明
クラウドとAWSの説明
真吾 吉田
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あうセキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
ShinodaYukihiro
 
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったことAWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
Takayuki Ishikawa
 
AWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービスAWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービス
Ai Hayakawa
 
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016 AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
 
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
真吾 吉田
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
KinoshitaHiroyuki1
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
 
20190124 waf
20190124 waf20190124 waf
20190124 waf
Serverworks Co.,Ltd.
 
いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013
SORACOM, INC
 
非エンジニアのための「今さら聞けない」AWS講座資料
非エンジニアのための「今さら聞けない」AWS講座資料非エンジニアのための「今さら聞けない」AWS講座資料
非エンジニアのための「今さら聞けない」AWS講座資料
NHN テコラス株式会社
 
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
Masaki Takeda
 
Reinforce2021 recap session2
Reinforce2021 recap session2Reinforce2021 recap session2
Reinforce2021 recap session2
Shogo Matsumoto
 
セキュリティを捉えてクラウドを使うためのポイント
セキュリティを捉えてクラウドを使うためのポイントセキュリティを捉えてクラウドを使うためのポイント
セキュリティを捉えてクラウドを使うためのポイント
Yasuhiro Araki, Ph.D
 
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
Amazon Web Services Japan
 
Security Operations and Automation on AWS
Security Operations and Automation on AWSSecurity Operations and Automation on AWS
Security Operations and Automation on AWS
Noritaka Sekiyama
 

Weitere ähnliche Inhalte

Was ist angesagt?

クラウドとAWSの説明
クラウドとAWSの説明クラウドとAWSの説明
クラウドとAWSの説明
真吾 吉田
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
KinoshitaHiroyuki1
 
いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013
SORACOM, INC
 
セキュリティを捉えてクラウドを使うためのポイント
セキュリティを捉えてクラウドを使うためのポイントセキュリティを捉えてクラウドを使うためのポイント
セキュリティを捉えてクラウドを使うためのポイント
Yasuhiro Araki, Ph.D
 

Was ist angesagt? (20)

クラウドで実現するこれからのITとはたらきかた改革
クラウドで実現するこれからのITとはたらきかた改革クラウドで実現するこれからのITとはたらきかた改革
クラウドで実現するこれからのITとはたらきかた改革
 
Security re:Cap 2017
Security re:Cap 2017Security re:Cap 2017
Security re:Cap 2017
 
Amazon guard duty_security_recap
Amazon guard duty_security_recapAmazon guard duty_security_recap
Amazon guard duty_security_recap
 
クラウドでPCI DSS環境を構築・運用するポイント
クラウドでPCI DSS環境を構築・運用するポイントクラウドでPCI DSS環境を構築・運用するポイント
クラウドでPCI DSS環境を構築・運用するポイント
 
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
 
Security Night #1 AWSのセキュリティアプローチとTLS
Security Night #1 AWSのセキュリティアプローチとTLSSecurity Night #1 AWSのセキュリティアプローチとTLS
Security Night #1 AWSのセキュリティアプローチとTLS
 
クラウドとAWSの説明
クラウドとAWSの説明クラウドとAWSの説明
クラウドとAWSの説明
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あうセキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
 
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったことAWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
 
AWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービスAWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービス
 
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016 AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
 
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
 
20190124 waf
20190124 waf20190124 waf
20190124 waf
 
いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013
 
非エンジニアのための「今さら聞けない」AWS講座資料
非エンジニアのための「今さら聞けない」AWS講座資料非エンジニアのための「今さら聞けない」AWS講座資料
非エンジニアのための「今さら聞けない」AWS講座資料
 
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
 
Reinforce2021 recap session2
Reinforce2021 recap session2Reinforce2021 recap session2
Reinforce2021 recap session2
 
セキュリティを捉えてクラウドを使うためのポイント
セキュリティを捉えてクラウドを使うためのポイントセキュリティを捉えてクラウドを使うためのポイント
セキュリティを捉えてクラウドを使うためのポイント
 

Ähnlich wie Security JAWS Amazon GuardDuty 20180223

Ähnlich wie Security JAWS Amazon GuardDuty 20180223 (20)

20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
 
Security Operations and Automation on AWS
Security Operations and Automation on AWSSecurity Operations and Automation on AWS
Security Operations and Automation on AWS
 
Data Lake Security on AWS
Data Lake Security on AWSData Lake Security on AWS
Data Lake Security on AWS
 
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
 
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
 
上司の一言から始めるAWSセキュリティ確保生活 〜SecurityHubでスコア100を目指す〜
上司の一言から始めるAWSセキュリティ確保生活 〜SecurityHubでスコア100を目指す〜上司の一言から始めるAWSセキュリティ確保生活 〜SecurityHubでスコア100を目指す〜
上司の一言から始めるAWSセキュリティ確保生活 〜SecurityHubでスコア100を目指す〜
 
Security hub workshop
Security hub workshopSecurity hub workshop
Security hub workshop
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
 
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
 
AWS Nightschool20180618
AWS Nightschool20180618AWS Nightschool20180618
AWS Nightschool20180618
 
AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方
 
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
 
開発者におくるサーバーレスモニタリング
開発者におくるサーバーレスモニタリング開発者におくるサーバーレスモニタリング
開発者におくるサーバーレスモニタリング
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
 
Serverless Application Security on AWS
Serverless Application Security on AWSServerless Application Security on AWS
Serverless Application Security on AWS
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
 
AWS Black Belt Online Seminar 2018 ReInvent recap security other
AWS Black Belt Online Seminar 2018 ReInvent recap security otherAWS Black Belt Online Seminar 2018 ReInvent recap security other
AWS Black Belt Online Seminar 2018 ReInvent recap security other
 
AWS Black Belt Online Seminar 2017 AWS Shield
AWS Black Belt Online Seminar 2017 AWS ShieldAWS Black Belt Online Seminar 2017 AWS Shield
AWS Black Belt Online Seminar 2017 AWS Shield
 
Introduction to New CloudWatch Agent
Introduction to New CloudWatch AgentIntroduction to New CloudWatch Agent
Introduction to New CloudWatch Agent
 

Mehr von Hayato Kiriyama

Mehr von Hayato Kiriyama (18)

Security JAWS AWS reInvent 2022 Security reCap 20230228
Security JAWS AWS reInvent 2022 Security reCap 20230228Security JAWS AWS reInvent 2022 Security reCap 20230228
Security JAWS AWS reInvent 2022 Security reCap 20230228
 
Security JAWS re:Invent 2021 Security re:Cap 20220228
Security JAWS re:Invent 2021 Security re:Cap 20220228Security JAWS re:Invent 2021 Security re:Cap 20220228
Security JAWS re:Invent 2021 Security re:Cap 20220228
 
AWS re:Inforce 2021 re:Cap 1
AWS re:Inforce 2021 re:Cap 1 AWS re:Inforce 2021 re:Cap 1
AWS re:Inforce 2021 re:Cap 1
 
Security-JAWS reInvent2020 Security reCap 20210218
Security-JAWS reInvent2020 Security reCap 20210218Security-JAWS reInvent2020 Security reCap 20210218
Security-JAWS reInvent2020 Security reCap 20210218
 
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214
 
AWS re:Inforce 2019 re:Cap Opening and Closing
AWS re:Inforce 2019 re:Cap Opening and ClosingAWS re:Inforce 2019 re:Cap Opening and Closing
AWS re:Inforce 2019 re:Cap Opening and Closing
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
AWS re:Invent 2018 Security re:Cap Opening & AWS Control Tower
AWS re:Invent 2018 Security re:Cap Opening & AWS Control TowerAWS re:Invent 2018 Security re:Cap Opening & AWS Control Tower
AWS re:Invent 2018 Security re:Cap Opening & AWS Control Tower
 
[Speech workshop] Find Yourself In The Contest
[Speech workshop] Find Yourself In The Contest[Speech workshop] Find Yourself In The Contest
[Speech workshop] Find Yourself In The Contest
 
JAWS DAYS 2018 Community-based Security
JAWS DAYS 2018 Community-based Security JAWS DAYS 2018 Community-based Security
JAWS DAYS 2018 Community-based Security
 
AWS re:Invent 2017 Security re:Cap Key Messages
AWS re:Invent 2017 Security re:Cap Key MessagesAWS re:Invent 2017 Security re:Cap Key Messages
AWS re:Invent 2017 Security re:Cap Key Messages
 
Amazon CloudFront Seminar Accelerated TLS/SSL Adoption
Amazon CloudFront Seminar Accelerated TLS/SSL AdoptionAmazon CloudFront Seminar Accelerated TLS/SSL Adoption
Amazon CloudFront Seminar Accelerated TLS/SSL Adoption
 
IVS_CTO_Night_and_Day_2016_Winter_Morning_Seession1-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Winter_Morning_Seession1-4_hkiriyamIVS_CTO_Night_and_Day_2016_Winter_Morning_Seession1-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Winter_Morning_Seession1-4_hkiriyam
 
District 76 ECM4 Division E Report 20160630
District 76 ECM4 Division E Report 20160630District 76 ECM4 Division E Report 20160630
District 76 ECM4 Division E Report 20160630
 
2014-2015 COT1 DivD Session3 Leading the Club to Success 20140803
2014-2015 COT1 DivD Session3 Leading the Club to Success 201408032014-2015 COT1 DivD Session3 Leading the Club to Success 20140803
2014-2015 COT1 DivD Session3 Leading the Club to Success 20140803
 
Amazon CloudFront TLS/SSL Seminar 20160804
Amazon CloudFront TLS/SSL Seminar 20160804Amazon CloudFront TLS/SSL Seminar 20160804
Amazon CloudFront TLS/SSL Seminar 20160804
 
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
 
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
 

Kürzlich hochgeladen

Kürzlich hochgeladen (11)

業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 

Security JAWS Amazon GuardDuty 20180223

  • 1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Hayato Kiriyama February 23, 2018 Amazon GuardDuty 「みんなでクラウドセキュリティの 見張り役になろう」
  • 2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. サンプルケース – 不正アクセス/侵入検知防御 AWSの該当事項 お客様の該当事項 推奨される追加の対応事項 AWS は、ISO 27001 規格に合わせて、AWS リソースに 対する論理アクセスについて最小限の基準を示す正式 なポリシー、手続きを規定しています。 AWS SOC レポートには、AWS リソースに対するアクセ スプロビジョニングを管理するために用意されている統 制の概要が記載されています。 詳細は、AWSウェブサイトの「アマゾンウェブサービス: セキュリティプロセスの概要」 (https://aws.amazon.com/jp/security/security- resources/ ⇒ AWS セキュリティプロセスのご紹介(日 本語))を参照してください。 また、AWS は、Payment Card Industry (PCI) データセ キュリティ基準(Data Security Standard/DSS)のレベル1 に準拠しています。詳細については、AWS Artifact (https://console.aws.amazon.com/artifact) を使用して、 PCI DSS Attestation of Compliance (AOC) と Responsibility Summary をリクエストしてください。 AWSのお客様は、お客様が定義した要件に従って、お客様の ネットワークトラフィックを管理する責任を有します。 ファイアウォール、ルータ等は、AWSではSecurity Group、 Route Table、NetworkACL等に該当します。お客様は、これら のAWSリソースを適切に構成し、必要最小限のアクセスを許 可するよう設計する必要があります。 また、Amazon GuardDuty はマネージド型の 脅威検出サービスです。悪意のある操作や不正な動作を継 続的に監視し、AWS アカウントとワークロードを保護します。 アカウント侵害の可能性を示す異常な API コールや潜在的 に不正なデプロイといったアクティビティが監視の対象となり ます。インスタンスへの侵入の可能性や攻撃者による偵察と いった脅威も、GuardDuty によって検出されます。 必要に応じてAWS WAFを利用して、ルー ルベースで外部からの不正アクセス・攻撃 を防御することができます。 侵入検知に明確な要件がある場合には、 サードパーティのサービスを利用して侵入 検知等の防御対策を講じることを強く推奨 します。 https://aws.amazon.com/jp/solutions/sol ution-providers-japan/technology- partners/ アーキテクチャダ イアグラムの該当 箇所 AWS CloudFormation テンプレートにおける実装の概要 AWS リソースタイプ AWS CloudFormation テンプレート名 (スタック) 17, 18, 19, 20, 22, 23, 26 VPC内でSecurityGroupおよびNetworkACLによってネットワークセグ メントを分割し、パブリックサブネットを従来のDMZに見立てて利用し ています。また、パラメータで指定された場合はAmazon GuardDutyを 有効化します。 AWS::EC2::SecurityGroup AWS::EC2::NetworkAcl AWS::EC2::NetworkAclEntry AWS::GuardDuty::Detector vpc-management vpc-production guardduty
  • 3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. What is GuardDuty ? • AWSアカウントを、セキュリティの観点から継続的にモ ニタリング・分析し、セキュリティリスクを可視化・検 知するAWSマネージド・サービス • 分析のソースには下記を利用し、メタデータの連続スト リームを分析 • VPC Flow Logs • AWS CloudTrail Event Logs • DNS Logs • 既知の悪意のあるIPアドレス、異常検出、機械学習などの 統合脅威インテリジェンスを使用して、脅威を認識
  • 4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon GuardDuty - 利用可能なリージョン 東京リージョンでご利用頂けます • Asia Pacific (ムンバイ) • Asia Pacific (ソウル) • Asia Pacific (シンガポール) • Asia Pacific (シドニー) • Asia Pacific (東京) • Canada (セントラル) • EU (フランクフルト) • EU (アイルランド) • EU (ロンドン) • US East (北バージニア) • US East (オハイオ) • US West (北カリフォルニア) • US West (オレゴン) • South America (サンパウロ)
  • 5. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Setting Up Amazon GuardDuty
  • 6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Setting Up Amazon GuardDuty
  • 7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. What can you monitor today ? • 検知できる内容(一部代表例) • EC2上で発生する悪意のあるアクティビティ • クレデンシャルを悪用したアクション • GuardDutyが、悪意の可能性のあるアクティビティを 検知すると、Findings(結果)を生成します • Findings Summary • Resource Affected • Action • Actor
  • 8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. What can you monitor today ?
  • 9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Severity Levels for GuardDuty Findings • GuardDutyが検知するFindingsには重要度(Severity)が 設定されている • 重要度は、0.0 – 10.0 の範囲で設定 • High (重要度: 高) : Severity 7.0 – 8.9 • 例) EC2 instance / IAM user credentials 関連 • Medium (重要度: 中) : Severity 4.0 – 6.9 • 例) 大量トラフィック、通常アクティビティから外れる動き • Low (重要度: 低) : Severity 0.1 – 3.9 • 例) リソースに影響を及ぼす前にブロックされた悪意の疑いの あるアクティブティ
  • 10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Finding Types • Backdoor:EC2/XORDDOS • Backdoor:EC2/Spambot • Backdoor:EC2/C&CActivity.B!DNS • Behavior:IAMUser/InstanceLaunchUnusual • Behavior:EC2/NetworkPortUnusual • Behavior:EC2/TrafficVolumeUnusual • CryptoCurrency:EC2/BitcoinTool.A • CryptoCurrency:EC2/BitcoinTool.B!DNS • PenTest:IAMUser/KaliLinux • Recon:EC2/PortProbeUnprotectedPort • Recon:IAMUser/TorIPCaller • Recon:IAMUser/MaliciousIPCaller.Custom • Recon:IAMUser/MaliciousIPCaller • Recon:EC2/Portscan • Stealth:IAMUser/PasswordPolicyChange • Stealth:IAMUser/CloudTrailLoggingDisabled • Trojan:EC2/BlackholeTraffic • Trojan:EC2/DropPoint • Trojan:EC2/BlackholeTraffic!DNS • Trojan:EC2/DriveBySourceTraffic!DNS • Trojan:EC2/DropPoint!DNS • Trojan:EC2/DGADomainRequest.B • Trojan:EC2/DNSDataExfiltration • UnauthorizedAccess:IAMUser/TorIPCaller • UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom • UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B • UnauthorizedAccess:IAMUser/MaliciousIPCaller • UnauthorizedAccess:IAMUser/UnusualASNCaller • UnauthorizedAccess:EC2/TorIPCaller • UnauthorizedAccess:EC2/MaliciousIPCaller.Custom • UnauthorizedAccess:EC2/SSHBruteForce • UnauthorizedAccess:EC2/RDPBruteForce • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html#crypto3
  • 11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Finding Types サンプル CryptoCurrency:EC2/BitcoinTool.B!DNS • EC2 インスタンスは、ビットコインに関連する既知のドメインと通 信 • AWS 環境の EC2 インスタンスがビットコインに関連する既知のド メインと通信していることを検知・通知 ThreatPurpose ThreatFamilyName ThreatFamilyVariant: ResourceTypeAffecte d / . ! Artifact CryptoCurrency BitcoinTool B: EC2 / . ! DNS
  • 12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Trusted IP Lists and Threat Lists • Trusted IP List : 登録されたIPリストはホワイトリストさ れ、登録IPに対するアクティビティは、GuardDutyは Findingsとして検知しない • Threat List : 既知の悪意のあるIPリストを登録可能。登 録したThreat Listに基づき GuardDuty Findings として 通知
  • 13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Trusted IP Lists and Threat Lists の設定
  • 14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • 感染したインスタンスの封じ込め • 漏洩したAWSクレデンシャルの不正利用防止 例:以下のケースに対して自動的に緩和策を実施 GuardDuty CloudWatch Events Lambda Amazon GuardDuty Amazon CloudWatch CloudWatch Event Lambda Function AWS Lambda Findingsからの対応
  • 15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • GuardDutyのFindingsにより感染インスタンスが特定される • CloudWatch Event のアラームが Lambda 関数を起動 • 該当インスタンスのタグに応じて自動アクションさせる、もしくは重要 な本番サーバーであれば手動対応するなども可能 Lambda Lambda Function AWS Lambda • Lambda 関数例: • 該当Security Groupから該当インスタンス を削除し、新規インスタンス追加 • EBSボリュームのスナップショット取得 • セキュリティチームにメール/Slack通知 Findingsからの対応
  • 16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Managing AWS Accounts in Amazon GuardDuty • あるAWSアカウントで検知したFindingを、他AWSアカ ウントのGuardDutyに転送することが可能 • 例えば、セキュリティ管理アカウントに他AWSアカウントの GuardDuty Findingsを集約し一元管理が可能
  • 17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 価格 • GuardDuty は2つのディメンジョンの合計金額が課金 されます • CloudTrail Events: 分析されたAWS CloudTrailイベントの数 量(1,000,000イベントあたり)と • VPC Flow Logs/DNS Logs: 分析されたAmazon VPC Flow LogおよびDNS Logデータの量(GBあたり) https://aws.amazon.com/guardduty/pricing/
  • 18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon GuardDuty 30-day-Free-Trial
  • 19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. GuardDuty Demo Amazon GuardDuty Tester • テスト用のFindingsを生成するためのCloudFormationテンプ レートとサンプルスクリプト • https://github.com/awslabs/amazon-guardduty-tester Amazon GuardDuty Lab • GuardDutyの基本機能を用いて脅威検知した後、Lambdaに よる対応までを体験できるラボ • http://loftlab.gregmcconnel.net/
  • 20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Security JAWSの皆様へ お知らせ事項
  • 21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSセキュリティ認定試験 今なら試験料半額 & 本試験バウチャーもらえます AWS Certified Security – Specialty exam ができます 3/2までベータ試験受けられます • 受かれば → 認定取得者! • 落ちても → 本試験バウチャーGet! 受験資格: • Associate or Cloud Practitioner保持者 https://aws.amazon.com/blogs/architecture/announcing-our-new-beta-for-the-aws-certified-security-specialty-exam/ AWS Certified Security
  • 22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. We Are Hiring! セキュリティソリューションアーキテクト(Security SA)大募集中! Security SA, Compliance Security SA, Managed Services Security SA, Engineering 業界ガイドライン・認 証・法規制・スタン ダードに精通し、顧客 のセキュリティ評価・ リファレンスアーキテ クチャ開発などで顧客 セキュリティ要件実現 AWSセキュリティの マネージドサービスを 用いた顧客ワークロー ドの実現を支援し、 アーキテクチャや運用 の継続的改善を推進 AWSセキュリティに 関連するソリューショ ンを開発。PoC、 デ モ、ハンズオンなど高 度な技術的支援を通じ てセキュアのAWS環 境を実現 NISC, FISC, FinTech, ISO, PCI DSS, HIPAA, GxP, NIST, CIS, Inspector, Config Rules, CloudFormation, Service Catalog MSS, SOC, CSIRT, Incident Response, SSO, GuardDuty, Shield, WAF, Macie, Systems Manager, Well-Architected Security Response, Analysis, IDPS, SIEM, EC2, VPC, RDS, S3, IAM, KMS, Lambda, CI/CD, DevSecOps, Well-Architected https://www.amazon.jobs/en/jobs/627132/s ecurity-solutions-architect-security-engineer https://www.amazon.jobs/en/jobs/629852/securi ty-solutions-architect-managed-security-services https://www.amazon.jobs/en/jobs/629853/s ecurity-solutions-architect-compliance
  • 23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSセキュリティエンジニアコミュニティ 目的:AWSセキュリティエンジニア の情報交換プラットフォーム 方針:AWSセキュリティに関するこ とであれば何でもOK 対象:AWSセキュリティに関して • 業務や趣味で利用している方 • 優れた設計(Well-Architected)やベストプラク ティスの情報交換をしたい方 • ブログ等に「やってみた」投稿をする方 • イベント登壇する方 • Security Operation on AWSなどのAWSトレー ニングを受講する方 • AWS Certified Security 認定取得する方 現在、正式発足前のプレメンバー募集しております! AWSセキュリティエンジニア コミュニティ(仮) https://www.facebook.com /groups/2038392602855805/ Hayato Kiriyama まで 名刺交換&DMください! グループに追加します AWS Certified Security Lounge オフサイトイベント招待 AWS CTF ベータ参加者招待 特典例:
  • 24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Thank you! Hayato Kiriyama