「ついに来た!Amazon Detectiveでセキュリティインシデントの調査がちょー捗るからまずやってみよう」という内容で動画投稿しました  #devio2020

「ついに来た!Amazon Detectiveでセキュリティインシデントの調査がちょー捗るからまずやってみよう」という内容で動画投稿しました #devio2020

リリースされたばかりのAmazon Detectiveでちょー捗るインシデントの調査をやってみる時に参考になるデモ動画を公開しました!ガッツリデモを行っているので見応えあります!
Clock Icon2020.06.16

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、インシデントの調査やっていますか?(挨拶

今回はオンラインで2020年6月16日より開催しているDevelopers.IO 2020 CONNECTにおいてAmazon Detectiveの紹介とガッツリデモを含んだ動画を公開したのでそちらを紹介します!

動画

解説

前置き

スライドは最後尾に乗せています。が、デモの内容をバッサリカットしているので動画を見ていただくのが一番いいです。

今回は事前に収録できるということで、思う存分見せたい内容、伝えたい内容を乗せてみました。普段デモをやるのはけっこう大変なためやっていませんので、今回は私の中では珍しい内容です。

そして、お見せできないようなデータはモザイクをかけられるので、気にせず公開することができるのも動画投稿のいいところですね。

以下の内容は主に動画をこれから見る方向けです。

今回のコンセプト

2020年3月末に新しく登場したAmazon Detectiveですが、インシデントの調査を行うツールです。

とにかくめちゃくちゃ捗るのでみんな使ってほしいと思って、初心者から中級者向けとして紹介しています。

全体の流れ

以下のようなアジェンダです。

  • AWSセキュリティの基本
  • Detective登場の背景
  • Detectiveの強さ
  • 始め方
  • デモ

1時間ぐらいの内容で半分ぐらいガッツリデモしています。デモが本番!

ただ初心者も見れるようにしたかったので、AWSセキュリティの基本から説明しています。ただし、AWSセキュリティ全般がメインテーマではないので、引用を結構しています。

AWSセキュリティ全般の参考情報

とにかくこれを見てもらうのが一番いいと思います。

これは昨年の11月に実施したイベントで登壇した内容です。

AWSでのセキュリティ全体像と、どう考えたり、どういう順序でやっていけばいいか説明しています。

他の参考リンクも下記に載せておきます。

これからAWSを初める、AWSセキュリティを頑張るという場合には前半2つのドキュメントを、より発展的に取り組む場合などには後半2つのドキュメントを確認しましょう。

Detective登場の背景

すっごく簡単に説明すると、これが

こうなるんじゃ!

「調査」の部分がDetectiveに置き換わります。

これまでAWS環境で発生したセキュリティインシデントは、主にGuardDutyが検知してくれていました。

ただその内容を確認して、「誤検知ではないか?」「何が起きているのか?」「どこからやられたのか?」などを調べるにはCloudTrailやVPC Flow Logsなどを自分たちで解析する必要があり、手動でログを見たり、Athenaでクエリをかけたり、CSVにしてエクセルにいれてこねこねしたりしていました。

特に辛いのが関連性を見つけることで、2次元の表やログのデータからどのリソースがどのイベントに関係している、どのIPがどの操作に関係している、などの関連性をたどることは簡単ではありませんでした。

それを一気に解決するのがAmazon Detectiveです!

Detectiveの強み

Amazon Detectiveは簡単に言うと、インシデントの調査ができるサービスです。

下記のようなメリットがあります。

  • VPC Flow Logs / CloudTrail / GuardDuty Findingsを自動で取り込む
  • わかりやすいグラフやマップで視覚化

どちらも字面だといまいちパッとしないかもしれません。でも、一度でも障害などの調査でログを頑張ってこねこねしたことある人なら、嬉しい気持ちがわかると思います。

Detectiveは有効化した段階で自動的にログを収集してくれます。つまり、ログ収集の仕組みを作ったり、ログのストリームが溢れないようにシステムを維持したりする必要がありません。このあたりがマネージドなのは非常に楽ちんです。

下記のようにマルチアカウントで1箇所に集約することも可能です。

そして集めた情報を、関連付けしてGraph DBに格納します。これが非常に強力!関連性をもたせているのできれいに可視化できます!

Detectiveの始め方

ポチッと有効化するだけです。詳細は下記参照。

また、全リージョンに展開したほうがいいので下記を活用するともっといいです。

デモ

これが本題です。下記のような内容を含んでいます。

  • GuardDutyでの調査の仕方
  • これまでのCloudTrailの調査方法
  • Detectiveの見方
  • Detectiveで関連リソースを確認する
  • 可視化された内容で調査
  • 発見した問題の是正方法

しっかり細かいところまで解説しているのでぜひ見てみてください。

資料

資料はこちらに公開しています。デモの内容は含んでいないので、ぜひデモを見てください。

まとめ

Amazon Detectiveの紹介とガッツリデモをした動画の紹介でした。

とにかくデモを見てください!

そして、よければチャンネル登録高評価、おねがいしまーす!

他にもDevelopers.IO 2020 CONNECTとしての定期的なライブセッション実施やビデオセッション公開を行っていますので登録してみてください!下記のような特典もあります。

  • ライブセッション(ゲストセッション含む)の視聴
  • ライブセッション時のQ&Aへの参加
  • サンプルコードなどの資料
  • イベントや追加コンテンツのご案内

Twitterでハッシュタグ#devio2020での拡散もお願いします!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.