[ハンズオン]Amazon EC2の封じ込めとフォレンジックを自動化する方法[今すぐ試せます] #TDR352 #AWSreInforce

[ハンズオン]Amazon EC2の封じ込めとフォレンジックを自動化する方法[今すぐ試せます] #TDR352 #AWSreInforce

TDR352-R1 | How to automate containment and forensics for Amazon EC2のハンズオンについて紹介します。いい感じのソリューションだ!
Clock Icon2023.06.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、AWS環境のフォレンジックしてますか?(挨拶

今回はre:Inforce 2023で行われた以下のハンズオンのレポートです。

概要

タイトル: TDR352-R1 | How to automate containment and forensics for Amazon EC2

概要: In this builders’ session, learn how to deploy and scale the self-service Automated Forensics Orchestrator for Amazon EC2 solution, which gives you a standardized and automated forensics orchestration workflow capability to help you respond to Amazon EC2 security events. Explore the prerequisites and ways to customize the solution to your environment.

概要翻訳: このビルダー セッションでは、セルフサービスの Automated Forensics Orchestrator for Amazon EC2 ソリューションをデプロイおよび拡張する方法を学びます。これにより、Amazon EC2 セキュリティ イベントへの対応に役立つ、標準化され自動化されたフォレンジック オーケストレーション ワークフロー機能が提供されます。 前提条件と、ソリューションを環境に合わせてカスタマイズする方法を確認してください。

タイトルの通り、この内容はAWSソリューションとして公開されており、以下からアクセスが可能です。

Automated Forensics Orchestrator for Amazon EC2

私が受講したハンズオン通りの内容ではないですが、デプロイするためのテンプレートや実装ガイドがありますので同じことができます。

また、こちらのブログでも同じようなやり方が紹介されています。

Linux Memory Extractor (LiME)や Volatility2などのツールを利用してフォレンジックを行っていきます。

内容

このハンズオンでは、Amazon EC2環境が何者かによって侵害されたことをトリガーに、このEC2インスタンスを隔離して封じ込めを行い、自動的にフォレンジックするソリューションであるAutomated Forensics Orchestrator for Amazon EC2を利用します。

以下の構成がバッと作られます。細かいところは置いておいて、なんかすごくないですか?

流れの説明

各ステップを説明すると、始まりはまず左下の不審な挙動をしたEC2がAmazon GuardDutyによって検知されるところから始まります。

このイベントをAWS Security Hubで集約し、自動的に、あるいは人の判断を経た後にAmazon EventBrdgeを経由してAWS Step Functionsが動作し、各種処理が行われていきます。

まずはトリアージとして、EC2の状態やAWS Security Hubからの情報をチェックして、隔離やフォレンジックを行うか判断します。次のステップではメモリとディスクのフォレンジックをそれぞれ行い、メモリの保全が終わったらSecurity Groupを変更してEC2を隔離します。そして3つ目のステップで調査用のインスタンスを起動し、メモリやディスクのデータをアタッチしてすぐに調査開始できるようにします。

最後にSNSで通知しておしまいです。

ここであれっと思った方がいるかもしれません。

ハンズオンのタイトルにある「自動的なフォレンジックは?」と思った方、私もそう思いました。このソリューションでは、メモリとディスクの保全を行うところまでは自動でできますが、調査は手動です。あしからず。

もちろん例えば、このハンズオンでは調査の手順がいろいろ用意されていたので、それを追加の処理で組み込んでもいいかもしれません。が、用意されているソリューションとしてはここまでなので、留意してください。

ツールとしては

実際の対応

それではハンズオンに従ってやっていきます。ハンズオン環境では、AWS Security Hubで検知されているものに対して手動でカスタムアクションを取るところからスタートします。これでEventBridgeが呼ばれるわけですね。まずはForensic Triageを選択してトリアージします。

次のステップに進むとメモリとディスク2つの保全が行われます。以下のような感じになります。

そして隔離したあと、調査用のEC2が上がってきて、SSMセッションマネージャーから接続できます。ボリュームがマウントできていることが確認できます。

ここでいろいろ調査用のコマンドが紹介されていました。

まとめ

TDR352-R1 | How to automate containment and forensics for Amazon EC2のハンズオンについて紹介しました。直接ハンズオンコンテンツは公開されていないですが、同じソリューションを利用したガイドもありますので、気になる方は是非チャレンジしてみてください。

また、調査の手前まではどこの会社でも役に立つと思うので、保全の仕組みだけ入れておくというのもありじゃないでしょうか?ご検討ください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.