AWS re:Invent 2024 セッションレポート:SEC301-R | Threat detection and response using AWS security services
こんにちは!
サイバーセキュリティクラウド(以下、CSC)セキュリティエンジニアの大神田です!
今回は「AWS re:Invent 2024」で初めて参加したworkshop型のセッションの様子をお届けしたいと思います。
セッション概要
タイトル
SEC301-R | Threat detection and response using AWS security services [REPEAT]
(原文)
Join AWS security experts for an immersive threat detection and response workshop using native security services to detect threats across different workloads. Learn about common threat types, how to detect them, and how to prioritize a response. This workshop simulates several security events across different resources and behaviors. Get hands-on in a provided sandbox environment to review and respond to findings from the simulated events. You must bring your laptop to participate.
(日本語訳)
AWSセキュリティのエキスパートと一緒に、ネイティブのセキュリティサービスを使用して、さまざまなワークロードの脅威を検出する、没入型の脅威検出と対応のワークショップに参加しませんか?一般的な脅威の種類、検出方法、対応の優先順位について学びます。このワークショップでは、さまざまなリソースや動作における複数のセキュリティイベントをシミュレートします。提供されるサンドボックス環境で、シミュレートされたイベントから得られた知見を確認し、対応するための実習を行います。参加にはノートパソコンが必要です。
内容
今回は私が参加した中で初めてのworkshop形式でした。
冒頭に今回のテーマとなっているAWSサービスの紹介があり、その後、事前に用意されたAWS環境とシナリオに沿って手を動かしていく流れでした。
Section 0 - 脅威検出および対応サービスの概要
Section 1 - AWS サービスとパートナーソリューションの統合
Section 2 - セキュリティ調査結果の管理と優先順位付け
Section 3 - 通知と応答の自動化
Section 4 - セキュリティ シミュレーションとシナリオ
Section 5 - ソフトウェア脆弱性管理
1から5までがworkshopになっていますが、すべてを完了させようと思うと10時間くらいかかるそうです。今回は2時間しかないので、自分の興味のあるところを優先して進めてOKとのことでした。
私が取り組み、学びになった点をピックアップします。
Section 2 - セキュリティ調査結果の管理と優先順位付け
Security Hubの検出結果の優先順位付けを自動化して効率化しましょうという内容でした。
自動化といっても何をすればいいのか悩ましいですが、AWSがテンプレートとして用意してくれているものが3つありました。
Elevate severity of findings that relate to important resources
例えば特定のS3バケットなど重要なリソースでfindingsが検出されたら重要度を上げるルールです
Suppress informational findings
重要度がINFORMATIONALのfindingsは抑制するルールです
Elevate severity of findings that relate to resources in production accounts
本番アカウントのリソースに関連するfindingsの重大度を上げるルールです
AWSの公式サイトにも記載がありましたので参照して下さい。
これまでSecurityHubの自動化というとの不要なfindingsを抑制もしくは重要度を下げる方をイメージしていたんですが、重要なリソースやアカウントの重要度を上げるというアプローチもありだなと思いました。
まとめ
workshop形式はその場でしか体験できないものなので、とても有意義な経験になりました。
AWSの方々が講師としてその場で質疑に答えてくれるので、詰まったり悩んだりしても安心です。