View a markdown version of this page

検出と分析 - AWS Security Incident Response ユーザーガイド

検出と分析

イベントの報告

AWS Security Incident Response ポータルからセキュリティイベントを報告できます。セキュリティイベントの発生中は待機しないことが重要です。AWS Security Incident Response は自動および手動の手法を使用して、セキュリティイベントを調査し、ログを分析し、異常なパターンを探します。お客様の協力と環境の理解は、この分析を加速させます。

サポートされている検出ソースの有効化

注記

AWS Security Incident Response サービスコストには、サポートされている検出ソースや他の AWS サービスの使用に関連する使用料やその他のコスト、料金は含まれません。コストの詳細については、個々の機能またはサービスページを参照してください。

Amazon GuardDuty

組織全体で GuardDuty を有効にするには、「Amazon GuardDuty ユーザーガイド」の「Setting up GuardDuty」セクションを参照してください。

サポートされているすべての AWS リージョン で GuardDuty を有効にすることを強くお勧めします。これにより、GuardDuty はアクティブに使用されていないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検出結果を生成できます。詳細については、「Amazon GuardDuty Regions and endpoints」を参照してください

GuardDuty を有効にすると、AWS Security Incident Response は重大な脅威検出データにアクセスし、AWS 環境内の潜在的なセキュリティ問題を特定して対応できるようになります。

AWS Security Hub CSPM

AWS Security Hub CSPM は、複数の AWS サービスおよびサポートされているサードパーティーのセキュリティソリューションからセキュリティ検出結果を取り込むことができます。これらの統合により、AWS Security Incident Response は他の検出ツールからの検出結果をモニタリングおよび調査できるようになります。

Security Hub CSPM と Organizations の統合を有効にするには、「AWS Security Hub CSPM ユーザーガイド」を参照してください。

Security Hub CSPM で統合を有効にするには、複数の方法があります。サードパーティー製品の統合では、AWS Marketplace から統合を購入して設定することが必要になる場合があります。統合情報には、これらのタスクを完了するためのリンクが含まれます。AWS Security Hub CSPM 統合を有効にする方法の詳細については、こちら をご覧ください。

AWS Security Incident Response は、AWS Security Hub CSPM と統合されている場合、次のツールからの検出結果をモニタリングおよび調査できます。

これらの統合を有効にすることで、AWS Security Incident Response のモニタリングおよび調査機能の範囲と有効性を大幅に強化できます。

検出

プロアクティブレスポンスでは、AWS Security Incident Response は Amazon GuardDuty と AWS Security Hub CSPM からの検出結果を、オンボーディング中にアカウントにデプロイされる Amazon EventBridge ルールを通じて取り込みます。

AWS Security Incident Response は、自動トリアージ中に、良性である、または予想されるアクティビティに関連付けられていると判断された Amazon GuardDuty の検出結果を自動的にアーカイブします。Amazon GuardDuty コンソールでアーカイブされた検出結果を表示するには、検出結果のステータスフィルターから [アーカイブ済み] を選択します。詳細については、「Amazon GuardDuty ユーザーガイド」の「GuardDuty コンソールで生成された検出結果を表示する」を参照してください。

AWS Security Incident Response は、自動トリアージ中に、良性である、または予想されるアクティビティに関連付けられていると判断された Amazon GuardDuty の検出結果を自動的にアーカイブします。このアーカイブは、トリアージされ、結果が「アーカイブ」と指定された検出結果に対してのみ発生します。アクティブな調査の検出結果は、調査が終了した後も Amazon GuardDuty コンソールに表示されます。Amazon GuardDuty コンソールでアーカイブされた検出結果を表示するには、検出結果フィルターから [アーカイブ済み] を選択します。アーカイブされた検出結果の使用の詳細については、「Amazon GuardDuty ユーザーガイド」の「検出結果を使用する」を参照してください。

AWS Security Hub CSPM がセキュリティ検出結果を取り込むと、システムは自動トリアージが開始されたことを示すメモを使用して各検出結果を更新します。ワークフローの状態が NEW (新規) から NOTIFIED (通知済み) に変更され、その検出結果がデフォルトの AWS Security Hub CSPM 検出結果ビューから削除されます。トリアージにより、検出結果が良性である、または予想されるアクティビティに関連付けられていると判断された場合、システムは検出結果にメモを追加し、ワークフローの状態を SUPPRESSED (抑制) に更新します。

分析: 自動トリアージ

AWS Security Incident Response は、セキュリティ検出結果を自動的にトリアージします。トリアージプロセスでは、検出結果のペイロード、AWS サービスメタデータ、AWS ログ記録とモニタリングデータ (AWS CloudTrail や VPC フローログなど)、AWS 脅威インテリジェンス、および AWS とオンプレミス環境に関して提供するよう招待されたコンテキストなど、複数のソースからのデータを分析することで、検出されたアクティビティが予想される動作を表すかどうかを決定します。

自動トリアージが、検出されたアクティビティが予想されると判断した場合、システムはそれ以上の調査アクションを実行しません。

分析: インシデント対応セキュリティ調査

AWS Security Incident Response エンジニアリングは、AWS とセキュリティインシデント対応に関する専門知識を持つ、グローバルで常に利用可能なセキュリティプロフェッショナルのチームです。自動トリアージが、アクティビティが予想されると判断できない場合、AWS Security Incident Response エンジニアリングはセキュリティ調査を実行します。イベントが Security Hub から取り込まれた場合、AWS Security Incident Response エンジニアリングの調査が進行中であることを示すメモが関連する検出結果に投稿されます。

AWS Security Incident Response エンジニアリングは、追加のサービスメタデータと脅威インテリジェンスを分析し、ユーザーの環境での過去の検出結果と調査からのインサイトを確認し、インシデント対応の専門知識を適用することで、実践的なセキュリティ調査を行います。封じ込めの設定に応じて (「封じ込め」を参照)、AWS セキュリティインシデント対応エンジニアリングは、検出されたアクティビティが予想され承認されているかどうかを確認するために、AWS Security Incident Response コンソールのセキュリティインシデント対応ケースを通じて組織のインシデント対応チームを関与させる場合があります (AWS 生成されたケースへの対応)。

セキュリティ調査の一環として、AWS Security Incident Response は EC2 Triage を使用して Amazon Elastic Compute Cloud インスタンス内から調査情報を収集することもできます。この機能を有効にすると、AWS Security Incident Response レスポンダーは Amazon EC2 インスタンスで AWS Systems Manager Run Command を実行し、インスタンスに直接アクセスすることなく、調査データの収集、実行中のプロセスの検査、およびシステムの状態の分析を行うことができます。

EC2 Triage では、以下のオペレーティングシステムがサポートされています。

Linux

  • Amazon Linux 2、Amazon Linux 2023

  • Ubuntu 18.04、20.04、22.04、24.04

  • Red Hat Enterprise Linux (RHEL) 7.x、8.x、9.x

  • CentOS 7.x、8.x

  • SUSE Linux Enterprise Server (SLES) 12.x、15.x

  • Debian 10、11、12

Windows

  • Windows Server 2012 R2

  • Windows Server 2016、2019、2022

EC2 Triage を使用するには、EC2 Triage による封じ込め CloudFormation テンプレートをアカウントにデプロイする必要があります。詳細については、「CloudFormation StackSets の操作」を参照してください。ターゲット Amazon EC2 インスタンスには SSM Agent がインストールされ、実行されている必要があるだけでなく、オンライン状態であり、AWS Systems Manager によって管理されている必要があります。セットアップの詳細については、「Setting up Systems Manager for Amazon EC2 instances」を参照してください。

コミュニケーションを行う

AWS Security Incident Response は、Security Incident Response ケースを通じてインシデント対応チームを関与させることで、セキュリティ調査の最新情報を随時提供します。複数の AWS Security Incident Response エンジニアリングメンバーが調査をサポートしている場合があります。コミュニケーションには、セキュリティ調査の作成の確認または通知、通話ブリッジの確立、ログファイルなどのアーティファクトの分析、予想されるアクティビティの確認のリクエスト、および調査結果の共有が含まれる場合があります。

AWS Security Incident Response がインシデント対応チームをプロアクティブに関与させると、AWS Security Incident Response メンバーシップアカウントにケースが作成され、すべての組織アカウントのコミュニケーションが 1 か所に一元化されます。これらのケースには、タイトルに「[Proactive case]」プレフィックスが含まれており、AWS Security Incident Response によって開始されたものとして識別されます。これらのコミュニケーションに積極的に関与し、タイムリーに対応することで、インシデント対応チームは以下の作業を行うために AWS Security Incident Response を支援できます:

  • 実際のセキュリティインシデントに迅速に対応できます。

  • 環境と予想される動作を理解する。

  • 時間の経過とともに誤検出の検知を削減する。

AWS Security Incident Response の有効性はユーザーの協力によって向上し、より効率的にモニタリングされる安全な AWS 環境につながります。

検出結果の更新

AWS Security Incident Response は、ソースとトリアージの結果に応じて、検出結果を異なる方法で管理します。

サービスチューニング

アカウントサービスクォータで許可されている場合、AWS Security Incident Response は Amazon GuardDuty 抑制ルール または AWS Security Hub CSPM 自動化ルールのデプロイを試みます。これらのルールは、既知の承認されたアクティビティのタイプとソース (送信元 IP アドレス、ASN、ID プリンシパル、リソースなど) に一致する今後の検出結果を抑制します。AWS Security Hub CSPM ルールは優先度 10 でデプロイされるため、必要に応じてこれらの自動化を自己定義ルールで上書きできます。

このようにして、AWS Security Incident Response は AWS 環境で予想される動作に基づいて検出ソースを調整します。これらのルールセットの変更は、インシデント対応チームに通知され、変更はリクエストに応じてロールバックされます。