Go to Qiita Advent Calendar 2024 Top
LoginSignup
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

株式会社船井総研デジタルAdvent Calendar 2023

Day 7
@hidekko(hideaki koga)in株式会社船井総合研究所

Amazon InspectorとMicrosoft Defender for Cloudの比較②Amazon Inspector有効化と分析結果編

Last updated at Posted at 2023-12-06

1本目の記事はこちら。
Amazon InspectorとMicrosoft Defender for Cloudの比較①脆弱な環境準備AWS編

前回の記事の続きで、SQLインジェクションができるLAMP環境にAmazon Inspectorを有効化して監視します。
始めてやる手順なのでうまくできるかわかりませんがドキドキしながら頑張ります。
現在12月3日9時38分です。
何時間かかるかな。
前回の記事を書いたのが12月1日の9時前なので、AWS環境はterrafomr destroyして削除し、再度構築しなおしています。
最低限の課金で済むので、やはり
Terraformは最高ですね!

Amazon Inspector有効化

AWSにログインし、Amazon Inspectorを検索してAmazon Inspectorのトップ画面に入ります。
image.png
赤枠内の[使用を開始する]をクリックします。
image.png
赤枠内の[Inspectorをアクティブ化]をクリックします。
image.png
有効化が終わったっぽいですね。
今は初回スキャン中だからか何も出てきて無いですね。
image.png

image.png

image.png

image.png

image.png

有効化して10分くらい経ったのですが、[環境カバレッジ]が100%になりました。
[合計の検出結果]も[1個]になりましたね。
image.png

EC2はdeep inspectionが有効化できるようなので、これも有効化してみましょう。
(お金追加でかかんのかな・・・)
image.png
上図の赤枠内の[Active deep Inspection]をクリックしたんでUIが下図に切り替わったんですが、上部に「あと少しでdeep inspectionが完全に有効になるよ」というメッセージが出つつ、まだ[Active deep inspection]がある状態ですね。
わけのわからないUIですね。
image.png
現在9時59分。
だいたい20分くらいですね。

別の画面に切り替えてみる

左ペインの[ダッシュボード]が有効になっているようなので、[検出結果]内を上から順にみていきましょう。
まずは脆弱性を見てみましょう。

[脆弱性]の結果

左ペインで[脆弱性]をクリックします。
image.png
お!出てますね!
image.png
想定通りTCP80番ポートが出てますね。
Port 80 is reachable from an Internet Gateway - TCP
OKですね。
このメッセージもクリックできるようなので、内容も見てみましょう。
image.png
ふむふむ。
想定通りですね。
インスタンスIDもWebサーバであるapp01のインスタンスIDでした。
image.png
まだメッセージがクリックできそうなんでクリックします。
image.png
お、詳細がやっと出てきましたね。
image.png
対象のEC2に関する設定が詳細に出てきています。
Security Groupで我が家のグローバルIPアドレスのみに絞ってても引っかけてくれるんですね。
たぶん受信元絞っていようがなんだろうが、そもそも80番ポートの通信がアカンで、って話なんでしょうね。

[インスタンス別]の結果

では次、[インスタンス別]の結果を見てみましょう。
image.png
赤枠内の[インスタンス別]をクリックします。
image.png
!?
何も無し!?
ホントに!?
まぁAMIもAmazonLinux2023使ってるし、特に何か問題があるもんでもないか。

その他の項目

コンテナイメージ別、コンテナリポジトリ別、などたの項目がありますが全部何もなかったです。
そりゃそうですね。
コンテナもLambdaも使ってませんから。
全ての検出結果には先ほどの80番ポートの通信が載ってました。

他に何か出てきたところ

image.png
どのEC2インスタンスをスキャンしてますか?
って項目くらいですね。
ここまでで10時22分、だいたい1時間くらいです。

他に関係ありそうなところ

image.png
エージェントレススキャンとエージェントスキャンができるみたいで、エージェントスキャンだと細かく見れるみたいですね。
今の状態がエージェントレスなのかエージェント入ってんのかわからないのが不親切ですね。
とりあえずパス監視できそうなのでWebサーバのapp01のhtmlパスを監視してみます。
image.png
何か変わるのかな・・・

そうこうしている間に表示が変わってますね。
image.png

ひとつ前の画面でもこの表示になっているので、deep inspctionが有効になったようですね。
現在10時31分です。
deep inspectionを有効にしてからは30分くらいかな?
この辺はEC2の台数、というか監視台数(ECRとかLambdaも含めて)によって変動しそうですね。

検査にもそれなりに時間がかかるでしょうから、いったんこれで24時間くらい放置してみようと思います。
24時間後、12月4日の10時32分ですね。
覚えてるかな・・・

本日はここまで。

はい。
24時間以上経ってます。
すっかり忘れてました。

現在12月5日23時38分です。

24時間以上経過した結果ですが、何も変わっていません。
結局この[すべての検出結果]に集約されると思うのですが、
image.png
ご覧の通り12月3日の10時32分時点と検出結果に変わりはありません。

結論として、Amazon Inspectorではネットワークの公開ポートしか見れなかった、ということです。
うーん・・・
ちょっと残念な結果でしたね。
AWS Security Hubと連携したらもっといろんな情報が取れるんでしょうか?
それとも構成が思った以上に硬かった?
この辺はまた機会を見てAWS Security Hubと連携したり、もっとセキュリティ的に穴のある構成にしたり再度検証してみたいと思います。

本日はここまで。

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?