【JAWS-UG横浜】【#63】検出/モニタリング系LTまとめと用語確認

はじめに

2023/12/04開催のJAWS-UG横浜イベントにて、
自分の業務に関わりの深いLTを備忘のため簡潔にまとめました。
※LTの内容と自分のコメントが混ざっているのでLTだけの要約ではないです。

正直re:Inventでアップデートされたサービスを全て追う時間がないので、
こういった機会で知れた/興味を持てた内容をピックアップしてまとめようと思います。

また増えた！？CloudWacthの新機能紹介

Cloudwatchの新機能
Cloudwatch Service(ダッシュボード)：
　→サービスの健全性・可用性・パフォーマンスをダッシュボードで確認
Cloudwatch Map：
　→サービスの状況、依存関係をマップで表示
Cloudwatch SLO：
　→サービスを俯瞰してSLI/SLOで異常を検出

Observability Shines a light on costs

オブザーバビリティがコストに光を当てる
→オブザーバビリティはワークロードを可視化するだけでなく、
　不要なコストがかかっている所も明確にしていけるみたいな感じ？

CloudWatch Application Signals

AWS上のアプリケーションを自動的に計測し、運用・改善を容易にする
コーディング不要でAPの総合分析が可能なダッシュボードを提供

• 利用対象
  • EKS or EC2/オンプレミスでホストされるJavaアプリに限定
  • EKS以外はCloudwatchAgentとOpenTelemetoryのインストールが必要
• 主な機能
  • Service(ダッシュボード)
    • リクエスト成功失敗などの情報
  • サービスマップ
    • サービスのリクエスト、レイテンシ、障害、依存関係
  • ★SLO
    • 全てのサービスメトリクスを俯瞰で見れる
      • 一定周期でリクエストの成功率が99%以上になっているかなど確認
  • SLI
    • システムが正常である目標値を設定できる
  • SIOとSLIのメリット
    • システムにおける重要なふるまいを定義することができる。
    • W-Aの信頼性観点にもあるようなアプリケーションが正常である計測評価することが重要

Amazon Detectiveの最新アップデートを5分でキャッチアップしよう

Amazon Detectiveとは？

Amazon Detectiveはフルマネージド(運用不要)サービスであり、
インシデント発生時に調査を楽にしてくれる頼れるサービス

re:InventにおけるDetectiveのアップデート

全部で4件

1. DetectiveがIAMエンティティ侵害の痕跡調査に対応
2. DetectiveがGuardDutyのECSランタイム脅威検知の調査に対応
3. Detectiveが生成系AIを活用した検出グループの概要を提供
4. DetectiveがSecurity Lakeからのログ取得をサポート

1. DetectiveがIAMエンティティ侵害の痕跡調査に対応

• IAMユーザ/ロールを指定して怪しい動きをしていないか調査可能
  • 攻撃者が不正利用したIAMロール特定後に、どのようなアクションをしているか調査に使用できそう
  • ただ、具体的なAPIが表示されるのではなくアクションサマリ/TTPマッピングなどが検出される模様
    ※TTP：攻撃者がよく使用する手法やパターン
  • 要は不正利用の疑惑があるIAMがやったやばそうなアクションレポートが出る

2. DetectiveがGuardDutyのECSランタイム脅威検知の調査に対応

• GuardDutyのアップデートをDetectiveでもサポート(GuardDutyの調査をDetectiveでも調査可能に)
  • GuardDutyのアップデートによりECSのランタイムの潜在的なセキュリティ問題を検出
  • そもそもランタイムって？
    • ファイルアクセス、プロセス実行、ネットワーク接続など、コンテナに関するデータ(コンテナアクティビティ)

3. Detectiveが生成系AIを活用した検出グループの概要を提供

• Detectiveによる調査結果グループの内容を生成系AIでわかりやすく表示
  • AIと会話しなくてもサマリを連携してくれる
  • そもそも調査結果グループって？
    • GuardDuty の検出結果が項目として表示され、同じ種類の以上アクティビティをまとめて表示してくれるグループ

4. DetectiveがSecurity Lakeからのログ取得をサポート

• DetectiveとSecurityLakeを統合することで、Detective側の操作でAthanaクエリによる調査を可能に
  • 問題個所の特定～ログ調査まで一括でDetective側でシームレスに行える

AWS re:Invent 2023に参加してきた ~Amazon Inspectorのアップデートを添えて~

re:InventにおけるInspectorのアップデート

全部で3件

1. Inspectorが開発者ツールと統合し、コンテナイメージのセキュリティを強化
2. InspectorのLambdaコードスキャンに生成系AIを使用した修復機能が追加
3. InspectorのEC2へのエージェントレスな脆弱性評価がリリース

1. Inspectorが開発者ツールと統合し、コンテナイメージのセキュリティを強化

• CI/CDツール内でコンテナイメージのスキャンが可能に
  • 本稼働前にCICDの一連の流れでスキャンが行える〇

2. InspectorのLambdaコードスキャンに生成系AIを使用した修復機能が追加

• InspectorによるLambdaコードスキャンが、生成系AIを使用してコード修復機能をサポート
• 具体的なコード案と適用のためのパッチファイルもダウンロード可能

3. InspectorのEC2へのエージェントレスな脆弱性評価がリリース

• SSMエージェントがインストールされなくてもEC2脆弱性スキャンの実施が可能
  • 仕組みとしてはEBSのスナップショットを取得しスナップショットに対してスキャン

おわりに

初めてのオフラインイベントだったけど、参加してみてよかった。
いつかは自分も登壇してみたいと。

参考