勉強前イメージ
聞いたことない感じする
調査
Amazon Detective とは
AWS上のアプリケーションでのセキュリティ問題や不審なアクティビティなどがあった際に原因を分析・調査することを支援するサービスになります。
Detectiveは探偵の意味なので、探偵のようにモニタリングをして原因を調査して分析するサービスです。
Detectiveは、以下のようなログを収集して情報を分析します。
- cloudtrail ログ
- vpcフローログ
- GuardDuty
推奨条件
- aws cliは 1.16.303 以上
- Amazon GuardDuty を有効にする必要があります
- マスターアカウントで有効にする必要があります
- 有効後48時間待つ必要があります
- Amazon GuardDutyのcloudwatch通知が6時間間隔なので15分にする
ユースケース
- セキュリティで問題が発生した際の影響調査
万が一漏洩した際の認証情報や、悪意のあるIPアドレスからのAPIコールなどを確認することが出来ます。
- ファイルの特定
EC2上でマルウェアのようなう怪しい動きをするファイルをスキャンします。
勉強後イメージ
基本的には情報収集・分析って感じだと思ってる。
怪しいIPはどこからアクセスしてきたとかも見ることができるっぽい