はじめに
みなさんこんばんは!hiropyです。
今回はre:inventで参加したセッションを、英語できないマンなりにざっくり振り返っていこうと思います!
本記事では「Elevate your security investigations using generative AI」について記載していきます。
翻訳ミス、意図の取り違えがあるかもしれませんが、「こんなことしてたんだ」くらいでご参考にしていただけると幸いです。
セッション概要
- タイトル:SEC244-NEW | [NEW LAUNCH] Elevate your security investigations using generative AI
- セッションタイプ:Breakout session
- レベル:200
セッションの概要は以下の通り。
セキュリティ調査には、イベントタイプの解読や多様なデータソースのナビゲートなど、複雑なタスクが含まれることがよくあります。このセッションでは、セキュリティアナリストが調査プロセスを合理化する上でAmazon Detectiveを使用する利点を学ぶことができます。Detectiveがどのように難なく相関し、発見グループの結果を分析し、セキュリティアナリストに明確な洞察を提供しながら、複雑で大規模なデータを分析し、組織のセキュリティ調査を合理化する洞察に満ちたパターンをシームレスに明らかにするかをご覧ください。
アップデートされたAmazon Detectiveを活用することで、セキュリティに関する調査にどのようなベネフィットがあるかをお話しいただきました!
セッション内容
セキュリティの課題について
セキュリティの担保は昨今の問題であり、多くの人が議論を続けている。
正し、上がっているセキュリティの問題を全て解決しようとすると手が回らなくなってしまう。
また、AWS上で異常を検知する際のロギング(CloudTrail, VPC Flow Log)は膨大なデータが溜まる可能性があり、これらの分析や管理方法についても考える必要がある。
分析したとしても、必ずしも優先度の高い問題を解決できるとは限らない。
Amazon Detective
さまざまなサービスのログを取り込み、統計分析と機械学習によりログを分析、グラフ化してくれるサービス。(参考)
今まで優先度をつけられていなかったセキュリティ上の問題点を可視化し、素早い問題解決につながる。
ログ分析の対象となるのは、以下のサービス。(間違っていたらすみません)
- VPC Flow Log
- CloudTrail
- GuardDuty
今までもDetectiveはあったが、今までは機械学習や統計分析を組み込んだグラフ化機能がなかった。
使い方
分析したい対象リソースを選択し、進めていくだけ
IAMベースの分析やAPIコールの確認、クラウド上の操作を調査する。
調査結果を可視化してくれるだけでなく、リソース同時の依存関係もグラフ化することが可能。
その他
- Security Lakeとも統合することが可能。
- DNS攻撃や脆弱性検知を行うことも可能。
- 脆弱性に関しては、結果はかなりテキストベースでの回答となる。
感想
- CloudTrailのログで優先順位をつけてインシデント調査するのが難しいのはその通りなので、とても便利だと思った
- サンドボックス環境に取り入れると、作業負荷がグッと減りそう
以上、皆様のご参考になれば幸いです!