【AWS re:Invent 2024】 Threat detection and response using AWS security services セッションレポート
re:Invent2024
株式会社サイバーセキュリティクラウド
投稿日:2025/03/13
AWS re:Invent 2024で開催された「Threat detection and response using AWS security services」のセッションレポートです。このセッションはworkshop形式のセッションでした。
セッション概要
このセッションの概要は下記内容です。
(原文)
Join AWS security experts for an immersive threat detection and response workshop using native security services to detect threats across different workloads. Learn about common threat types, how to detect them, and how to prioritize a response. This workshop simulates several security events across different resources and behaviors. Get hands-on in a provided sandbox environment to review and respond to findings from the simulated events. You must bring your laptop to participate.
(日本語訳)
AWSセキュリティのエキスパートと一緒に、ネイティブのセキュリティサービスを使用して、さまざまなワークロードの脅威を検出する、没入型の脅威検出と対応のワークショップに参加しませんか?一般的な脅威の種類、検出方法、対応の優先順位について学びます。このワークショップでは、さまざまなリソースや動作における複数のセキュリティイベントをシミュレートします。提供されるサンドボックス環境で、シミュレートされたイベントから得られた知見を確認し、対応するための実習を行います。参加にはノートパソコンが必要です。
セッションで実施されたこと
workshop形式で、冒頭に今回のテーマとなっているAWSサービスの紹介があり、その後、事前に用意されたAWS環境とシナリオに沿って手を動かしていく流れでした。
- Section 0 – 脅威検出および対応サービスの概要
- Section 1 – AWS サービスとパートナーソリューションの統合
- Section 2 – セキュリティ調査結果の管理と優先順位付け
- Section 3 – 通知と応答の自動化
- Section 4 – セキュリティ シミュレーションとシナリオ
- Section 5 – ソフトウェア脆弱性管理
1から5までがworkshopになっていますが、すべてを完了させようと思うと10時間くらいかかるそうです。今回は2時間しかないので、自分の興味のあるところを優先して進めてOKとのことでした。
Section 2 – セキュリティ調査結果の管理と優先順位付け
Security Hubの検出結果の優先順位付けを自動化して効率化しましょうという内容でした。
自動化といっても何をすればいいのか悩ましいですが、AWSがテンプレートとして用意してくれているものが3つありました。
- Elevate severity of findings that relate to important resources
- 例えば特定のS3バケットなど重要なリソースでfindingsが検出されたら重要度を上げるルールです
- Suppress informational findings
- 重要度がINFORMATIONALのfindingsは抑制するルールです
- Elevate severity of findings that relate to resources in production accounts
- 本番アカウントのリソースに関連するfindingsの重大度を上げるルールです
AWSの公式サイトにも記載がありましたので参照して下さい。
Automation rule examples in Security Hub – AWS Security Hub
これまでSecurityHubの自動化というとの不要なfindingsを抑制もしくは重要度を下げる方をイメージしていたんですが、重要なリソースやアカウントの重要度を上げるというアプローチもありだなと思いました。
皆さんの環境では、Security Hubの検出結果をどのように管理・優先順位付けしていますか?今回のWorlshopで紹介されたルールを活用すれば、より適切なインシデント対応が可能になるかもしれません。参考にしてください。
関連ページ
こちらのブログもご覧ください
-
【AWS re:Invent 2024】Uncovering sophisticated cloud threats with Amazon GuardDuty セッションレポート
re:Invent2024
AWS re:Invent 2024で開催された、「Uncovering sophisticated cloud threats with Amazon GuardDuty」 のセッションのレポートをお届けします。
詳細をみる
-
【AWS re:Invent 2024】Unlocking security outcomes with Amazon Security Lake セッションレポート
re:Invent2024
AWS re:Invent 2024の 2日目に開催された、Unlocking security outcomes with Amazon Security Lakeというタイトルのセッションのレポートをお届けします。
詳細をみる
-
【AWS re:Invent 2024】SecurityLake・OpenSearchの連携に関する新機能発表セッションレポート
re:Invent2024
AWS re:Invent 2024 で発表された「Amazon Security Lake」と「Amazon OpenSearch Service」の連携強化。この新機能によって、セキュリティ分析がよりスムーズに、そして効率的に行えるようになりました。本記事では、新機能の詳細と活用方法について詳しく紹介します!
詳細をみる
AWS・Azure・GoogleCloudの
セキュリティは
にお任せ!
