[AWS Black Belt Online Seminar] Amazon Detective 資料及び QA 公開

先日 (2020/07/15) 開催しました AWS Black Belt Online Seminar「Amazon Detective」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。

20200715 AWS Black Belt Online Seminar Amazon Detective

AWS クラウドサービス活用資料集（すべての過去資料が閲覧できます）

Q. Amazon GuardDuty の有効化後、48時間経過すれば必ず有効化できますか？
A. はい、有効化できます。Amazon GuardDuty 有効化後の48時間以内に Amazon Detective を有効化しようとするとエラーメッセージが表示され有効化ができませんが、48時間経過すると、このメッセージも表示されず有効化することができます。

Q. 複数の AWS アカウントを運用している場合、どのような構成がベストプラクティスになりますでしょうか？（各 AWS アカウントで有効化する／ログを1つの AWS アカウントに集約して有効化する、など）
A. すべてのアカウントで有効化をして、１つのアカウントで検出結果の管理を行うのを推奨しております。最初に、マスターアカウントを一つ選択してください。他のAWSアカウントはメンバーアカウントになります。次に、Amazon GuardDuty または AWS Security Hub のサービスを有効化して、このマスターアカウントがメンバーアカウントの検出結果を管理できるようにしてください。最後に、Amazon Detective でも同じマスターアカウントとメンバーアカウントの関係を維持してください。これによって組織全体で脅威を一元管理ができ、Amazon Detective で迅速に調査ができるようになります。

Q. Detective は CloudTrail を止められても影響がないようになっているとのことですが、例えば CloudTrail のログを止められていて AWS Web コンソール上では API コールログが見れなくても、Detective が稼働していれば裏で API コールログも収集できている（分析時にはそのログも含めて分析できている）ということでしょうか？
A. Amazon Detective は自動的に AWS CloudTrail のログを取り込みます。攻撃者が CloudTrail の証跡の作成を停止したとしても、Detective は API コールを含む CloudTrail のログを収集して調査が可能です。

Q. 質問ではないのですが、有事の際は労力低減のため、日本語のインターフェースであると助かります。
A. 貴重なご意見、ありがとうございます。サービス開発チームに連携いたします。お客様の声をサービス開発チームにフィードバックすることは、AWS のサービス改善にとって有益であると考えています。

Q. 先ほど悪意のあるユーザーによりCloudTrailを止められるとありましたが、DetectiveやGuardDutyを止められてさかのぼって調査できなくなりますか？その場合どのようにユーザやロール等を設定するのが良いでしょうか？
A. Amazon Detective と Amazon GuardDuty を無効化をすると、それまでの検出結果とグラフは削除されます。対策は、ご指摘の通り各ユーザーやロールで制限することであり、IAM ポリシーには最小権限のみ付与してください。これによって攻撃者は、CloudTrail の証跡削除、Detective と GuardDuty の無効化ができる認証情報の窃取が難しくなります。どの権限でサービスの有効化・無効化ができるかは、下記のドキュメントをご参照ください。
また、Amazon GuardDuty は、アクティブな結果を CloudWatch イベントにエクスポートできます。オプションで Amazon S3 バケットにもエクスポートできます。過去90日より古いログを確認するときは、エクスポートしてください。GuardDutyが無効化されたときにそれまでのデータを保護することにもなりますのので、エクスポートをご検討ください。
参考：

• Amazon GuardDuty アクセスの管理
• Amazon Detective prerequisites and recommendations
• Amazon GuardDuty 結果のエクスポート

Q. いつもありがとうございます。フォレンジックもオペレータレベルでは出来ない仕様に見受けられます。これだとセキュリティインシデント対応の専門家を配置しないと難しい様に感じます。もっと、はっきりと SIEM Engine 的に動かす様な仕組みでないと手順が多く、オペレーションに向かない様に感じます。更に CSIRT メンバーで検討する際にも、その前の分析が複雑で迅速性に欠ける気がするのですが、気のせいでしょうか？
A. 今回の調査例では画面の説明や分析の観点も含めて詳細にご紹介しました。ですので、実際の調査の場面では根本原因を迅速に特定できる可能性があります。30日間の無料トライアルを用意しておりますので Amazon Detective をぜひ評価してみてください。

Q. 複数リージョンの監視を有効にするには、各リージョンごとにGuardDutyやDetectiveを有効にする必要があるのでしょうか？
A. 各リージョンで有効化することをおすすめします。理由は Amazon Detective と Amazon GuardDuty はリージョン別のサービスで、複数のリージョンが使用されている場合でも、Amazon GuardDuty のセキュリティの検出結果と Amazon Detective のグラフモデルは、基盤となるデータが生成されたリージョンと同じリージョンに残ります。各リージョンでに設定することで、お客様が能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する脅威を検出して調査をすることができるようになります。なお、どちらのサービスも取り込んだログ量に対する従量課金のためサービスを有効化してもログが一切発生しなければ課金されません。
料金の詳細は下記をご参照ください:

• Amazon Detective の料金
• Amazon GuardDuty の料金

Q. CloudFormation以外で一括有効化する方法はありますか？
A. AWSマネジメントコンソールを使用して、マスターアカウントが AWS アカウントとメールアドレスの情報が入力された CSV をアップロードしてメンバーアカウントを招待する方法と、今回ご紹介した GitHub のスクリプトをお使いいただく方法があります。AWS CLI コマンドまたは API を使用してお客様にて作成することもできます。

Q. 料金体系がGuardDutyと似ていると思いますが、GuardDutyと比較するとどれくらいになりますか？
A. ご指摘の通り、Amazon GuardDuty と Amazon Detective のどちらも取り込んだログ量に対する従量課金で似ております。しかし、取り込むログ種類が違うこととお客様ごとに発生するログの傾向が違うので GuardDuty と比較してどれくらいになるかを申し上げることは難しいです。Detective の30日間の無料トライアルで試算が出ますのでそこでご確認ください。

• Amazon Detective の料金
• Amazon GuardDuty の料金

Q. マルチアカウント環境においてメンバーアカウントは自分のアカウントのDetectiveを見れますか
A. マスターアカウントのグラフはマスターアカウントでのみ調査ができます。メンバーアカウントでも調査できるようにする方法が2つあります。1つ目はメンバーアカウントにクロスアカウントアクセス用のIAMロールを付与してマスターアカウントのグラフを調査する権限を付与することです。この場合は、メンバーアカウントは自身のAWSアカウント以外の情報も調査できます。2つ目はメンバーアカウントもマスターアカウントになることです。メンバーアカウントは複数のマスターアカウントにログを提供することができます。組織全体のメンバーアカウントとしてマスターアカウントにログを提供すると同時に、自身もマスターアカウントになり自身のログだけを受け取ることでメンバーアカウントも Detective から自身の AWS アカウントの調査ができるようになります。複数のマスターアカウントにログを提供すると、取り込むログが増加し、料金もその分が増加しますのでご注意ください。
2つ目の方法のメンバーアカウントが自身もマスターアカウントとなる設定をする場合は、AWS CLI コマンドをお使いください。メンバーアカウントが、create-graph をすると自身もマスターアカウントとなり、delete-graph をすると自身のマスターアカウントを無効化できます。
参考： AWS CLI コマンドリファレンス detective

—

今後の AWS Webinar | イベントスケジュール

直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。

—

AWSome Day Online Conference

「AWSome Day Online」は、AWSの主要サービスや基礎知識を約 2.5 時間という短い時間で、ポイントを押さえて紹介いたします。技術的な面だけではなく、AWS クラウドを学ぶために必要となる知識を身に付けたい方、エンジニアのみならず、営業職、プリセールス職、学生まで幅広い方々におすすめします。

※この回ではAWSエキスパートによる技術的な内容についてチャット形式でのQ&Aを実施します。
※AWS サービスの導入に関するご相談も同時にチャット形式にて対応します。
※2020年は毎月第一水曜日に開催します。

日時：2020 年 8 月 5 日（水） 15:00 – 17:40 終了予定 | 詳細・お申込みについてはこちら≫

—

Amazon EC2 が最大72%割引になる柔軟な料金モデル『Savings Plans』のご紹介
『Savings Plans』は 1 年または 3 年の長期利用契約による、Amazon EC2、AWS Fargate のコストを最大 72 % 削減可能な料金体系です。本ウェビナーでは Savings Plans ご紹介後、購入方法、お客様の現在の利用状況に合わせたご提案の確認方法もご紹介します。

※本セミナーは 2020 年 3月の AWS Innovate オンラインカンファレンスで公開した内容と同じものとなります。見逃した方はこの機会にご覧ください。

日時：　2020 年 7 月 30 日（木）10:00 – 10:30 | 詳細・お申込みについてはこちら≫

—

Purpose-Built Databases Week – AWS の NoSQL データベースサービス総集編 –
Purpose-Built Databases Weekは、AWS NoSQL Databasesに焦点を当てた1週間に渡る全5日間のイベントシリーズです。各日とも、製品やユースケースの概要説明、最近リリースされた機能の深掘り、カスタマートーク、日本と米国のプロダクトチームとのライブ質疑応答などが行われます。

日時：　2020 年 8 月 24 日（月）～ 8 月 30 日（金） | 詳細・お申込みについてはこちら≫

—
AWS Black Belt Online Seminar

8 月の予定が新しく公開されました。また7 月のアジェンダは以下を予定しています。セミナー中は内容に関する疑問点を質問することができます。参加された方だけの特権ですので、ぜひこの機会にご視聴ください。

7 月分の詳細・お申込はこちら≫

• 7/28（火）12:00-13:00 What’s New in Serverless
• 7/29（水）18:00-19:00 Amazon Redshift Advanced Guide −最新ベストプラクティスとアップデート

8 月分の詳細・お申込はこちら≫

• 8/4（火）12:00-13:00 Amazon CodeGuru
• 8/11（火）12:00-13:00 CloudEndure
• 8/12（水）18:00-19:00 Amazon Macie
• 8/18（火）12:00-13:00 AWS Shield Advanced
• 8/19（水）18:00-19:00 FreeRTOS
• 8/25（火）12:00-13:00 AWS EC2 Image Builder
• 8/26（水）18:00-19:00 AWS CloudFormation