Accelerate でのデータ保護 - AMS Accelerate ユーザーガイド
Amazon Macie でモニタリングするGuardDuty によるモニタリングAmazon Route 53 Resolver DNS Firewall によるモニタリングデータの暗号化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Accelerate でのデータ保護

AMS Accelerate は、Amazon GuardDuty、Amazon Macie (オプション)、その他の内部独自のツールやプロセス AWS のサービス などのネイティブを活用して、マネージドアカウントを継続的にモニタリングします。アラームがトリガーされると、AMS Accelerate は最初のトリアージとアラームへの応答について責任を負います。AMS レスポンスプロセスは NIST 標準に基づいています。AMS Accelerate は、セキュリティインシデント対応シミュレーションを使用して対応プロセスを定期的にテストし、ワークフローを既存のカスタマーセキュリティ対応プログラムと整合させます。

AMS Accelerate は、 またはセキュリティポリシーの違反 AWS または差し迫った違反の脅威を検出すると、影響を受けるリソースや設定関連の変更などの情報を収集します。AMS Accelerate は、すべてのマネージドアカウントでモニタリングダッシュボード、インシデントキュー、サービスリクエストを積極的に確認および調査する専用オペレーターによる 24 時間 365 follow-the-sunサポートを提供します。Accelerate は、社内のセキュリティエキスパートと調査結果を調査してアクティビティを分析し、アカウントにリストされているセキュリティエスカレーション連絡先を通じて通知します。

結果に基づいて、Accelerate はプロアクティブにお客様とやり取りします。アクティビティが不正または疑わしいことが判明した場合、AMS はお客様と協力して問題を調査、修復、または封じ込めます。Accelerate がアクションを実行する前に、影響を確認する必要がある GuardDuty によって生成された特定の検出結果タイプがあります。例えば、GuardDuty 検出結果タイプ UnauthorizedAccess:IAMUser/ConsoleLogin は、ユーザーの 1 人が異常な場所からログインしたことを示します。AMS から通知され、この動作が正当かどうかを確認するために検出結果を確認するよう求められます。

Amazon Macie でモニタリングする

AMS Accelerate は、個人健康情報 (PHI)、個人を特定できる情報 (PII)、財務データなどの機密データの大規模で包括的なリストを検出するために Amazon Macie をサポートしており、これを使用するのがベストプラクティスです。

Amazon S3 バケットで定期的に を実行するように Macie を設定できます。これにより、バケット内の新規または変更されたオブジェクトの評価が時間の経過とともに自動化されます。セキュリティ検出結果が生成されると、AMS は通知を行い、必要に応じて検出結果を修復します。

詳細については、Amazon Macie の検出結果の分析」を参照してください。

GuardDuty によるモニタリング

GuardDuty は、悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードを使用する継続的なセキュリティモニタリングサービスであり、機械学習を使用して AWS 、環境内の予期しない、潜在的に不正な、悪意のあるアクティビティを特定します。これには、権限のエスカレーション、公開された認証情報の使用、悪意のある IP アドレスやドメインとの通信などの問題が含まれる場合があります。GuardDuty は、不正なインフラストラクチャのデプロイ、 にデプロイされたインスタンス、使用したことのない AWS リージョンなど、侵害の兆候がないか AWS アカウント アクセス動作をモニタリングします。GuardDuty は、パスワードの強度を低下させるためのパスワードポリシーの変更など、異常な API コールも検出します。詳細については、GuardDuty ユーザーガイド」を参照してください。

GuardDuty の検出結果を表示および分析するには、次の手順を実行します。

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. 検出結果を選択し、特定の検出結果を選択して詳細を表示します。各検出結果の詳細は、検出結果のタイプ、関連するリソース、アクティビティの性質によって異なります。

使用可能な検出結果フィールドの詳細については、GuardDuty の検出結果の詳細」を参照してください。

GuardDuty 抑制ルールを使用して検出結果をフィルタリングする

抑制ルールは、フィルター属性と値を組み合わせた一連の基準です。抑制ルールを使用して、誤検出の検出結果や既知のアクティビティなど、対処する予定のない低値の検出結果をフィルタリングできます。検出結果をフィルタリングすると、環境に最も影響を与える可能性のあるセキュリティ脅威を簡単に認識できます。

結果をフィルタリングするために、サプレッションルールは、指定した条件に一致する新しい検出結果を自動的にアーカイブします。アーカイブされた検出結果は、 AWS Security Hub、Amazon S3、または CloudTrail Events に送信されません。したがって、Security Hub またはサードパーティーの SIEM アラートおよびチケット発行アプリケーションを介して GuardDuty の検出結果を使用すると、サプレッションフィルターは実行不可能なデータを削減します。

AMS には、マネージドアカウントの抑制ルールを識別するための一連の条件が定義されています。マネージドアカウントがこの基準を満たすと、AMS はフィルターを適用し、デプロイされたサプレッションフィルターの詳細を示すサービスリクエスト (SR) を作成します。

SR を介して AMS と通信して、抑制フィルターを変更または元に戻すことができます。

アーカイブされた結果を表示する

GuardDuty は、検出結果が抑制ルールと一致しても検出結果を生成し続けます。抑制された検出結果はアーカイブ済みとしてマークされます。GuardDuty はアーカイブされた検出結果を 90 日間保存します。GuardDuty コンソールで 90 日間アーカイブされた結果を表示するには、結果テーブルからアーカイブされた を選択します。または、Service.archived の findingCriteriatrue に等しい ListFindings API を使用して、GuardDuty API を介してアーカイブされた検出結果を表示します。

抑制ルールの一般的なユースケース

次の検出結果タイプには、抑制ルールを適用する一般的ユースケースがあります。

  • Recon:EC2/Portscan: サプレッションルールを使用して、承認された脆弱性スキャナーを使用するときに検出結果を自動的にアーカイブします。

  • UnauthorizedAccess:EC2/SSHBruteForce: 踏み台インスタンスを対象としている場合、サプレッションルールを使用して検出結果を自動的にアーカイブします。

  • Recon:EC2/PortProbeUnprotectedPort: サプレッションルールを使用して、意図的に公開されたインスタンスをターゲットにした場合に、検出結果を自動的にアーカイブします。

Amazon Route 53 Resolver DNS Firewall によるモニタリング

Amazon Route 53 Resolver は、パブリックレコード、Amazon VPC 固有の DNS 名、Amazon Route 53 プライベートホストゾーンの AWS リソースからの DNS クエリに再帰的に応答し、すべての VPCs でデフォルトで使用できます。Route 53 Resolver DNS Firewall を使用すると、仮想プライベートクラウド (VPC) のアウトバウンド DNS トラフィックをフィルタリングおよび規制できます。これを行うには、DNS Firewall のルールグループで再利用可能なフィルタリングルールのコレクションを作成し、そのルールグループを VPC に関連付けて、DNS Firewall のログとメトリクスのアクティビティを監視します。アクティビティに基づいて、DNS Firewall の動作を適宜調整できます。詳細については、「DNS ファイアウォールを使用してアウトバウンド DNS トラフィックをフィルタリングする」を参照してください。

Route 53 Resolver DNS Firewall 設定を表示および管理するには、次の手順を使用します。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. DNS ファイアウォールで、ルールグループを選択します。

  3. 既存の設定を確認、編集、または削除するか、新しいルールグループを作成します。詳細については、「Route 53 Resolver DNS Firewall の仕組み」を参照してください。

Amazon Route 53 Resolver DNS Firewall のモニタリングとセキュリティ

Amazon Route 53 DNS Firewall は、ルールの関連付け、ルールアクション、ルール評価優先度の概念を使用します。ドメインリストは、ルールグループ内の DNS Firewall ルールで使用する、再利用可能なドメイン仕様のセットです。ルールグループを VPC に関連付けると、DNS Firewall はルールで使用されているドメインリストとDNS クエリを比較します。DNS Firewall が一致を検出した場合、DNS クエリは一致するルールのアクションに従って処理されます。ルールグループとルールの詳細については、「DNS Firewall ルールグループとルール」を参照してください。

ドメインリストは、次の 2 つの主要なカテゴリに分類できます。

  • がユーザーに代わって AWS 作成および管理するマネージドドメインリスト。

  • 作成および管理する独自のドメインリスト。

ルールグループは、関連付け優先度インデックスに基づいて評価されます。

デフォルトでは、AMS は次のルールとルールグループで構成されるベースライン設定をデプロイします。

  • という名前の 1 つのルールグループDefaultSecurityMonitoringRule。ルールグループには、有効な各 の既存の VPC ごとに作成時に使用できる最も優先度の高い関連付けがあります AWS リージョン。

  • アクション ALERT DefaultSecurityMonitoringRuleAWSManagedDomainsAggregateThreatList Managed Domain リストを使用して、ルールグループ内で優先度 1 の という名前の 1 つのDefaultSecurityMonitoringRuleルール。

既存の設定がある場合、ベースライン設定は既存の設定よりも優先度が低くデプロイされます。既存の設定がデフォルトです。既存の設定でクエリ解決の処理方法に関する優先度の高い指示が提供されていない場合は、AMS ベースライン設定をキャッチオールとして使用します。ベースライン設定を変更または削除するには、次のいずれかを実行します。

  • Cloud Service Delivery Manager (CSDM) または Cloud Architect (CA) にお問い合わせください。

  • サービスリクエストを作成します。

AMS Accelerate でのデータ暗号化

AMS Accelerate は、データ暗号化 AWS のサービス に複数の を使用します。

Amazon Simple Storage Service には、転送中および保管中のデータを保護するオブジェクト暗号化オプションがいくつか用意されています。サーバー側の暗号化では、オブジェクトをデータセンター内のディスクに保存する前に暗号化し、オブジェクトをダウンロードするときに復号します。リクエストが認証され、お客様がアクセス許可を持っていれば、オブジェクトが暗号化されているかどうかに関係なく同じ方法でアクセスできます。詳細については、「Amazon S3 におけるデータ保護」を参照してください。