マルウェアイベントへの対応 - AMS Advanced ユーザーガイド
フェーズ A: 検出フェーズ B: 分析フェーズ C: 封じ込めと根絶インシデント後レポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルウェアイベントへの対応

Amazon EC2 インスタンスは、組織内のアプリケーションチームがデプロイしたサードパーティーソフトウェアやカスタム開発ソフトウェアなど、さまざまなワークロードをホストするために使用されます。AMS は、AMS によって継続的にパッチ適用および保守されているイメージにワークロードをデプロイすることを提供し、奨励します。

インスタンスのオペレーション中、AMS は Amazon GuardDuty、Endpoint Protection、ネットワークトラフィック、Amazon 内部脅威インテリジェンスフィードなど、さまざまなセキュリティ検出コントロールを通じて動作またはアクティビティの異常をモニタリングします。

AMS Advanced 運用モデルを使用する AMS のお客様は、プロビジョニングされたリソースにエンドポイントセキュリティ (EPS) モニタリングクライアントが自動的にインストールされます。これにより、イベントが検出されたときのセキュリティインシデントの作成など、リソースが 24 時間 365 日モニタリングおよびサポートされます。

AMS は GuardDuty Malware の検出結果もモニタリングします。これらは、有効になっている場合、AMS Advanced と AMS Accelerate の両方で使用できます。詳細については、Amazon GuardDutyの Malware Protection」を参照してください。

注記

Bring Your Own EPS を選択した場合、インシデント対応のプロセスはこのページで説明されているプロセスとは異なります。詳細については、参照先のドキュメントを参照してください。

マルウェアが検出されると、インシデントが作成され、イベントが通知されます。この通知の後には、発生した修復アクティビティが続きます。AMS オペレーションは、調査、データ収集、トリアージ、分析を行い、その後、お客様の指示に従って封じ込めアクティビティを実行し、イベント後分析を行います。

フェーズ A: 検出

AMS は、GuardDuty とエンドポイントセキュリティソリューションのモニタリングを使用して、インスタンスのイベントをモニタリングします。AMS は、検出結果またはアラートタイプに基づいて封じ込めまたはリスクの受け入れを決定するのに役立つ適切なエンリッチメントおよびトリアージアクティビティを決定します。

データ収集は、検出結果タイプに基づいて実行されます。データ収集では、影響を受けたアカウントの内部と外部の両方に複数のデータソースをクエリして、観察されたアクティビティや関心のある設定の全体像を構築します。

AMS は、影響を受けたアカウントまたは AMS 脅威インテリジェンスプラットフォームからの他のアラームやアラート、テレメトリと結果の相関を実行します。

フェーズ B: 分析

データが収集されると、そのデータが分析され、懸念されるアクティビティや指標が特定されます。調査のこの段階で、AMS はユーザーと協力して、インスタンスとワークロードに関するビジネスとドメインの知識を統合し、何が期待され、何が通常と異なるかを理解するのに役立ちます。

内部チェックをサポートするために調査中に提供される情報の例としては、次のようなものがあります。

  • アカウント情報: マルウェアアクティビティはどのアカウントで観察されましたか?

  • インスタンスの詳細: マルウェアイベントに関連するインスタンス (複数可)

  • イベントタイムスタンプ: アラートはいつトリガーされましたか?

  • ワークロード情報: インスタンスで実行されているものは何ですか?

  • 該当する場合はマルウェアの詳細: マルウェアのファミリーとマルウェアに関するオープンソース情報。

  • ユーザーまたはロールの詳細: アクティビティの影響を受けるユーザーまたはロール

  • アクティビティレコード: インスタンスにはどのようなアクティビティが記録されますか? これらは CloudWatch イベント、およびインスタンスからのシステムイベントの形式です。これらのログの読み方を理解すると、調査に役立ちます。

  • ネットワークアクティビティ: インスタンスに接続しているエンドポイント、インスタンスに接続しているエンドポイント、トラフィック分析とは

調査情報を受け取る準備を整え、組織内のアカウント、インスタンス、ワークロードの適切な連絡先に連絡する方法について計画を立てるのがベストプラクティスです。ネットワークトポロジと予想される接続を理解することで、影響分析を高速化できます。環境で計画されたペネトレーションテストと、アプリケーション所有者が最近実行したデプロイに関する知識があれば、調査を高速化することもできます。

アクティビティが計画および承認されていると判断した場合、インシデントが更新され、調査は終了します。侵害が確認された場合は、お客様と AMS が適切な封じ込め計画を決定します。

フェーズ C: 封じ込めと根絶

AMS はお客様と協力して、収集されたデータと既知の情報に基づいて、適切な封じ込めアクティビティを決定します。封じ込めオプションには以下が含まれますが、これらに限定されません。

  • スナップショットによるデータの保存

  • インスタンスに出入りするトラフィックを制限するようにネットワークルールを変更する

  • SCP、IAM ユーザー、ロールポリシーを変更してアクセスを制限する

  • インスタンスの終了、停止、または無効化

  • 永続接続の終了

  • 適切な認証情報/キーの更新

インスタンスに対して根絶アクティビティを実行することを選択した場合、AMS はこれを達成するためにサポートします。オプションには以下が含まれますが、これらに限定されません。

  • 不要なソフトウェアの削除

  • 完全にパッチが適用されたクリーンなイメージからインスタンスを再構築し、アプリケーションと設定を再デプロイする

  • 以前のバックアップからインスタンスを復元する

  • ワークロードのホストに適したアプリケーションとサービスを アカウント内の別のインスタンスにデプロイします。

サービスが復元される前に、マルウェアがインスタンスでどのように配信および実行されたかを判断し、インスタンスでのマルウェアの再発を防ぐために追加のコントロールが適用されていることを確認することが重要です。AMS は、フォレンジックをサポートするために必要に応じてフォレンジックパートナーまたはチームに追加のインサイトや情報を提供します。

この時点で、復旧アクティビティのために AMS オペレーションを使用します。AMS はお客様と密接に連携して、ワークロードの中断を最小限に抑え、インスタンスを保護します。

インシデント後レポート

必要に応じて、AMS は調査レビュープロセスを開始し、学んだ教訓を特定します。COE の完了の一環として、AMS はインシデント対応プロセスの改善に役立つ関連する検出結果を伝えます。

AMS は、調査の最終詳細を文書化し、適切なメトリクスを収集し、割り当てられた CSDM や CA などの情報を必要とする AMS 内部チームにインシデントを報告します。