

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 予防的および検出的なセキュリティコントロールの自動化
<a name="architecture-automate-controls"></a>

サイバー脅威インテリジェンス (CTI) が脅威インテリジェンスプラットフォームに取り込まれたら、データに応じて設定変更を行うプロセスを自動化できます。脅威インテリジェンスプラットフォームは、サイバー脅威インテリジェンスを管理し、環境を観察するのに役立ちます。サイバー脅威に関する技術情報と非技術情報を構築、保存、整理、視覚化する機能を提供します。これらは、脅威の全体像を構築し、さまざまなインテリジェンスソースを組み合わせて、[高度な永続脅威 (APTs)](https://en.wikipedia.org/wiki/Advanced_persistent_threat) などの脅威をプロファイリングおよび追跡するのに役立ちます。

自動化により、脅威インテリジェンスの受信から環境の設定変更の実装までの時間を短縮できます。すべての CTI レスポンスを自動化できるわけではありません。ただし、できるだけ多くのレスポンスを自動化すると、セキュリティチームが残りの CTI をタイムリーに優先順位付けして評価するのに役立ちます。各組織は、自動化できる CTI レスポンスのタイプと手動分析が必要な CTI レスポンスを決定する必要があります。この決定は、リスク、アセット、リソースなどの組織のコンテキストに基づいて行います。例えば、既知の不正なドメインや IP アドレスのブロックを自動化することを選択する組織もありますが、内部 IP アドレスをブロックする前にアナリストの調査が必要になる場合があります。

このセクションでは、[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)、、[AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)DN[Amazon Route 53 Resolver S Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) で自動 CTI レスポンスを設定する方法の例を示します。これらの例は、互いに独立して実装できます。組織のセキュリティ要件とニーズに基づいて意思決定を行います。[AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html) ワークフロー (*ステートマシン*とも呼ばれます) AWS のサービス を使用して、 の設定変更を自動化できます。[AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) 関数が CTI から JSON 形式への変換を完了すると、Step Functions ワークフローを開始する [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) イベントがトリガーされます。

次の図は、アーキテクチャの例を示しています。Step Functions ワークフローは、GuardDuty の脅威リスト、Route 53 Resolver DNS Firewall のドメインリスト、Network Firewall のルールグループを自動的に更新します。



![EventBridge イベントは、 AWS セキュリティサービスを更新する Step Functions ワークフローを開始します。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/cyber-threat-intelligence-sharing/images/architecture-automate-controls.png)


この図は、次のワークフローを示しています。

1. EventBridge イベントは定期的に開始されます。このイベントは AWS Lambda 関数を開始します。

1. Lambda 関数は、外部脅威フィードから CTI データを取得します。

1. Lambda 関数は、取得した CTI データを Amazon DynamoDB テーブルに書き込みます。

1. DynamoDB テーブルにデータを書き込むと、Lambda 関数を開始する変更データキャプチャストリームイベントが開始されます。

1. 変更が発生した場合、Lambda 関数は EventBridge で新しいイベントを開始します。変更が行われなかった場合、ワークフローは完了します。

1. CTI が IP アドレスレコードに関連する場合、EventBridge は Amazon GuardDuty の脅威リストを自動的に更新する Step Functions ワークフローを開始します。詳細については、このセクションの[Amazon GuardDuty](#architecture-automate-controls-guardduty)」を参照してください。

1. CTI が IP アドレスまたはドメインレコードに関連する場合、EventBridge はルールグループを自動的に更新する Step Functions ワークフローを開始します AWS Network Firewall。詳細については、このセクションの「[AWS Network Firewall](#architecture-automate-controls-network-firewall)」を参照してください。

1. CTI がドメインレコードに関連する場合、EventBridge は DNS Firewall Amazon Route 53 Resolver でドメインリストを自動的に更新する Step Functions ワークフローを開始します。詳細については、このセクション[Amazon Route 53 Resolver の「DNS Firewall](#architecture-automate-controls-route53)」を参照してください。

## Amazon GuardDuty
<a name="architecture-automate-controls-guardduty"></a>

[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) は、 AWS アカウント および ワークロードの不正なアクティビティを継続的にモニタリングし、可視性と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービスです。CTI フィードから GuardDuty 脅威リストを自動的に更新することで、ワークロードにアクセスしている可能性のある脅威に関するインサイトを得ることができます。GuardDuty は検出制御機能を向上させます。

**ヒント**  
GuardDuty は とネイティブに統合されます[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。Security Hub CSPM は、 のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。GuardDuty を Security Hub CSPM と統合すると、GuardDuty の検出結果は Security Hub CSPM に自動的に送信されます。Security Hub CSPM は、セキュリティ体制の分析にこれらの検出結果を含めることができます。詳細については、GuardDuty ドキュメントの[「 との統合 AWS Security Hub CSPM](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html)」を参照してください。Security Hub CSPM では、[自動化](https://docs.aws.amazon.com/securityhub/latest/userguide/automations.html)を使用して検出機能と応答性の高いセキュリティコントロール機能を改善できます。

次の図は、Step Functions ワークフローが脅威フィードの CTI を使用して GuardDuty の脅威リストを更新する方法を示しています。Lambda 関数が CTI の JSON 形式への変換を完了すると、ワークフローを開始する EventBridge イベントがトリガーされます。



![Step Functions ワークフローは CTI を使用して、GuardDuty で脅威リストを自動的に更新します。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/cyber-threat-intelligence-sharing/images/architecture-automate-guardduty.png)


図表に示す内容は以下のステップです。

1. CTI が IP アドレスレコードに関連する場合、EventBridge は Step Functions ワークフローを開始します。

1. Lambda 関数は脅威リストを取得し、Amazon Simple Storage Service (Amazon S3) バケットにオブジェクトとして保存されます。

1. Lambda 関数は、脅威リストを CTI の IP アドレスの変更で更新します。これにより、脅威リストが元の Amazon S3 バケットにオブジェクトの新しいバージョンとして保存されます。オブジェクト名は変更されません。

1. Lambda 関数は API コールを使用して GuardDuty ディテクター ID と脅威インテリジェンスセット ID を取得します。これらの IDs を使用して GuardDuty を更新し、脅威リストの新しいバージョンを参照します。
**注記**  
特定の GuardDuty ディテクターと IP アドレスリストは配列として取得されるため、取得できません。したがって、ターゲットには各 1 つのみを含めることをお勧めします AWS アカウント。それ以上の場合は、このワークフローの最後の Lambda 関数で正しいデータが抽出されていることを確認する必要があります。

1. Step Functions ワークフローは終了します。

## Amazon Route 53 Resolver DNS ファイアウォール
<a name="architecture-automate-controls-route53"></a>

[Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) は、Virtual Private Cloud (VPC) のアウトバウンド DNS トラフィックをフィルタリングおよび規制するのに役立ちます。DNS Firewall では、CTI フィードによって識別されるドメインアドレスをブロックするルールグループを作成します。Step Functions ワークフローを設定して、このルールグループからドメインを自動的に追加および削除します。

次の図は、Step Functions ワークフローが脅威フィードの CTI を使用して DNS Firewall Amazon Route 53 Resolver のドメインリストを更新する方法を示しています。Lambda 関数が CTI の JSON 形式への変換を完了すると、ワークフローを開始する EventBridge イベントがトリガーされます。



![Step Functions ワークフローは CTI を使用して、DNS Firewall のドメインリストを自動的に更新します。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/cyber-threat-intelligence-sharing/images/architecture-automate-route-53.png)


図表に示す内容は以下のステップです。

1. CTI がドメインレコードに関連する場合、EventBridge は Step Functions ワークフローを開始します。

1. Lambda 関数は、ファイアウォールのドメインリストデータを取得します。この Lambda 関数の作成の詳細については、 AWS SDK for Python (Boto3) ドキュメントの[「get\_firewall\_domain\_list](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53resolver/client/get_firewall_domain_list.html)」を参照してください。

1. Lambda 関数は、CTI と取得されたデータを使用してドメインリストを更新します。この Lambda 関数の作成の詳細については、Boto3 ドキュメントの [update\_firewall\_domains](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53resolver/client/update_firewall_domains.html) を参照してください。Lambda 関数は、ドメインを追加、削除、または置き換えることができます。

1. Step Functions ワークフローは終了します。

推奨されるベストプラクティスを以下に示します:
+ Route 53 Resolver DNS Firewall と の両方を使用することをお勧めします AWS Network Firewall。DNS Firewall は DNS トラフィックをフィルタリングし、Network Firewall は他のすべてのトラフィックをフィルタリングします。
+ DNS Firewall のログ記録を有効にすることをお勧めします。ログデータをモニタリングし、制限されたドメインがファイアウォール経由でトラフィックを送信しようとすると警告する検出コントロールを作成できます。詳細については、[Amazon CloudWatch を使用した Route 53 Resolver DNS Firewall ルールグループのモニタリング](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-dns-firewall-with-cloudwatch.html)」を参照してください。

## AWS Network Firewall
<a name="architecture-automate-controls-network-firewall"></a>

[AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) は、 の VPCs 用のステートフルでマネージド型のネットワークファイアウォールおよび侵入検知および防止サービスです AWS クラウド。VPC の境界でトラフィックをフィルタリングし、脅威をブロックするのに役立ちます。脅威インテリジェンスフィードを使用して Network Firewall ルールグループを自動的に更新すると、組織のクラウドワークロードとデータを悪意のある攻撃者から保護できます。

次の図は、Step Functions ワークフローが脅威フィードの CTI を使用して Network Firewall の 1 つ以上のルールグループを更新する方法を示しています。Lambda 関数が CTI の JSON 形式への変換を完了すると、ワークフローを開始する EventBridge イベントがトリガーされます。



![Step Functions ワークフローは、CTI を使用して Network Firewall のルールグループを自動的に更新します。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/cyber-threat-intelligence-sharing/images/architecture-automate-network-firewall.png)


図表に示す内容は以下のステップです。

1. CTI が IP アドレスまたはドメインレコードに関連する場合、EventBridge は、Network Firewall のルールグループを自動的に更新する Step Functions ワークフローを開始します。

1. Lambda 関数は、Network Firewall からルールグループデータを取得します。

1. Lambda 関数は CTI を使用してルールグループを更新します。IP アドレスまたはドメインを追加または削除します。

1. Step Functions ワークフローは終了します。

推奨されるベストプラクティスを以下に示します:
+ Network Firewall には、複数のルールグループを含めることができます。ドメインと IP アドレス用に個別のルールグループを作成します。
+ Network Firewall のログ記録を有効にすることをお勧めします。ログデータをモニタリングし、制限されたドメインまたは IP アドレスがファイアウォール経由でトラフィックを送信しようとすると警告する検出コントロールを作成できます。詳細については、「 [からのネットワークトラフィックのログ記録 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)」を参照してください。
+ Route 53 Resolver DNS Firewall と の両方を使用することをお勧めします AWS Network Firewall。DNS Firewall は DNS トラフィックをフィルタリングし、Network Firewall は他のすべてのトラフィックをフィルタリングします。