検出と分析 - AWS Security Incident Response ユーザーガイド

検出と分析

AWS Security Incident Response は、Amazon GuardDuty のセキュリティ検出結果と AWS Security Hub CSPM による統合をモニタリング、トリアージ、調査します。AWS Security Incident Response のモニタリングおよび調査機能の範囲と有効性を大幅に強化できるその他のアクションは以下のとおりです。

サポートされている検出ソースの有効化

注記

AWS Security Incident Response サービスコストには、サポートされている検出ソースや他の AWS サービスの使用に関連する使用料やその他のコスト、料金は含まれません。コストの詳細については、個々の機能またはサービスページを参照してください。

Amazon GuardDuty

GuardDuty は、AWS 環境内のデータソースとログを継続的にモニタリングし、分析して処理する脅威検出サービスです。AWS Security Incident Response を使用するには GuardDuty を有効にする必要はありませんが、プロアクティブレスポンスとアラートのトリアージ機能を使用するには、Amazon GuardDuty を有効にする必要があります。

組織全体で GuardDuty を有効にするには、「Amazon GuardDuty ユーザーガイド」の「Setting up GuardDuty」セクションを参照してください。

サポートされているすべての AWS リージョン で GuardDuty を有効にすることを強くお勧めします。これにより、GuardDuty はアクティブに使用されていないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検出結果を生成できます。詳細については、「Amazon GuardDuty Regions and endpoints」を参照してください

GuardDuty を有効にすると、AWS Security Incident Response は重大な脅威検出データにアクセスし、AWS 環境内の潜在的なセキュリティ問題を特定して対応できるようになります。

AWS Security Hub CSPM

Security Hub は、複数の AWS サービスおよびサポートされているサードパーティーのセキュリティソリューションからセキュリティ検出結果を取り込むことができます。これらの統合により、AWS Security Incident Response は他の検出ツールからの検出結果をモニタリングおよび調査できるようになります。

Security Hub と Organizations の統合を有効にするには、「AWS Security Hub CSPM ユーザーガイド」を参照してください。

Security Hub で統合を有効にするには、複数の方法があります。サードパーティー製品の統合では、AWS Marketplace から統合を購入して設定することが必要になる場合があります。統合情報には、これらのタスクを完了するためのリンクが含まれます。AWS Security Hub CSPM 統合を有効にする方法の詳細については、こちらをご覧ください。

AWS Security Incident Response は、AWS Security Hub CSPM と統合されている場合、次のツールからの検出結果をモニタリングおよび調査できます。

これらの統合を有効にすることで、AWS Security Incident Response のモニタリングおよび調査機能の範囲と有効性を大幅に強化できます。

調査結果の分析。

AWS Security Incident Response オートメーションと AWS CIRT サービスチームは、サポートされているツールのすべての検出結果を分析します。AWS サポートケースを使用してお客様とコミュニケーションを行うことで、お客様の環境について理解していきます。例えば、検出結果が予想される動作であるか、インシデントにエスカレーションする必要があるかを理解する必要がある場合などです。お客様の環境についてさらに詳しく知ることで、サービスをカスタマイズして、コミュニケーションの回数を減らします。

イベントのレポート。

AWS Security Incident Response サービスポータルからセキュリティイベントを報告できます。セキュリティイベントの発生中は待機しないことが重要です。AWS Security Incident Response は自動および手動の手法を使用して、セキュリティイベントを調査し、ログを分析し、異常なパターンを探します。お客様の協力と環境の理解は、この分析を加速させます。

コミュニケーションを行う。

AWS Security Incident Response は、イベントケースを通じてセキュリティ連絡先と連携し、調査中に随時情報をお客様に提供します。複数のチームメイトがイベントをサポートできます。全員がお客様から提供されたコンテンツと AWS 更新のイベントチケットを使用します。

コミュニケーションには、セキュリティアラートの生成時の自動通知、イベント分析中のコミュニケーション、コールブリッジの確立、ログファイルなどのアーティファクトの継続的な分析、セキュリティイベント中の調査結果の取得などが含まれます。

サービスは、チームとコミュニケーションを行うための AWS Security Incident Response ケースを作成します。メンバーシップアカウントに対してケースが作成されます。このアプローチは、すべてのアカウントからのコミュニケーションを 1 か所に一元化します。「[Proactive case]」プレフィックスは、AWS Security Incident Response によって開始されたケースを識別するのに役立ちます。

これらのコミュニケーションに積極的に関与し、タイムリーな対応をすることで、AWS Security Incident Response サービスは次のことを実現できます。

  • 環境と予想される動作をよりよく理解できます。

  • 時間の経過とともに誤検出を減らせます。

  • アラートの精度と関連性を向上できます。

  • 実際のセキュリティインシデントに迅速に対応できます。

  • AWS Security Incident Response サービスの有効性はお客様の協力によって向上し、より安全で効率的にモニタリングされる AWS 環境につながります。