可視性とアラート - AWS Security Incident Response ユーザーガイド

可視性とアラート

AWS Security Hub – AWS Security Hub は、AWS アカウント全体で優先度の高いセキュリティアラートとコンプライアンスステータスを包括的に把握できます。Security Hub は、Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Partner ソリューションなど、さまざまな AWS サービスからの検出結果を集約し、整理して優先順位を付けます。検出結果は、実用的なグラフとテーブルを含む統合ダッシュボードで視覚的に要約されます。また、組織が準拠する AWS のベストプラクティスと業界標準に基づいて、自動化されたコンプライアンスチェックを使用して環境を継続的にモニタリングすることもできます。

Amazon GuardDuty – Amazon GuardDuty は、悪意ある動作や不正な挙動を継続的にモニタリングし、お客様の AWS アカウントとワークロードの保護を支援するマネージド脅威検出サービスです。異常な API コール、不正なデプロイの可能性 (Amazon EC2 インスタンス、Amazon S3 バケットのアカウントやリソースが侵害された可能性を示す)、悪意のある人物による偵察などのアクティビティをモニタリングします。

GuardDuty は、機械学習を使用してアカウントとワークロードのアクティビティの異常を検出し、統合された脅威インテリジェンスフィードを通じて悪意が疑われる人物を特定します。潜在的な脅威が検出されると、サービスは GuardDuty コンソールと CloudWatch Events に詳細なセキュリティアラートを送信します。これにより、アラートに対して行動を起こすことが可能になり、既存のイベント管理およびワークフローシステムに簡単に統合できます。

GuardDuty には、Amazon S3 Protection 用の Amazon GuardDuty と Amazon EKS Protection 用の Amazon GuardDuty の 2 つの脅威モニタリング用アドオンも用意されています。Amazon S3 Protection により、GuardDuty はオブジェクトレベルの API オペレーションをモニタリングし、Amazon S3 バケット内のデータの潜在的なセキュリティリスクを特定できるようになります。Kubernetes Protection により、GuardDuty は、Amazon EKS 内の Kubernetes クラスターの疑わしいアクティビティと侵害の可能性を検出できます。

Amazon Macie – Amazon Macie は AI を活用したセキュリティサービスであり、AWS に保存されている機密データを自動的に検出、分類、保護することで、データ損失を防ぐことに役立ちます。Macie は機械学習 (ML) を使用して、個人を特定できる情報 (PII) や知的財産などの機密データを認識し、ビジネス価値を割り当て、このデータが組織のどこに保存され、どのように利用されているかを可視化します。Amazon Macie は、データアクセスアクティビティの異常を継続的にモニタリングし、不正アクセスや不注意によるデータ漏洩のリスクを検出すると、アラートを送信します。

AWS Config ルール – AWS Config ルールは、リソースの優先設定を表し、AWS Config によって記録される関連リソースの設定変更に対して評価されます。リソースの設定に対するルールの評価結果は、ダッシュボードで確認できます。AWS Config ルールを使用すると、全体的なコンプライアンスとリスクのステータスを設定の観点から評価し、時間の経過に伴うコンプライアンスの傾向を確認し、リソースがルールに準拠しなくなる原因となった設定変更を見つけることができます。

AWS Trusted Advisor – AWS Trusted Advisor は、AWS 環境を最適化することでコストを削減し、パフォーマンスを向上させ、セキュリティを向上させるのに役立つオンラインリソースです。Trusted Advisor は、AWS のベストプラクティスに従ってリソースをプロビジョニングするのに役立つリアルタイムのガイダンスを提供します。CloudWatch Events の統合を含むすべての Trusted Advisor チェックは、ビジネスサポートプランおよびエンタープライズサポートプランのお客様が利用できます。

Amazon CloudWatch – Amazon CloudWatch は、AWS クラウドのリソースと、AWS で実行されるアプリケーションをモニタリングするサービスです。CloudWatch を使用して、メトリクスの収集とトラッキング、ログファイルの収集とモニタリング、アラームの設定、AWS リソースの変更への自動対応を行うことができます。CloudWatch では、Amazon EC2 インスタンス、Amazon DynamoDB テーブル、Amazon RDS DB インスタンスなどの AWS リソース、およびアプリケーションやサービスに生成されたカスタムメトリクス、アプリケーションが生成するあらゆるログファイルをモニタリングできます。Amazon CloudWatch を使用して、リソースの使用率、アプリケーションのパフォーマンス、運用の状況をシステム全体で把握できます。これらの洞察を使用して適宜対応し、アプリケーションのスムーズな動作を維持できます。

Amazon Inspector – Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービスです。Amazon Inspector では、自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認できます。評価を実行した後、Amazon Inspector は、重要度のレベルごとに優先順位が付けられたセキュリティ結果の詳細なリストを作成します。これらの検出結果は、直接確認することも、Amazon Inspector コンソールまたは API から入手できる詳細な評価レポートの一部として確認することもできます。

Amazon Detective – Amazon Detective は、AWS リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、より迅速かつ効率的なセキュリティ調査を実施できるリンクされたデータセットを構築するセキュリティサービスです。Detective は、VPC フローログ、CloudTrail、GuardDuty などの複数のデータソースの何兆ものイベントを分析し、リソース、ユーザー、およびそれらの間の時間の経過に伴うインタラクションを統合したインタラクティブビューを自動的に作成します。この統合されたビューを使用して、すべての詳細とコンテキストを 1 か所で可視化して、検出結果の根本的な理由を特定し、関連する過去のアクティビティを掘り下げ、根本原因をすばやく特定できます。