ランブック
セキュリティ異常を検出した場合、イベントを封じ込め、既知の良好な状態に戻すことは、対応計画の重要な要素です。例えば、セキュリティ設定の誤りが原因で異常が発生している場合は、適切な設定でリソースを再デプロイして差異を取り除くだけで修復できることがあります。そのためには、事前に計画を立て、独自のセキュリティ対応手順を定義する必要があります。通常、この手順はランブックと呼ばれます。
ランブックは、組織が 1 つのタスクや一連のタスクを実行するための手順をドキュメント形式にしたものです。このドキュメントは、通常、内部デジタルシステムに保存するか、用紙に印刷して保管します。現在、インシデント対応ランブックが既にあるか、新規に作成してセキュリティ保証フレームワークに準拠させようとしているかもしれません。ただし、作成したランブックの手順を手作業で実行すると、間違いを犯す可能性が高くなります。代わりに、繰り返し可能なタスクをすべて自動化することをお勧めします。自動化により、対応チームは一般的なタスクから解放され、イベントの関連付け、シミュレーションでの演習、新しい対応手順の考案、調査の実施、新しいスキルの開発、新しいツールのテストや構築など、より重要なタスクに取り組めるようになります。ただし、タスクをプログラマブルロジックに分解し、反復して適切に自動化するには、まずランブックを作成する必要があります。
ランブックの作成
クラウド用のランブックを作成するには、まず現在生成しているアラートに注目してください。アラートを生成した場合は、そのアラートを調査することが重要です。最初に、実行する手動プロセスの内容を定義します。その後、プロセスをテストし、ランブックパターンを反復して、対応のコアロジックを改善します。例外の定義およびそれらのシナリオに代わる解決方法を決定します。たとえば、開発環境では、設定ミスのある Amazon EC2 インスタンスを終了することができます。ただし、同じイベントが本番環境で発生した場合は、インスタンスを終了させずに停止し、ステークホルダーに重要なデータは失われないことを伝え、終了が許容されるかどうかを確認します。
最適なソリューションを決定したら、ロジックをコードベースのソリューションに分解します。多くの対応者は、このソリューションを対応プロセスを自動化し、差異や当て推量を取り除くためのツールとして使用できます。これにより、対応のライフサイクルが短縮されます。次の目標は、このコードを人間の対応者が実行するのではなく、アラートやイベント自体によって呼び出すことで、完全に自動化することです。
開始方法
どこから始めればよいかわからない場合はAWS Trusted Advisor
Amazon GuardDuty と Access Analyzer は、アプリケーションが AWS で使用するドメインの多くを記述するため、一般的に推奨されています。ただし、データとエンドポイントに関する懸念があるドメインに対しては、Amazon Inspector と Amazon Macie が特化されています。Amazon GuardDuty の検出結果については、Amazon GuardDuty ユーザーガイドを参照してください。Access Analyzer の検出結果については、Amazon Access Analyzer ユーザーガイドを参照してください。Macie の検出結果については、Amazon Macie ユーザーガイドを参照してください。Amazon Inspector の検出結果については、Amazon Inspector ユーザーガイドを参照してください。Security Hub を使用すると、これらの検出結果を 1 か所に統合し、低レイテンシーで同時に対応できます。そのため、Security Hub は修復の中央場所として推奨されています。
上記のすべてのサービスは、新規アラートの生成や既存アラートの更新など、何らかの変化が検出結果やアラートに生じると、Amazon CloudWatch Events を通じて通知を送信します。Amazon CloudWatch Events ルールを設定し、AWS Lambda 関数をトリガーしてイベント駆動型の対応を実行できます。ただし、Security Hub を使用すると、カスタムインサイトを構築してアプリケーションドメインから独自の検出結果を追加できます。これだけでも、Security Hub を代わりに使用する大きな理由となります。詳細については、「イベント駆動型の対応」セクションを参照してください。
