オブザーバビリティメカニズムによる可視性の取得 - AWS 規範ガイダンス
ネットワークトラフィックのログ記録でのセキュリティ検出結果の一元化 AWSセキュリティデータを他のエンタープライズデータと統合する AWS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

オブザーバビリティメカニズムによる可視性の取得

発生したセキュリティイベントを表示する機能は、適切なセキュリティコントロールを確立するのと同じくらい重要です。 AWS Well-Architected フレームワークのセキュリティの柱では、検出のベストプラクティスとして、サービスとアプリケーションのログ記録の設定標準化された場所でのログ、検出結果、メトリクスのキャプチャなどがあります。これらのベストプラクティスを実装するには、イベントを識別し、その情報を人間が消費可能な形式、理想的には一元的に処理するのに役立つ情報を記録する必要があります。

このガイドでは、Amazon Simple Storage Service (Amazon S3) を使用してログデータを一元化することをお勧めします。Amazon S3 は、 AWS Network Firewall と DNS Firewall Amazon Route 53 Resolver の両方のログストレージをサポートしています。次に、 AWS Security HubAmazon Security Lake を使用して、Amazon GuardDuty の検出結果やその他のセキュリティの検出結果を 1 つの場所に一元化します。

ネットワークトラフィックのログ記録

このガイドの「予防的および検出的なセキュリティコントロールの自動化」セクションでは、 と Amazon Route 53 Resolver DNS Firewall を使用して AWS Network Firewall サイバー脅威インテリジェンス (CTI) への対応を自動化する方法について説明します。これらのサービスの両方のログ記録を設定することをお勧めします。ログデータをモニタリングし、制限されたドメインまたは IP アドレスがファイアウォール経由でトラフィックを送信しようとすると警告する検出コントロールを作成できます。

これらのリソースを設定するときは、個々のログ記録要件を考慮してください。例えば、Network Firewall のログ記録は、ステートフルルールエンジンに転送するトラフィックに対してのみ使用できます。ゼロトラストモデルに従い、すべてのトラフィックをステートフルルールエンジンに転送することをお勧めします。ただし、コストを削減する場合は、組織が信頼するトラフィックを除外できます。

Network Firewall と DNS Firewall はどちらも Amazon S3 へのログ記録をサポートしています。これらのサービスのログ記録の設定の詳細については、「 からのネットワークトラフィックのログ記録 AWS Network Firewall」および「DNS Firewall のログ記録の設定」を参照してください。どちらのサービスでも、 を使用して Amazon S3 バケットへのログ記録を設定できます AWS Management Console。

でのセキュリティ検出結果の一元化 AWS

AWS Security Hub は、 のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境を評価するのに役立ちます。Security Hub は、セキュリティコントロールに関連付けられた検出結果を生成できます。Amazon GuardDuty など AWS のサービス、他の から検出結果を受信することもできます。Security Hub を使用して、 全体、およびサポートされているサードパーティー製品からの結果 AWS アカウント AWS のサービスとデータを一元化できます。統合の詳細については、Security Hub ドキュメントの「Security Hub の統合について」を参照してください。

Security Hub には、セキュリティ問題の優先順位付けと修復に役立つ自動化機能も含まれています。たとえば、自動化ルールを使用して、セキュリティチェックが失敗した場合に重要な結果を自動的に更新できます。Amazon EventBridge との統合を使用して、特定の検出結果への自動応答を開始することもできます。詳細については、Security Hub ドキュメントの「Security Hub の検出結果を自動的に変更して処理する」を参照してください。

Amazon GuardDuty を使用する場合は、検出結果を Security Hub に送信するように GuardDuty を設定することをお勧めします。Security Hub では、このような検出結果をセキュリティ体制の分析に含めることができます。詳細については、GuardDuty ドキュメントの「 との統合 AWS Security Hub」を参照してください。

Network Firewall と Route 53 Resolver DNS Firewall の両方について、ログ記録するネットワークトラフィックからカスタム検出結果を作成できます。Amazon Athena は、標準 SQL を使用して Amazon S3 でデータを直接分析するのに役立つ対話型のクエリサービスです。Amazon S3 のログをスキャンし、関連するデータを抽出するクエリを Athena で作成できます。手順については、Athena ドキュメントの開始方法を参照してください。次に、 AWS Lambda 関数を使用して関連するログデータを AWS Security Finding Format (ASFF) に変換し、結果を Security Hub に送信できます。以下は、Network Firewall から Security Hub の検出結果にログデータを変換する Lambda 関数の例です。

Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};

Security Hub に情報を抽出して送信するためのパターンは、個々のビジネスニーズによって異なります。定期的にデータを送信する必要がある場合は、EventBridge を使用してプロセスを開始できます。情報の追加時にアラートを受信する場合は、Amazon Simple Notification Service (Amazon SNS) を使用できます。このアーキテクチャには多くの方法があるため、ビジネスニーズが満たされるように適切に計画することが重要です。

セキュリティデータを他のエンタープライズデータと統合する AWS

Amazon Security Lake は、統合された およびサードパーティーのサービスからのセキュリティ関連のログ AWS のサービス とイベントデータの収集を自動化できます。また、保存とレプリケーションの設定をカスタマイズできるため、データのライフサイクル管理にも役立ちます。Security Lake は、取り込んだデータを Apache Parquet 形式とOCSF (OCSF) と呼ばれる標準のオープンソーススキーマに変換します。OCSF サポートにより、Security Lake は からのセキュリティデータと幅広いエンタープライズセキュリティデータソースを正規化 AWS し、組み合わせます。他の AWS のサービス やサードパーティのサービスが Security Lake に保存されているデータをサブスクライブして、インシデント対応やセキュリティデータ分析を行うことができます。

Security Hub から結果を受信するように Security Lake を設定できます。この統合をアクティブ化するには、両方のサービスを有効にし、Security Lake のソースとして Security Hub を追加する必要があります。これらの手順を完了すると、Security Hub はすべての検出結果を Security Lake に送信し始めます。Security Lake は、Security Hub の検出結果を自動的に正規化し、OCSF に変換します。Security Lake では、Security Hub の検出結果を使用するサブスクライバーを 1 人以上追加できます。詳細については、Security Lake ドキュメントの「 との統合 AWS Security Hub」を参照してください。

次の動画 AWS re:Inforce 2024 - Cyber Threat Intelligence Sharing on AWS では、Security Hub と Security Lake の統合を使用して CTI を共有する方法について説明します。