封じ込め - AWS Security Incident Response ユーザーガイド

封じ込め

AWS Security Incident Response は、お客様と協力してイベントを封じ込めます。アラートへの応答として、アカウントで自動および手動アクションを実行するように AWS Security Incident Response のサービスロールを設定できます。SSM ドキュメントを使用して、お客様自身で、またはサードパーティーと協力して封じ込めを実行することもできます。

封じ込めの重要な部分は、システムをシャットダウンするか、ネットワークからリソースを分離するか、アクセスをオフにするか、セッションを終了するかなどの意思決定です。イベントを封じ込めるための戦略と手順が事前に決められていると、これらの決定は容易になります。AWS Security Incident Response は、お客様が関連するリスクを検討して同意した後にのみ、封じ込め戦略を提供し、潜在的な影響を通知し、ソリューションの実装をガイドします。

AWS Security Incident Response は、サポートされている封じ込めアクションをユーザーに代わって実行して、対応を迅速化し、脅威アクターが環境に損害を引き起こす可能性のある時間を短縮します。この機能を使用すると、特定された脅威を迅速に軽減し、潜在的な影響を最小限に抑え、全体的なセキュリティ体制を強化できます。分析対象のリソースに応じて、さまざまな封じ込めオプションがあります。サポートされている封じ込めアクションは次のとおりです。

  • EC2 封じ込め: AWSSupport-ContainEC2Instance 封じ込めオートメーションは、EC2 インスタンスの可逆的なネットワーク封じ込めを実行し、インスタンスをそのまま実行したままにしますが、新しいネットワークアクティビティから分離して、VPC 内外のリソースとの通信を防止します。

    重要

    セキュリティグループを変更しても、既存の追跡された接続はシャットダウンされないことに注意してください。将来のトラフィックのみが、新しいセキュリティグループとこの SSM ドキュメントによって効果的にブロックされます。詳細については、サービステクニカルガイドの「ソースの封じ込め」セクションを参照してください。

  • IAM 封じ込め: AWSSupport-ContainIAMPrincipal 封じ込めオートメーションは、IAM ユーザーまたはロールの可逆的なネットワーク封じ込めを実行し、ユーザーまたはロールを IAM に残しますが、アカウント内のリソースとの通信から分離します。

  • S3 封じ込め: AWSSupport-ContainS3Resource 封じ込めオートメーションは、S3 バケットの可逆的な封じ込めを実行し、バケットにオブジェクトを残し、アクセスポリシーを変更して Amazon S3 バケットまたはオブジェクトを分離します。

重要

AWS Security Incident Response はデフォルトで封じ込め機能を有効にしません。これらの封じ込めアクションを実行するには、まずロールを使用してサービスに必要なアクセス許可を付与する必要があります。これらのロールは、必要なロールを作成する AWS CloudFormation スタックセットを使用して、アカウントごと、または組織全体で個別に作成できます。

AWS Security Incident Response では、主要なイベントタイプごとに、リスク選好度に適合する封じ込め戦略を検討することをお勧めします。イベント中の意思決定に役立つ明確な基準を文書化してください。考慮すべき基準は次のとおりです。

  • リソースへの潜在的な損害

  • 証拠と規制要件の保存

  • サービスの利用不能状態 (ネットワーク接続、外部関係者に提供されるサービスなど)

  • 戦略の実装に必要な時間とリソース

  • 戦略の有効性 (部分的封じ込めまたは完全封じ込めなど)

  • ソリューションの永続性 (可逆的または不可逆的など)

  • ソリューションの期間 (緊急回避策、一時的な回避策、永続的なソリューションなど) リスクを軽減し、より効果的な封じ込め戦略を定義して実装する時間を確保できるセキュリティコントロールを適用します。

AWS Security Incident Response は、リソースタイプに基づく短期戦略と長期戦略を含む、効率的で効果的な封じ込めを実現するための段階的なアプローチを提案します。

  • 封じ込め戦略

    • AWS Security Incident Response はセキュリティイベントの範囲を特定できますか?

      • できる場合は、すべてのリソース (ユーザー、システム、リソース) を特定します。

      • できない場合は、特定されたリソースに対する次のステップの実行と並行して調査します。

    • リソースは分離できますか?

      • できる場合は、影響を受けるリソースの分離に進みます。

      • できない場合は、システム所有者とマネージャーと協力して、問題を封じ込めるために必要な追加のアクションを決定します。

    • 影響を受けるすべてのリソースは、影響を受けないリソースから分離されていますか?

      • されている場合は、次のステップに進みます。

      • されていない場合、影響を受けるリソースを引き続き分離して短期的な封じ込めを完了し、イベントがさらにエスカレートするのを防ぎます。

  • システムバックアップ

    • 影響を受けたシステムのバックアップコピーは、さらなる分析のために作成されましたか?

    • フォレンジックコピーは暗号化され、安全な場所に保存されていますか?

      • されている場合は、次のステップに進みます。

      • されていない場合は、フォレンジックイメージを暗号化し、誤って使用、損傷、改ざんされないように安全な場所に保存します。