SEC04-BP03 セキュリティアラートを相関付けて充実させる

予期しないアクティビティが検知されると、さまざまなソースが複数のセキュリティアラートを生成する場合があります。文脈を完全に理解するには、それらを相互に相関付けて情報を充実 (エンリッチメント) させる必要があります。 セキュリティアラートの相関付けとエンリッチメントを自動化することで、インシデントの特定と対応をより正確に行えるようになります。

期待される成果: アクティビティによってワークロードや環境内でさまざまなアラートが生成されると、自動メカニズムがデータを相関付け、そのデータに情報を補足します。この前処理のおかげで、イベントについて詳しく把握できるようになり、調査員はイベントの重要度や、正式な対応を必要とするインシデントであるかどうかを判断できます。これにより、監視チームと調査チームの負担が軽減します。

一般的なアンチパターン:

• 職務分掌の要件で別途義務付けられているわけでもないのに、さまざまなグループの人員がさまざまなシステムによって生成された検出結果やアラートを調査している。 

• 組織はセキュリティ検出結果と警告データをすべて標準の保存先に集めているが、相関付けやエンリッチメントは調査員が手作業で行う必要がある。

• 検出結果の報告と重要度の決定は、脅威検出システムのインテリジェンスのみに頼っている。

このベストプラクティスを活用するメリット: アラートの相関付けやエンリッチメントを自動化することで、調査員に求められる認知的な負担と手作業によるデータ準備が全体的に軽減されます。これにより、イベントがインシデントを示唆しているかどうかを判断し、正式な対応に着手するまでにかかる時間を短縮できます。また、文脈が補足されることで、イベントの実際の重大度を正確に評価できます。実際の重大度は、1 つのアラートが示す重大度よりも高い場合や低い場合が考えられます。

このベストプラクティスが確立されていない場合のリスクレベル: 低 

実装のガイダンス

セキュリティアラートは、次のような AWS 内のさまざまなソースが生成する可能性があります。

• Amazon GuardDuty、AWS Security Hub、Amazon Macie、Amazon Inspector、AWS Config、AWS Identity and Access Management Access Analyzer、Network Access Analyzer などのサービス

• AWS のサービス、インフラストラクチャ、アプリケーションのログの自動分析 (Amazon OpenSearch Service のセキュリティ分析など) によるアラート

• 請求アクティビティの変化に応じた、Amazon CloudWatch、Amazon EventBridge、AWS Budgets などのソースからのアラーム

• サードパーティーのソース (脅威インテリジェンスフィードや AWS Partner Network のセキュリティパートナーソリューションなど)

• AWS Trust & Safety またはその他のソース (顧客や従業員など) からの連絡

最も基本的な形式のアラートは、誰が (プリンシパルまたはアイデンティティ)、何を (実行されたアクション)、何に対して (影響を受けるリソース) 実行しているかという情報を含みます。これらのソースごとに、相関付けの土台として、アイデンティティ、アクション、リソースの識別子間のマッピングを作成する方法があるかどうかを確認してください。例えば、アラートソースをセキュリティ情報とイベント管理 (SIEM) ツールと統合して相関付けを自動で行う、独自のデータパイプラインを構築して処理する、またはその両方を組み合わせるという形が考えられます。

相関付けを代行するサービスの例としては、Amazon Detective があります。Detective は、AWS やサードパーティーのさまざまなソースからのアラートを継続的に取り込み、さまざまな形式のインテリジェンスを使用してそれらの関係を視覚的にグラフ化して調査に役立てます。

アラートの初期の重要度は優先順位付けに役立ちますが、実際の重要度はアラートが発生した文脈によって決まります。例えば、Amazon GuardDuty が、ワークロード内の Amazon EC2 インスタンスが想定外のドメイン名をクエリしていることを警告したとしましょう。このアラート単体では、GuardDuty は「低」重要度を割り当てる可能性があります。ただし、アラートの発生前後の他のアクティビティと自動で相関付けた結果、数百の EC2 インスタンスが同じアイデンティティによってデプロイされていて、全体的な運用コストが増加していることが判明しました。この場合、GuardDuty は、相関付けられたイベントの文脈を新しいセキュリティアラートとして公開し、重要度を「高」に調整する可能性があります。これを受けて、その後のアクションが迅速化します。

実装手順

1. セキュリティアラート情報のソースを特定します。これらのシステムからのアラートがアイデンティティ、アクション、リソースをどのように表すかを理解して、どこで相関付けることができるかを判断してください。

2. さまざまなソースからのアラートを取りまとめるメカニズムを確立します。Security Hub、EventBridge、CloudWatch などのサービスをこの用途で利用することを検討してください。

3. データの相関付けとエンリッチメントのためのソースを特定します。ソースの例には、CloudTrail、VPC フローログ、Amazon Security Lake、インフラストラクチャログとアプリケーションログなどがあります。

4. アラートをデータの相関付けやエンリッチメントのソースと統合して、セキュリティイベントのより詳細な文脈を作成し、重要度を設定します。

   1. Amazon Detective、SIEM ツール、その他のサードパーティーソリューションでは、一定レベルの取り込み、相関付け、エンリッチメントを自動的に実行できます。

   2. AWS サービスを使用して独自に構築することもできます。例えば、AWS Lambda 関数を呼び出して Amazon Athena クエリを AWS CloudTrail や Amazon Security Lake に対して実行し、結果を EventBridge に公開できます。

リソース

関連するベストプラクティス:

• SEC10-BP03 フォレンジック機能を備える:

• OPS08-BP04 実践的なアラートを作成する

• REL06-BP03 通知を送信する (リアルタイム処理とアラーム)

関連するドキュメント:

• AWS セキュリティインシデント対応ガイド

関連する例:

• How to enrich AWS Security Hub findings with account metadata

• How to use AWS Security Hub and Amazon OpenSearch Service for SIEM

関連ツール:

• Amazon Detective

• Amazon EventBridge

• AWS Lambda

• Amazon Athena