イベント駆動型の対応

イベント駆動型の対応システムでは、検出メカニズムが対応メカニズムをトリガーして、イベントを自動的に修正します。イベント駆動型の対応機能を使用して、検出メカニズムから対応メカニズムまでの価値創出に要する時間を短縮できます。このイベント駆動型アーキテクチャを作成するには、AWS Lambda を使用できます。AWS Lambda は、イベントに応答してコードを実行し、基盤となるコンピューティングリソースを自動的に管理するサーバーレスコンピューティングサービスです。

例えば、AWS CloudTrail サービスが有効になっている AWS アカウントがあるとします。AWS CloudTrailが (cloudtrail:StopLoggingAPI を介して) 無効化されることがあった場合、対応プロシージャはサービスを再度有効にして、AWS CloudTrail ログ記録を無効化したユーザーを調査します。これらの手順を AWS Management Console で手動で実行する代わりに、プログラムによってログ記録を (cloudtrail:StartLogging API を介して) 再び有効にすることができます。これをコードで実装する場合、対応の目的は、このタスクをできるだけ早く実行して、対応を実行したことを対応者に通知することです。

これらのタスクを処理するには、ロジックを単純なコードに分解して AWS Lambda 関数で実行できます。次に、Amazon CloudWatch Events を使用して特定の cloudtrail:StopLogging イベントをモニタリングし、イベントが発生した場合に関数を呼び出すことができます。この AWS Lambda レスポンダー関数を Amazon CloudWatch Events で呼び出して、特定のイベントの詳細を渡すことができます。詳細には、AWS CloudTrail を無効化したプリンシパルの情報、無効化された日時、影響を受けた特定のリソース、その他の関連情報を含めます。これらの情報を使用して、ログからの検出結果を充実させ、対応アナリストが必要とする特定の値のみを含む通知やアラートを生成できます。

イベント駆動型の対応の目標は、理想的には、Lambda レスポンダー関数で対応タスクを実行し、異常が正常に解決されたことを、関連するコンテキスト情報とともに対応者に通知することです。その後、イベントが発生した理由を確認し、将来の再発を防止する方法を判断するのは、人間の対応者の役割です。このフィードバックループにより、クラウド環境のセキュリティがさらに向上します。この目標を達成するには、セキュリティチームが開発チームや運用チームと緊密に連携できる文化が必要です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

スキャン方法間のコスト比較

インシデント対応の例