Soumettre la recherche
Mettre en ligne
20181219 Introduction of Incident Response in AWS for Beginers
•
1 j'aime
•
856 vues
Typhon 666
Suivre
2018/12/19 に INSIDE MeetUp!! #1 、 2018/12/22 に SECCON 2018 の#ssmjp 枠で飛び入りLTした内容です。
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 43
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 666
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
20210404_SECURITY_MELT
20210404_SECURITY_MELT
Typhon 666
OWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1について
Daiki Ichinose
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
Hiroshi Tokumaru
Contenu connexe
Tendances
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
Daiki Ichinose
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
20220113 my seeking_sre_v3
20220113 my seeking_sre_v3
Ayachika Kitazaki
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
Yosuke HASEGAWA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
Typhon 666
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
Hiroshi Tokumaru
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
KentaEndoh
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャー
Yasuo Ohgaki
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
Tendances
(20)
今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
20220113 my seeking_sre_v3
20220113 my seeking_sre_v3
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
Privacy by Design with OWASP
Privacy by Design with OWASP
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
The Shift Left Path and OWASP
The Shift Left Path and OWASP
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャー
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Similaire à 20181219 Introduction of Incident Response in AWS for Beginers
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
Serverless Application Security on AWS
Serverless Application Security on AWS
Amazon Web Services Japan
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方
morisshi
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
Recruit Technologies
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
Daisuke Ikeda
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
AWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
Kazuki Ueki
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
junichi anno
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
真吾 吉田
AWSでのセキュリティ運用 ~IAM,VPCその他
AWSでのセキュリティ運用 ~IAM,VPCその他
Recruit Technologies
クラウドと共に進むエンジニアの進化
クラウドと共に進むエンジニアの進化
Trainocate Japan, Ltd.
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価
Trainocate Japan, Ltd.
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
junkoy66
Similaire à 20181219 Introduction of Incident Response in AWS for Beginers
(20)
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
Serverless Application Security on AWS
Serverless Application Security on AWS
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
AWSを含めたハイブリッド環境の監視の実現 ~zabbixのクラウド対応モジュールHyClops~
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
AWS WAF Security Automation
AWS WAF Security Automation
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
AWSでのセキュリティ運用 ~IAM,VPCその他
AWSでのセキュリティ運用 ~IAM,VPCその他
クラウドと共に進むエンジニアの進化
クラウドと共に進むエンジニアの進化
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
Plus de Typhon 666
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
Typhon 666
20230718 Community support and awards from AWS are full of benefits
20230718 Community support and awards from AWS are full of benefits
Typhon 666
Continuous Community Management and Output ~What We Cherished, Successes, and...
Continuous Community Management and Output ~What We Cherished, Successes, and...
Typhon 666
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
Typhon 666
Security-JAWS activity results for 2022 and activity goals for 2023
Security-JAWS activity results for 2022 and activity goals for 2023
Typhon 666
20221222 Looking back at my JAWS-UG output in 2022
20221222 Looking back at my JAWS-UG output in 2022
Typhon 666
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Typhon 666
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
Typhon 666
20220121 JAWS PANKRATION 2021 re:Trospective
20220121 JAWS PANKRATION 2021 re:Trospective
Typhon 666
20211223 Intellectual Constipation, To the World!
20211223 Intellectual Constipation, To the World!
Typhon 666
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
Typhon 666
20211120 JAWS PANKRATION 2021 OPENING REMARKS
20211120 JAWS PANKRATION 2021 OPENING REMARKS
Typhon 666
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
Typhon 666
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
Typhon 666
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
Typhon 666
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
Typhon 666
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
Typhon 666
20210113「アウトプットしないのは知的な便秘」の影響力 -2020年版- ~How To Output Intellectual Constipa...
20210113「アウトプットしないのは知的な便秘」の影響力 -2020年版- ~How To Output Intellectual Constipa...
Typhon 666
20201218_My_Romancing_Saga-Saga_Stamp-Rally_Management_Jouzu-ni_Pass-
20201218_My_Romancing_Saga-Saga_Stamp-Rally_Management_Jouzu-ni_Pass-
Typhon 666
20201022_JAWS_SONIC_2020_LOOKING_BACK
20201022_JAWS_SONIC_2020_LOOKING_BACK
Typhon 666
Plus de Typhon 666
(20)
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
20230718 Community support and awards from AWS are full of benefits
20230718 Community support and awards from AWS are full of benefits
Continuous Community Management and Output ~What We Cherished, Successes, and...
Continuous Community Management and Output ~What We Cherished, Successes, and...
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
Security-JAWS activity results for 2022 and activity goals for 2023
Security-JAWS activity results for 2022 and activity goals for 2023
20221222 Looking back at my JAWS-UG output in 2022
20221222 Looking back at my JAWS-UG output in 2022
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
20220121 JAWS PANKRATION 2021 re:Trospective
20220121 JAWS PANKRATION 2021 re:Trospective
20211223 Intellectual Constipation, To the World!
20211223 Intellectual Constipation, To the World!
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
20211120 JAWS PANKRATION 2021 OPENING REMARKS
20211120 JAWS PANKRATION 2021 OPENING REMARKS
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210113「アウトプットしないのは知的な便秘」の影響力 -2020年版- ~How To Output Intellectual Constipa...
20210113「アウトプットしないのは知的な便秘」の影響力 -2020年版- ~How To Output Intellectual Constipa...
20201218_My_Romancing_Saga-Saga_Stamp-Rally_Management_Jouzu-ni_Pass-
20201218_My_Romancing_Saga-Saga_Stamp-Rally_Management_Jouzu-ni_Pass-
20201022_JAWS_SONIC_2020_LOOKING_BACK
20201022_JAWS_SONIC_2020_LOOKING_BACK
Dernier
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
Shumpei Kishi
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
Tetsuya Nihonmatsu
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
Matsushita Laboratory
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
ssuser539845
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
arts yokohama
2024 04 minnanoito
2024 04 minnanoito
arts yokohama
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
ssuser370dd7
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
arts yokohama
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
Industrial Technology Research Institute (ITRI)(工業技術研究院, 工研院)
2024 03 CTEA
2024 03 CTEA
arts yokohama
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
Sadao Tokuyama
Summary of "ChatDoctor: A Medical Chat Model Fine-Tuned on a Large Language M...
Summary of "ChatDoctor: A Medical Chat Model Fine-Tuned on a Large Language M...
yoshidakids7
【修士論文】代替出勤者の選定業務における依頼順決定方法に関する研究 千坂知也
【修士論文】代替出勤者の選定業務における依頼順決定方法に関する研究 千坂知也
harmonylab
Dernier
(13)
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 04 minnanoito
2024 04 minnanoito
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
2024 03 CTEA
2024 03 CTEA
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
Summary of "ChatDoctor: A Medical Chat Model Fine-Tuned on a Large Language M...
Summary of "ChatDoctor: A Medical Chat Model Fine-Tuned on a Large Language M...
【修士論文】代替出勤者の選定業務における依頼順決定方法に関する研究 千坂知也
【修士論文】代替出勤者の選定業務における依頼順決定方法に関する研究 千坂知也
20181219 Introduction of Incident Response in AWS for Beginers
1.
Introduction of Incident
Response in AWS for Beginers INSIDE MeetUp!! #1 2018/12/19 SECCON 2018 #ssmjp 2018/12/22 @Typhon666_death
2.
Self-Introduction • @Typhon666_death (テポ) •
仕事:某セキュリティ専門会社にて、 セキュリティエンジニア/コンサルタント/アナリスト/営業してました • 業務:以前は多種企業向けMSSや金融機関向けASP、今は自社AIサービスの運用保守 • 活動コミュニティ: • OWASP Japan Promotion Teamメンバー • Security-JAWS 運営メンバー • X-Tech JAWS 運営メンバー • FinJAWS 運営メンバー • AISECjp 運営メンバー • レトロゲーム勉強会 運営メンバー • 全脳アーキテクチャ若手の会 運営メンバー https://www.slideshare.net/Typhon666_death
3.
AWS Security https://www.slideshare.net/HayatoKiriyama/aws-reinvent-2017-security-recap-key-messages
4.
AWS Security https://www.slideshare.net/HayatoKiriyama/aws-reinvent-2017-security-recap-key-messages
5.
AWS Marketplace [Categories:Security]
6.
各種AWSのセキュリティサービス は以下のURLから確認 現在17のサービス AWSのマネージドサービスを用い てよりセキュアに 事前対策できるものが多い 事後対策は? Security Services after
re:Invent 2018 https://aws.amazon.com/jp/products/security/
7.
Incident Response (IR) インシデントハンドリングフロー インシデントとなるものを発見 トリアージ(優先度を決める) 事象の分析 IRの計画 IRの実施 報告 準備
検知・分析 封じ込め 根絶・復旧 教訓 IR
8.
Importance of Incident
Response 万が一、侵害を受けた際の対策フローが出来てない場合にあなたは何します ? https://www.jpcert.or.jp/present/2005/IncidentResponseOverview2005.pdf
9.
各NW機器、サーバ、アプリ等のログをログ 収集サーバに送る それらのログを相関的に分析し、インシデン トの発生を速やかに検知する必要がある インシデントの早期発見のために利用するの がSIEM(Security Infomation and
Event Management) SOC(Security Operation Center)からSIEMを 使って監視を行う FW ログ収集Web WAF DB IPS 認証 DNS メール SIEM SOC端末 Incident Response for on-premises Web Net
10.
マルウェアがWebサイトに混入した場合 WebサーバやDNSサーバやAVソフト等のログから混 入を検知 不正侵入元のIPアドレスやプロトコルの通信の遮断 AVソフトによるマルウェアの検疫や、隔離からのマル ウェア解析、バックアップからのリカバリ 此度の対応に関するレポート作成、顧客への注意喚起 、警察への届け出、対応手順に関するフィードバック 等 FW ログ収集Web WAF DB IPS 認証 DNS メール SIEM SOC端末 Incident Response
for on-premises Web Net
11.
But… SIEM機器が高い → ウン千万円する機器を検討するか? SIEMのルール作成大変
→ ログのフォーマットごとに相関分析できるルールをつくる必要が ある マンオペ大変 → トリアージの判断誤って被害拡大、解析する時間の猶予 人的リソースがない → 小さい会社でそこまで人さけるのか? クラウドではオンプレとは違った高度なIR、Security Automationの実現が可能 ▷ AWSを例に
12.
Incident Response for
Cloud Web Net snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route 53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 VPC内は普遍的な Web+DBの構成 AWS WAFを利用 ログはS3 Bucketへ GuardDutyの Findingsで感染特定 接続元IPの自動遮断 Lambda 接続元IPの遮断 WAFシグネチャの更新等 フォレンジック
13.
snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route
53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 CloudWatchEvent を元にLambdaで 感染インスタンス の隔離と新規イン スタンス追加 隔離インスタンス の保全 マルウェアフォレ ンジック 接続元IPの遮断 WAFシグネチャの更新等 Lambda フォレンジック Incident Response for Cloud Web Net
14.
snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route
53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 CloudWatchEvent を元にLambdaで 感染インスタンス の隔離と新規イン スタンス追加 隔離インスタンス の保全 マルウェアフォレ ンジック 接続元IPの遮断 WAFシグネチャの更新等 Lambda フォレンジック この部分に 適用できそう http://ascii.jp/elem/000/001/549/1549718/ About Unauthorized Access and Forensics for AWS
15.
Log Aggregator Logstash/Beats fluentd Logging Sumologic Graylog Monitoring Datadog NewRelic Splunk Security Tool
for Cloud
16.
Forensic as a
Service Intezer Security Orchestration Demisto Phantom Security Tool for Cloud
17.
CloudFalcon & FalconNest
by LAC https://www.lac.co.jp/news/2018/10/01_press_01.html https://www.lac.co.jp/news/2018/11/08_press_01.html
18.
ZEITA & RAFFLESIA
by Recrute Technologies http://www.atmarkit.co.jp/ait/articles/1810/15/news010.html
19.
snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route
53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 CloudWatchEvent を元にLambdaで 感染インスタンス の隔離と新規イン スタンス追加 隔離インスタンス の保全 マルウェアフォレ ンジック 接続元IPの遮断 WAFシグネチャの更新等 Lambda フォレンジック 内製化してみる? Incident Response for Cloud Web Net
20.
インシデントレスポンスを行うためのコアエンジン コマンドの実行でインシデントレスポンスに必要となるいくつかの操作を行 える アクセスキーの失効 ホストの分離やシャットダウン、スナップショットの取得 フォレンジックキャプチャをs3にホストする等 https://aws-ir.readthedocs.io/en/latest/index.html# AWS-IR
21.
実行中のLinuxインスタンスからメモリダンプを作成するツール リモートシステムのカーネルバージョン等が確認されている前提で、 適切なLiMEメモリモジュールがロードされ、システムメモリがsshト ンネルを介してインシデントレスポンダのワークステーションにスト リーミングされる。 メモリダンプはディスクにも、s3バケットに直接ストリーミングも可 https://margaritashotgun.readthedocs.io/en/latest/index.html Margarita Shotgun
22.
IIJさんの秀逸な資料 https://www.slideshare.net/IIJ_PR/ss-121246301 Importance of Forensics
23.
オペレーター端末側に以下の環境 Python3.4以上の環境 AWS CLIをインストール AMI用のLiMEメモリモジュールの作成(メモリダンプに必要) $ sudo
yum install -y kernel-devel-$(uname -r) $ git clone https://github.com/504ensicsLabs/LiME.git $ cd LiME/src $ make $ cp *.ko ~ ・2018/11/04時点で最新のAmazonLinux2のAMI amzn2-ami-hvm-2.0.20181024-x86_64-gp2 (ami- 013be31976ca2c322) ・Kernel: 4.14.72-73.55.amzn2.x86_64 Preparation
24.
--case-number ケース 番号をつけれる(ログ を保持するのに便利) --bucket-name インシ デントの結果を格納す るために使用される S3バケット名を指定 特に指定しないとこんな感じ のバケットが生成される。 AWS-IR
25.
AWS IRで行う作業内容をPluginで指定。 スナップショットを取る、ホストを停止させる等 AWS-IR
26.
$ aws_ir --case-number
001 --bucket-name secjaws11-ir --examiner-cidr-range 54.205.83.117/32 instance-compromise --target 18.204.197.239 --user ec2- user --ssh-key ~/.ssh/secjaws11.pem --plugins gather_host,isolate_host,snapshotdisks_host,examineracl_host 総じて投げてみたコマンドはこんな感じ。 AWS-IR
27.
〜中略〜 フォレンジック端末からのみアクセ ス可能なSGに変わる (このログでは54.205.81.117のみ) 自動でSnapshot取得 AWS-IR
28.
key-compromiseでは利用中のアクセ スキーを失効させることが可能。 AWS-IR
29.
$ margaritashotgun --server
18.204.197.239 --module lime-4.14.72- 73.55.amzn2.x86_64.ko --username ec2-user --key ~/.ssh/secjaws11.pem -- filename mymemcap.lime Margarita Shotgun 総じて投げてみたコマンドはこんな感じ。
30.
Margarita Shotgun 準備の段階で作っ たLiMEメモリモジ ュールを指定しな いと、メモリダン プが行えない。 作成されたメモリ ダンプを必要に応 じてフォレンジッ カーに連携
31.
Ask Forensic Experts?
Or is it self? https://digital-forensics.sans.org/community/downloads https://tsurugi-linux.org/
32.
ssm_acquire - Released
re:Invent 2018 ps://www.slideshare.net/AmazonWebServices/how-to-perform-forensics-on-aws-using-serverless-infrastructure-sec416r1-aws-reinvent-20
33.
Secure DevOps Toolchain https://www.sans.org/security-resources/posters/secure-devops-toolchain-swat-checklist/60/download
34.
Incident Response for
Containers/k8s コンテナにしても、Kubernetesにしても、ホストが侵害される可能性は残る コンテナイメージが侵害されている状況も考えられる。 もし、AWS-IRやMargarita Shotgunのようなツールでダンプするならホストに 対して行うのが良いと考える。
35.
Conclusion ログ取得の設定を見直す。 モニタリングする。 インシデントハンドリングフローを確認する。 すべて内製するところ、しないところを企業内で話し合うこと。 自動化できるところは自動化(自動化が働かなかったとき手動で出来ること) 運用設計大事
37.
Q&A
38.
Q&A 0x01 Q:AWS初心者からしてまずセキュリティをやっていくには何を気をつけたらいい か? Trusted Advisorを見ましょう。 S3でオープンにしすぎないようにしましょう。 S3やGithubにpemとか置かないでください。 あと、Classmethodのブログを見ましょう。
39.
Q&A 0x01 musudakeisuke/awssekiyuriteishi-shi-me-ji-chu-karahasimetekurautosekiyuri
40.
Q&A 0x02 Q.あまりコストをかけることが出来ない上で利用できるセキュリティサービ スありますか? NRISTのSketCh、ClassmethodのInsights Watchでセキュリティ可視化 https://www.secure-sketch.com/
https://insightwatch.io/
41.
Q&A 0x03 Q.インシデントレスポンスのための準備をやっているところって少ないと思って いて、なかなか上司の説得が大変です。 一度やられたらわかります。 私はやられたことありませんが、 やられた多くのお客様が前社時代に駆け込んできました。 絶対安全なんてものはないので、合間合間で準備をしておくにこしたことはない とおもいます。
42.
Q&A 0x03 インシデント起きてからかける工数、コストを考えてみましょう。 https://tech.nikkeibp.co.jp/atcl/nxt/news/18/03708/ https://ferret-plus.com/11382
43.
Q&A 0x04 Q.トップダウン、ボトムアップどっちからセキュリティをやっていくといいか? 個人的意見多分に含みますが、トップダウンで降ってくる=経営層がセキュリティを意識しているとも捉 えれて羨ましい環境ですね。トップダウン、ボトムアップどっちの観点からも進めるのが良いとおもい ます。 ただ、社内で会話が出来てなくて、向かう目標が違っていると大変なので、きちんと経営層とも話をし ながら、お互いにコンセンサスをとりながらセキュリティ対策を歩み寄っていける形にもっていくべき と思います。
Télécharger maintenant