ブログ

脅威スタック AWS CloudTrail ルールセットへの追加

2020年8月10日更新

Threat Stack は現在、 F5 Distributed Cloud App Infrastructure Protection (AIP) です。 今すぐチームで Distributed Cloud AIP を使い始めましょう。

Amazon ECR および AWS Systems Manager API アクティビティのまったく新しいルール

Threat Stack では、毎日、顧客のために数百億件のイベントを処理しています。 大量のデータに対する洞察により、AWS サービスの使用状況における意味のある傾向を特定するための独自の視点が得られます。 私たちが最近観察した 2 つの傾向は、 Amazon Elastic Container Registry (ECR)AWS Systems Managerの使用の増加です。 お客様がこれらのサービスを安全に使用できるように、ECR および Systems Manager のデフォルトのアラート ルールを Threat Stack に追加しました。 新しいルールとそのフィルターのいくつかを見てみましょう。

アマゾンECR

コンテナレジストリが何であるかは皆さんご存知だと思いますが、Amazon ECR の優れた点は、Amazon Elastic Container Service (ECS)と統合されている点です。 もちろん、 Threat Stack はすでに実行時に Amazon Linux 2 と Docker からの詳細な情報を使用して ECS 環境を計測しています。 これで、ECR 内で静的 Docker イメージがどのように取得されるかについて、セキュリティの監視可能性をさらに高めることができます。

Threat Stack の新しい CloudTrail ECR ルールには、次の内容が標準で含まれています。

  • クラウドトレイル: ECR リポジトリの作成 (重大度 3)
  • クラウドトレイル: ECR リポジトリの削除 (重大度 3)
  • クラウドトレイル: ECR 画像スキャン所見 – 重症度 HIGH (Sev 1)
  • クラウドトレイル: ECR 画像スキャン所見 – 重症度中(重症度 2)
  • クラウドトレイル: ECR イメージの配置 (重大度 3)
  • クラウドトレイル: ECR Put イメージスキャン構成 (重大度 3)
  • クラウドトレイル: ECR リポジトリ ポリシーの設定 (重大度 3)

特に、CloudTrail のルールを見てみましょう。 ECR 画像スキャン結果 – 重大度高。

 

図1: CloudTrail の脅威スタックルール UI のスクリーンショット: ECCR について

ここでのフィルター構文は最も興味深い部分なので、詳しく見てみましょう。

event_type = "cloudtrail"、eventSource = "ecr.amazonaws.com"、eventName = "DescribeImageScanFindings"、responseElements.imageScanFindings.findingSeverityCounts.HIGH > 0 の場合

ECR イメージスキャンの検出結果の CloudTrail イベント JSON には、CVE の長いリストが含まれる可能性があるため、集約されたfindingSeverityCountsオブジェクトを使用して簡単に確認します。 そこから、 AWS ドキュメントに従って、Amazon ECR コンソールまたは AWS CLI 経由でスキャンの完全な結果にアクセスします

Threat Stack の目標は、できるだけ早く警告を発することです。 ただし、重大度の設定を変更したり、ルール フィルターをカスタマイズしたりすることは自由にできます。 (上記で使用した Threat Stack クエリ言語の詳細については、ドキュメントを参照してください。)

AWS システムマネージャー

AWS Systems Manager は、幅広い機能を備えた強力な自動化ツールです。 これらの機能のうち、 AWS Systems Manager Session ManagerAWS Systems Manager Run Command の2 つは、監査の目的にとって特に興味深いものです。

図2: CloudTrail の脅威スタックルール UI のスクリーンショット: スモール

Threat Stack の新しい CloudTrail Systems Manager ルールには、次の内容が標準で含まれています。

  • クラウドトレイル: SSM キャンセル コマンド (重大度 3)
  • クラウドトレイル: SSM コンポーネントの作成 (重大度 3)
  • クラウドトレイル: SSM コンポーネントの削除 (重大度 3)
  • クラウドトレイル: SSM 情報検出 (重大度 3)
  • クラウドトレイル: SSM 再開セッション (Sev 3)
  • クラウドトレイル: SSM 送信コマンド (重大度 3)
  • クラウドトレイル: SSM セッションが終了しました (重大度 3)
  • クラウドトレイル: SSM 開始自動化実行 (重大度 3)
  • クラウドトレイル: SSM 開始セッション (重大度 3)

全体的に Sev 3 のデフォルト設定により、これらのアラートは主に監査目的で使用されることが予想されますが、ニーズに合わせていつでも調整できます。 CloudTrail のフィルター構文を見てみましょう。 SSM 情報検出:

event_type = "cloudtrail" かつ eventSource = "ssm.amazonaws.com" かつ (eventName が "Describe" で始まるか、eventName が "List" で始まる)

比較的単純ですが、Threat Stack のクエリ言語でサポートされているstarts_with演算子の良い例です。

ルールからイベントへ

カスタム CloudTrail アラートは、Threat Stack で作成できるルールの 1 つの側面にすぎません。 これらのルールが実行されると、調査を行う必要がある場合は、おそらく根本的なイベントを詳しく調べることになるでしょう。 Docker クリプトジャッキングの調査をご覧ください。アラートとそれに関連するイベントを段階的に説明します。 また、Threat Stack Cloud SecOps Program℠ アナリストによるさらなる調査が近々このスペースに登場する予定ですので、ご期待ください。

Threat Stack は現在、 F5 Distributed Cloud App Infrastructure Protection (AIP) です。 今すぐチームで Distributed Cloud AIP を使い始めましょう。