AWS Fargate の脅威スタックサポートの導入

新しい脅威スタック Fargate エージェント

顧客として、アラート生成、ルールのカスタマイズ、脅威ハンティングなどのために、Threat Stack ワークフローと同じ基本的な仕組みがAWS Fargateメタデータに適用されます。 エージェントを展開し、ネットワーク接続を確保するだけで、セキュリティ データが Threat Stack プラットフォームに流れ始めます。

当社の Fargate エージェントはサイドカーとして実行され、 Amazon ECS上の Fargate タスク定義の一部として定義されます。 エージェントは、Fargate ランタイム環境の 2 つの重要な側面を監視します。

1. Fargate コンテナ内のプロセスアクティビティ
2. Fargate タスク内およびタスク外のネットワーク フロー データ

Threat Stack は、 AWS CloudTrailログの完全なリアルタイム ビューにより、Fargate のさらなるコンテキストを提供します。 Fargate タスクがサポートしているアプリケーションは、Node.js、Python、Ruby コードに対するThreat Stack アプリケーション セキュリティ モニタリングを通じて追加のランタイム保護を受けます。 このデータのビューは Threat Stack のプラットフォームに統合されますが、これはAmazon VPCおよびAWS IAM権限のネイティブ AWS セキュリティ制御に追加されるものです。

脅威スタックプラットフォームにおける Fargate メタデータ

Threat Stack は、次のような Fargate アクティビティのデフォルトの検出を提供します。

• インタラクティブセッション
• SSHDバイナリ
• データ流出の試み
• 予期しないネットワーク接続

これらの検出ルールは、予期しない受信ネットワーク接続に対して次のようなリアルタイムアラートを発します。

このルールをサポートする基礎となるロジックは簡単にカスタマイズできます。 以下に簡略化した例を示します。

Threat Stack は、フォレンジック調査をサポートするために、すべてのイベント データの詳細なウィンドウも提供します。 たとえば、顧客は簡単に検索を絞り込み、定義された期間内の特定のタスクのすべてのプロセス アクティビティを表示できます。

各イベントには補足的な詳細情報が付属しており、ユーザーはそれを UI で表示できます。たとえば、上の画像の最初のイベントを詳しく調べると、完全なイベント JSON が表示されます。