はじめに
初めまして!ブログでは初登場のSRE部の新沼です。
さっそくですが皆さんがお使いのAWSで作成したリソースは「いつ・誰が・どのような」操作を行ったの記録や脅威検知できていますか?
今回はそのようなAWSにおける監査機能について私たちが取り組んでいる内容を交えてお話したいと思います。
検知要件
例えば、運用していると下記のような項目が検知対象として挙げられると思います。
- セキュリティグループの新規作成・変更・削除
- セキュリティグループのインバウンド・アウトバウンドのルールへ追加・変更・削除
- SSHポート解放検知
- 通知用のサブスクリプションの変更・削除
- SNSトピックの削除
- Guard DutyのFindingsの確認
これは一例なので、他にも多岐に渡る要件が挙がると思います。
続きを読む