View a markdown version of this page

封じ込め - AWS Security Incident Response ユーザーガイド

封じ込め

AWS Security Incident Response が環境内のアクティブな脅威を特定すると、封じ込めが最優先事項となります。つまり、調査のために証拠を保存しながら、脅威アクターがさらなる損害を引き起こすのを防ぎます。このサービスは、侵害されたリソースを破壊することなく分離する、可逆的な自動化されたアクションを通じて封じ込めを実行します。これらの機能を有効にするには、まず必要なアクセス許可と設定を構成する必要があります。「封じ込めロールと EC2 Triage ロールをデプロイする」を参照してください。

封じ込めの意思決定

封じ込めの重要な部分は、システムをシャットダウンするか、ネットワークからリソースを分離するか、アクセスを取り消すか、あるいはセッションを終了するかを決定することです。AWS Security Incident Response は、封じ込め戦略を提供し、潜在的な影響の情報を提供し、関連するリスクを検討して同意した後にのみソリューションの実装をガイドします。

これらの決定は、事前に戦略と手順を設定しておくと容易になります。このサービスは、封じ込め設定 (オンボーディング中に設定)、脅威の性質、リアルタイム分析を組み合わせて、適切な対応を決定します。

サポートされている封じ込めアクション

AWS Security Incident Response はユーザーに代わって封じ込めアクションを実行し、脅威アクターが損害を引き起こす時間を短縮します。サポートされているすべての封じ込めアクションは元に戻すことができます。このサービスは、インシデントが解決された後、リソースを封じ込め前の状態に復元することができます。封じ込めアクションは、次の 3 つのリソースタイプにマッピングされます。

Amazon EC2 封じ込め (AWSSupport-ContainEC2Instance) は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの可逆的なネットワーク封じ込めを実行します。インスタンスは実行中の状態を維持しますが、オートメーションによって新しいネットワークアクティビティから分離され、インスタンスのセキュリティグループを制限的な封じ込めセキュリティグループに置き換えることで、Amazon VPC 内外のリソースとの通信が防止されます。セキュリティグループを変更しても、既存の追跡された接続はシャットダウンされません。将来のトラフィックのみがブロックされます。

IAM 封じ込め (AWSSupport-ContainIAMPrincipal) は、 AWS Identity and Access Management (IAM) ユーザーまたはロールの可逆的な封じ込めを実行します。プリンシパルは IAM に残りますが、オートメーションよってすべて拒否ポリシーがアタッチされることで、アカウントのリソースとの通信から分離されます。これにより、プリンシパルがフォレンジックレビューのために保持しながらアクションを実行する能力が事実上取り消されます。

Amazon S3 封じ込め (AWSSupport-ContainS3Resource) は、Amazon Simple Storage Service (Amazon S3) バケットの可逆的な封じ込めを実行します。オブジェクトはバケットに残りますが、オートメーションはすべての外部アクセスを拒否するようにアクセスポリシーを変更することでバケットまたはオブジェクトを分離します。

封じ込め戦略の開発

主要なイベントタイプごとに、リスク選好度に適合する封じ込め戦略を検討してください。イベント中の意思決定に役立つ明確な基準を文書化してください。考慮すべき基準は次のとおりです。

  • リソースへの潜在的な損害

  • 証拠と規制要件の保存

  • サービスの利用不能状態 (ネットワーク接続、外部関係者に提供されるサービスなど)

  • 戦略の実装に必要な時間とリソース

  • 戦略の有効性 (部分的または完全な封じ込め)

  • ソリューションの永続性 (可逆的または不可逆的)

  • ソリューションの期間 (緊急回避策、一時的な回避策、または永続的なソリューション)

リスクを軽減し、より効果的な封じ込め戦略を定義して実装する時間を確保するセキュリティコントロールを適用します。

段階的封じ込めアプローチ

AWS Security Incident Response は、リソースタイプに基づく短期戦略と長期戦略を含む、効率的で効果的な封じ込めを実現するための段階的なアプローチを採用します。短期的な封じ込めは、アクティブな脅威を直ちに停止すること (ネットワークの分離、認証情報の取り消し) に重点を置いています。一方、長期の封じ込めは、差し迫った危険が経過した後の再発を防ぐために根本原因に対処します。

封じ込めとインシデントライフサイクルの関係性

封じ込めは、インシデントライフサイクルにおける検出/分析と根絶の間にあります。自動トリアージによって脅威の確定または疑いが特定され、ケースが作成されると、サービスは、ユーザーの設定とイベントの重大度に基づいて封じ込めアクションが必要かどうかを判断します。リソースが封じ込められると、AWS Security Incident Response エンジニアは調査を続行し、結果を共有して、根絶と復旧を支援します。インシデントが完全に解決されると、封じ込めアクションは元に戻され、通常のオペレーションが再開されます。