生成AIを使ってセキュリティ調査を高度化する

Pulisher : Cloud Technology Center イ・ギョンソン
Description : AIとAmazon Detectiveソリューションの連携による使用方法について共有したセッション

はじめに

Amazon DetectiveはAWSの完全管理型セキュリティサービスで、Security Hub、GuardDurtyなど他のセキュリティサービスと連携して使うことができます。今回のリインベントで最も大きな話題であったAIとこのサービスの組み合わせにより、どのようなことがより良くなり、どのように使うことができるのかについて学びたいと思い、このセッションを申し込みました。

Amazon Detectiveサービスについて、今回新たにリリースされた4つの機能を中心に、生成型AIによってセキュリティ調査を向上させる方法についてのセッションです。

新機能の紹介に入る前に、Detectiveはすべてのログと結果を取得する管理型セキュリティサービスです。

Detectiveはグラフデータベースで処理します。 そのため、データに対する統計分析と機械学習を行い、最高の結果を提供すると同時にセキュリティも考慮します。

AWS 環境で取得できるログ及びデータの量、データの位置の種類は大体こんな感じです。CloudTrailログ、EKS auditログ、GuardDuty結果、Security Hub結果とVPC Flowlog。

ログは、特定の環境で何が起こったのかについて識別するのに役立ちます。これらのすべてのデータを収集してDetectiveのBehavior graphに入力し、そのグラフを埋めると、コンソール環境でそのデータを見ることができます。この時、生のデータを提供するだけでは役に立たないので、一定レベルの分析後、データが到着する必要があります。

Security Hubを通じて得られるfindingについて全て読むことができます。

これらのデータを通じて、より精密でより正確な指標でグラフを連結することができます。

Detectiveの最終目標は、統合されたビューでセキュリティプロセス全体を見ることです。

APIを活用して当該環境の問題を自動化し、プログラム的に調べることができ、当該環境内の関係を要約して一目でわかりやすく教えてくれます。

AWS Detectiveを活用してセキュリティ分析と調査を強化するための、今回リリースされた4つの機能の説明部分です。

まずひとつ目、

DetectiveはBedrock機能を通じて、基本モデルと相互作用し、セキュリティイベントが発生するとすぐに要約して処理し、調査をより早く進めるようにしました。

GuradDuty Findingsを調査する時、起きたイベントに対してもっと簡単かつ迅速に確認が可能になり、Bedrockを通じて作成された概要に対して、フィードバックもでき、これに対する実ユーザーのリファレンスまで確認することができます。

参考リンク : https://aws.amazon.com/ko/about-aws/whats-new/2023/11/amazon-detective-group-summaries-generative-ai/

ふたつ目は、DetectiveのIAM用調査機能です。

この機能により、IAMリソースに対してより迅速に調査を行うことができるようになりました。

この機能は、IAMリソースが実行したAPIをMITREのATT&CKフレームワーク(TTP(Tactics, Techniques, and Procedures))による視覚化とマッチングをして表示された結果に対するレポートを確認することができます。

参考リンク : https://aws.amazon.com/ko/about-aws/whats-new/2023/11/amazon-detective-investigations-iam/?nc1=h_ls

三つ目、Amazon SecurityLakeサービスとの組み合わせが可能で、既存のDetectiveに比べ、より簡単にSecurity lakeに保存されたログをクエリして検索することができるようになりました。

参考リンク : https://aws.amazon.com/ko/about-aws/whats-new/2023/11/amazon-detective-log-retrieval-security-lake/

最後に、Amazon GuardDuty ECSランタイムモニタリングも可能になりました。

これにより、当該GuardDuty ECSランタイムモニタリングからセキュリティ結果を収集し、これを基に分析して、今後の潜在的なセキュリティ問題や疑わしい活動の根本原因を分析することができます。 また、迅速に識別可能で、より改善された機能を得ることができます。

参考リンク : https://aws.amazon.com/about-aws/whats-new/2023/11/amazon-detective-security-guardduty-ecs-monitoring/

上記の4つの機能について簡単にコンソールで簡単に設定可能で、設定した結果値を簡単に見ることができる下記の表を共有します。

これまで出てきた内容について一つのチャートにまとめると上記のようになります。

セッションを終えて

Amazon Detectiveのようなサービスは本当にセキュリティで外せない部分です。 このような収集調査があるからこそ、セキュリティ問題に対する迅速な把握、対応、対処が可能な部分であり、IAM調査部分もDetective調査グループに対する要約も以前の非常に不安定なログと多数のログデータに対する可視性の複雑さを解消できる機能が出てきて、多くのセキュリティ向上が期待されます。