Amazon Web Services(AWS)は、柔軟性と拡張性に優れたインフラストラクチャでクラウドベースのアプリケーションをホスティングおよび管理するための、豊富な機能を備えた環境を提供します。しかし、セキュリティが課題であることに変わりはありません。Amazon Security HubとAmazon GuardDutyによって、AWS環境内のログデータとセキュリティイベントがある程度可視化されますが、脅威の検出と脅威への対応に必要となる、高度な分析などの機能は提供されません。
Rapid7 InsightIDRは、迅速に導入できるクラウドベースのSIEMです。高度な攻撃を短期間で検出するように設計されています。CloudTrailやGuardDutyなど、AWSのソースからのデータを集約し、オンプレミスのネットワーク、エンドポイント、別のクラウドプラットフォームからの情報とまとめます。ユーザー行動分析(UBA)、業界をリードする脅威インテリジェンス、自動化されたワークフローを利用し、AWS環境と組織のITフットプリント全体で、セキュリティチームが脅威を検出し、調査できるよう支援します。
InsightIDRは、重要なAWSサービスと連携し、次の詳細なログデータを簡単に収集できます。
- AWS CloudTrail: AWSマネジメントコンソール、AWS SDK、コマンドラインツールなどのサービスに対するアカウントの活動や管理アクションを監視および記録します。
- AWS GuardDuty: AWS内の活動のうち、クレデンシャルの間違った使用や権限の昇格など、悪意によるものである可能性があるものについて、情報を提供します。 Insight Agentは、ネイティブに連携するだけでなく、AWS EC2インスタンスにインストールできます。これによって、リアルタイムのEDRテレメトリを回収して、悪意のある活動やプロセスを検出したり、オンデマンドでフォレンジックデータを収集したり、プロセスの終了またはネットワークからのインスタンスの隔離をおこなって脅威を封じ込めたりすることができます。
InsightIDRでは、ネイティブAMIを使用して任意のAWS環境にハニーポットをインストールすることもできます。潜在的な攻撃者がこのハニーポットにアクセスしようとするたびに、InsightIDRのアラートがトリガーされます。また、InsightIDRは、AWS SQS連携を通じてあらゆるデータを収集できます。VPCフローログやRoute 53のDNSログなどを収集できます。
InsightIDRは、これらのサービスからのログデータを企業全体の数百に及ぶ別のソースからの情報と組み合わせて、データの正規化とエンリッチメントをおこない、セキュリティチームが検索、報告、分析に利用できるようにします。
InsightIDRのユーザー行動分析では、ユーザーによるベースライン活動を測定し、変則的な認証リクエストや通常とは異なるシングルサインオン(SSO)活動など、異常な行動を検出した場合にアラートを生成します。これにより、セキュリティチームは、盗まれたユーザークレデンシャルを利用する攻撃者を検出できます。Rapid7のSIEMソリューションは、また、コンピューティングリソースや侵害された管理クレデンシャルの悪用が疑われる行動に基づいて、アラートを生成します。次のような行動がこれに該当します。
- 新しいAWSリージョンでの活動
- 新しいAWSサービスの使用
- 新しいタイプの仮想マシンのプロビジョニング(仮想通貨のマイニング用に最適化されたサービスなど)
InsightIDRには組み込みの検出機能があります。また、AWS CloudTrailの活動に基づいて組織ごとにカスタムアラートを作成することもできます。たとえば、S3バケットのオブジェクトに対するアクセス、変更、削除の操作を指摘するカスタムアラートを作成できます。
GuardDutyのアラートをInsightIDRに送信できます。セキュリティチームは、InsightIDRのすべての機能を使用し、複数のプラットフォームからのデータを関連付け、ユーザーの行動をさかのぼって調べ、追加のログセットに切り替え、Rapid7 Insight Agentを使ってAWSリソースに対して直接クエリを実行することで、即座にフォローアップできます。
InsightIDRは、監視、監査ログの記録、データ保持について、クラウドのレポートとコンプライアンスの要件をサポートします。監査担当者にログの格納場所を示し、適切なログ履歴があり、ログが適切に維持されていることを裏付け、適切なログのソースが提示されていることを実証できます。
InsightIDRの直感的なダッシュボードは、経営幹部と役員会のメンバーに、企業の脅威の状況を概要として示すことができます。増加している攻撃、ネットワークで最も攻撃されやすいアプリケーションと領域、解消された脅威などの情報を表示します。