報告が前後しましたが表題の勉強会に参加しました。

https://jawshttps://nakanoshima-dev.connpass.com/event/141737/  

AWSの機械学習を使ったセキュリティサービスのハンズオンになります。

□ハンズオン資料

https://scaling-threat-detection.awssecworkshops.jp/

https://scaling-threat-detection.awssecworkshops.jp/threat-detect-workshop-presentation.pdf 

□ハンズオン補足

TODO

□メモ

TODO

□資料QA

Q1 このワークショップのケースにおいては攻撃ホストもAWSの同一アカウント上に存在したから
Q2 数は覚えていない。フィルタでSSH成功のパターンのログのみ抽出して調査対象を識別した。
Q3 優先度低はAWS内に閉じている場合、高はAWS外にも波及している可能性がある場合を示す。今回のワークショップでは外に攻撃しているわけではないのでログにでているが気にしなくてよい。（実運用なら気にする必要がある）
Q4 IAM Roleは攻撃を受けたインスタンス以外のインスタンス等でも使われている可能性があり、IAM Roleを削除してしまうと攻撃を受けていないインスタンス等も正常動作しなくなりサービス影響がある。軽減方法としては攻撃を受けたインスタンスのみ明示的に除外するようにIAM Roleを変更する
Q5 不特定多数へのアクセス許可は行わない。アクセス範囲を設定し管理する。
Q6 AES256。SSE-KMSのIAMの設定を行うことでMacieはS3上の暗号化されたファイルを自動的に復号した形でオブジェクトの識別を行うことができる。
Q7 アクセス可能だった。グローバル読み取り権限がついていれば暗号化していても取得の際には復号化した形で取得できてしまう。