演習の狙い
- 最小構成のアラート検知までの道のりを段階的に設計することで、実際の環境におけるセキュリティ監視の構成をイメージできるようにする
演習のゴール
- 用意された仮想の環境に対して、検知や調査をすべき事象を考えられるようになる
- 検知や調査すべき事象のために、どのようなログを利用できそうか想像できるようになる
前提
(説明:10分)
以下のような構成でWebサービスを開発・提供する企業を想定します。この環境で発生する攻撃のシナリオに対しての検知を考えます。
環境について
.jpg)
- あるWebサービスをクラウドプラットフォーム(今回はAWSと仮定)上で提供する事業会社
- WebサービスはVMインスタンス上でアプリを動かしており、会社貸与PC内でビルドしたコンテナをインスタンスにアップロード&SSH経由でアプリを手動デプロイしている
- クラウドプラットフォーム上にあるデータベースに利用者の個人情報が含まれている
- データベースのパスワードがSecret Managerに保存されており、VMインスタンス上のアプリはこれを取得してパスワード認証をして、データベースへ接続している
- データベースはPublic Subnet に設置されている
- クラウドプラットフォーム上のリソースの操作も会社貸与PCから直接実施している
- 操作をしている開発者は全てのリソースに対してアクセス・操作可能になっている
攻撃のシナリオ
- 開発者がデプロイを実施しているPC上のブラウザ拡張が汚染され、Cookieやlocal storageに含まれるクラウドプラットフォームの強い権限を持ったトークンが窃取される
- トークンを窃取した攻撃者はクラウドプラットフォームにアクセスし、データベース内の情報を盗むために以下の操作をした
- データベースに接続するためのパスワードをSecret Managerから入手
- データベースのSecurity Groupを変更し外部から直接アクセス可能に変更
- データベースに直接接続し、保存された個人情報をダウンロード
取得しているログ
今回の環境では以下のサービスからのログが収集できているものとします