CloudTrailログを用いたフォレンジック分析
クラウドインフラをあらゆる攻撃から守ることは現実的に困難です。クラウド環境に攻撃があった場合、攻撃者が残した手がかりを見つけるために素早い対処が重要です。フォレンジック分析によって手がかりをつなぎ合わせ、攻撃の原因を突き止める必要があります。
クラウド環境では、ログが必要な手がかりをすべて提供してくれます。例えば、CloudTrailはAWSプラットフォームで発生するあらゆるイベントを記録しています。しかし、CloudTrailログから最大限の情報を引き出すには、クラウドログ管理ツールの活用が有効です。
EventLog AnalyzerによるAWSログ管理
EventLog Analyzerは、AWS環境を厳格に管理するのに役立つ統合ログ管理ツールです。AWSのCloudTrailログとS3サーバーのアクセスログを収集・分析し、AWS環境に関する重要な洞察を提供します。
またEventLog Analyzerは、自動設定機能により、CloudTrailログの収集を開始するために必要なAWS上での煩雑な設定プロセスも自動で実行します。
フォレンジック分析におけるEventLog Analyzerの役割
フォレンジック分析を手作業で行うのは骨の折れる作業です。EventLog Analyzerは、柔軟なログの保管や検索機能により、以下のようにフォレンジック分析の工数を削減します。
- 収集したログを必要な期間保存し、脅威を特定する際にアーカイブを参照する。
- Elasticsearchを活用した高速検索により、ログデータをドリルダウンし、必要な情報を素早く取得する。
- 誰が攻撃を実行したかを特定し、そのユーザーがAWSで実行したすべてのアクティビティを確認する。
CloudTrailログの重要性を理解するために、ひとつ例を見てみましょう:
あるクラウドコンピューティング企業が、重要なアプリケーションをAWSでホストしているとします。初期設定の後に削除されなかったルートユーザーの認証情報を、ある従業員が不正に入手しました。この従業員は、会社のアプリケーションが稼働しているすべてのサーバーを停止させ、混乱を引き起こすことを企みました。
この場合、EventLog Analyzerのレポートが攻撃の原因を突き止めるのに役立ちます。特に「最近のEC2インスタンスの状態の変更」レポートは、EC2インスタンスの終了に関する情報を提供します。また、終了アクティビティに対応するログから不正な従業員のユーザー名を取得し、検索機能を用いて、そのユーザーがAWSで実行したすべてのアクティビティのリストを取得することもできます。