CloudTrailを利用した脅威の検知

お客様のインフラストラクチャーリソースで行われたすべてのアクションは、AWS CloudTrailのレジストリに反映されます。これには、すべてのAWSアカウントアクティビティ、AWSマネジメントコンソール、AWS SDK、コマンドラインツール、およびその他のAWSサービスを通じて行われたアクションが含まれます。このイベント履歴は、お客様のAWSリソースに関わる望ましくない、あるいは予期せぬアクティビティを検出するのに非常に役立ちますが、しかしながら、かなりノイズが多い事があります。

Sysdig Secure for cloudは、オープンソースのFalco言語に基づいた柔軟なセキュリティルールのセットに対して、すべてのCloudTrailエントリーをリアルタイムに分析します。これにより、脅威を検知して通知を上げることができるので、セキュリティ上の脅威にできるだけ早く対処することができます。

Sysdig Secure イベントフィード

CloudTrailのセキュリティポリシーを有効にすると、そのルールに基づいてトリガーされた検知は、Sysdigダッシュボードのイベントフィードに表示され、プラットフォームで処理されたすべてのセキュリティイベントと統合されて、すべてのセキュリティインシデントの単一の真実の情報源となります。

Cloud security events on Sysdig event feed

イベントには、検出に関する詳細、影響を受けるリソース、リージョン、AWSアカウント、コマンドを発行したユーザー、ソースIPアドレス、ルールに関連するコンプライアンスタグなどが含まれます。

Cloud security event details

CloudTrail用のFalcoルール

CloudTrailライブラリには、非常に豊富なFalcoルールが用意されています。これらは、以下のようないくつかのセキュリティ標準やベストプラクティスを参照、考慮して作成されています:

バンドルされているFalcoルールの一覧は、バンドルされているFalcoルールセクションをご覧ください。

Falco rules library in Sysdig dashboard

また、Sysdigのダッシュボードに統合されたエディターを使って、簡単にFalcoのルールを修正したり、新しいルールを作成したりすることができます。

理解しやすく、活発なオープンソース・コミュニティが存在するFalco言語リファレンスを活用すると、このルールの作成を比較的簡単に作成できます。

Falco rules editor in Sysdig dashboard

AWSワークショップハンズオントレーニング

Sysdig Secure for cloudのこの機能やその他の機能についての詳細やハンズオントレーニングについては、以下の公式AWSワークショップをご覧ください:

sysdig.awsworkshop.io

次のセクションへ進む

ポリシーについて学びたい、または、イベントを検出するテストをしたいですか?

ポリシーの利用とイベントをトリガーするのセクションを見る.

バンドルされているCloudTrail Falcoルールの全リストを確認しますか?

バンドルルールのセクションを見る.

AWS Security Hubとの連携を設定したいですか?

AWS Security Hub統合セクションを見る

すべてのセキュリティ機能について詳しく知りたい方は、こちらをご覧ください

CloudTrailを用いた脅威検知のセクションを見る.
クラウドセキュリティポスチャーマネジメントとコンプライアンスのセクションを見る.
ECRイメージレジストリースキャンのセクションを見る.
Fargateイメージスキャンのセクションを見る.


詳細については、以下のいずれかのセクションをご覧ください: