セキュリティインシデント疑似体験 調査ワークショップ 参加感想
無事に AWS認定 DevOps Professional の再認定試験に合格し、安堵しております。やっさんでございます。この度、1月31日に開催されましたAmazon Web Services様(以下AWS様)主催による 「セキュリティインシデント疑似体験 調査ワークショップ」 に参加しましたので、本ブログで感想を書かせて頂きます。
当社の やっさん
、 しょー
、 かめ
、そして ゆうはん
の4名で参加してきました!
本ワークショップは APN Top Engineerが必ず1名は参加する必要があるワークショップ となっておりました。AWS様も 「Top of Topを目指してください。」 と、Top Engineer達を競い合わせていました。AWS様、さすがです。
セキュリティインシデント疑似体験 調査ワークショップとは
ワークショップは、 Amazon OpenSearch Service
に様々なログ情報を収集し、セキュリティインシデントの洞察を取得する方法を学ぶ内容でした。ワークショップのベースとなる環境は SIEM on Amazon OpenSearch Service になりまして、AWS様のGitHubで公開されております。
参加当日の感想
Amazon OpenSearch Serviceは1年間の無料利用枠はありますが、SIEMで利用するとなるとそこそこのインスタンススペックが必要となり 課金が発生しやすくなります ので、ご提供いただきました疑似体験用環境でAmazon OpenSearch Serviceを動かすことが出来るだけでも貴重な機会でした。
強力なクエリ検索を体験
Amazon OpenSearch Serviceのクエリやフィルタによる強力な検索処理を体感できることがとても楽しかったと思います!特に CloudWatch Logs
や CloudWatch Logs Insight
では(2023年2月14日時点では)難しいであろう 検索結果の値によるフィルタリング であったり、 インデックスパターンを横断する検索が便利 でした。
また、当社の しょー
から DQLの入力時に入力補完ができると嬉しい というリクエストが挙がりました。確かに、既にログ情報が出力されていますので、出力されているログ項目を入力補完として出せるような機能があるとより便利になるのかなと思います!
クイズ形式によるインシデント調査
実際のインシデント調査は ゲームポータルでクイズを答えて競っていくという形式 を取っており、参加メンバーでの クイズ問題の分担分け も重要でした。チーム内Slack Huddleミーティングであれでもない、これでもないとわいわいと盛り上がりました!
ワークショップでしたが順位もありました ... はたして結果は?
本ワークショップはクイズに正解すると加点され、点数で競い合う形式となっておりました。パイロット開催とのことで予期せぬ環境不備などもあり、 順位は正式なものではなく、あくまで最終時点での暫定スコア ではありますが、当社の暫定順位はどうだったかと言いますと ...
5位でした! 35チーム中5位ですので、がんばったのではないでしょうか!途中から私は 回答する人 になっていましたので、本当にチームメンバーに助けられたゲームでした。
チーム名の レインツリーやっさん
は深い意味はないのですが、当社の しょー
が社内の読書部で扱った書籍名から取りました。花言葉は 「歓喜、胸のときめき」 ですので 「胸がときめいているやっさん(謎)」 と思っていただければと!
また、クイズ内容が固定ですと先に問題に正解したチームが有利であることは明白なため、 ボーナス問題が出現するなどのゲーム要素 があると、より盛り上がるのではないかと思いました!
ログ調査は職人芸?
GuardDutyのログやVPC Flowログなどを当日は取り扱いまして、これらログの出力項目やフォーマットを先んじて理解しておくと、有利に立てるのかなと思いました。
実際のSIEM運用において、セキュリティインシデントの洞察を得るためにはこれらログ知識とAmazon OpenSearch Serviceの使い方の習得が必須なのではないかなと思います。他の人には真似できない、 職人芸のような調査技術になりそうではあるかな と感じました。
導入におけるコストとAmazon OpenSearch Serverlessへの期待
実際のプロダクションワークロードで活用してみたいと、当社チームメンバーは思いました。しかしながら、 SIEMのコスト感とメンテナンスフィーにGoサインを出せるかどうか 、というのが障壁となりそうだなと思います。確かにAmazon OpenSearch Serviceは強力なクエリを提供するのですが、コストが高いので一旦 CloudWatch Logs Insight
や Athena
でがんばってクエリしてみよう ... となってしまうのではないでしょうか。
このコストの壁を取り払う可能性のあるサービスである Amazon OpenSearch Serverless
が 2023年2月1日に一般利用可能になりましたね! 是非とも、Amazon OpenSearch ServerlessバージョンのCloudFormationでデプロイできるようにして頂けると、利用頻度によっては運用コストが下がる可能性があるのかなと思います!
まとめ
Top of Top
にはなれませんでしたが、とても楽しいワークショップに参加できました。当社参加メンバーの かめ
は本ソリューションを導入することに意欲的ですし、 ゆうはん
はゲーム形式のワークショップに初参加で新鮮で楽しかったとのことです!また機会がありましたら、参加させて頂きたく思います!AWS様、大変ありがとうございました!
参考情報
- siem-on-amazon-opensearch-service/README_ja.md at main · aws-samples/siem-on-amazon-opensearch-service · GitHub
- Amazon OpenSearch Serverless が一般利用可能になりました | Amazon Web Services ブログ