AWS Top Engineer 限定イベントの「セキュリティインシデント調査ワークショップ」に弊社 Top Engineer や 他のAAI と併せて4名で参加してみた。
結果としては、最初の頃はゲームディのプラットフォームへのアクセス負荷でなかなかサイトにアクセスができず進まない時間があった中でも、そこそこ課題を解決できたのかな。といったかんじ。36チーム中20位。Top 10 入りはしたかったけど、条件はさほど変わらないはずなので現場のエンジニアの方、とくに日々運用でインシデント調査をしているエンジニアの方は強いですね。
さらなる精進が必要です。
ワークショップ自体は、OSS のゲームディプラットフォーム「RootTheBox」環境でおこないました。この OSS 自体が色々面白そうなことができそうです。
当日のスクショなど撮影許可があったので一部抜粋しながら。
そもそもワークショプとは?
ワークショップとは、自発的に参加して体験しながら学ぶトレーニングのひとつです。
弊社のトレーニングの中でも、アーキテクト系のコースなんかでは課題に対するアーキテクチャを考えるようなグループワークとして実施したりしてます。
ひとりで学ぶよりも、他の方と意見交換したり傾聴することで新しい発見や学びも得られますね。
セキュリティインシデント調査ワークショップとは?
今回のワークショップは、AWS 環境でよくあるセキュリティに関するインシデント調査をテーマにしています。
外部からの攻撃の兆候が見つかったがどうやって特定するのか。情報漏洩はあるのか。アイデンティティは守れているのか。こうした内容をとあるシナリオをベースにしてロッグの調査をおこないながらクイズに回答していくことでポイントを稼ぐゲーム方式です。
ワークショップのルールはこんな感じ。最初に書いてあるルールが「楽しむ」。これが重要。楽しく学んでいくこと大事ですね。学ぶ中でサービスやツール、ソリューションを使った調査のやり方を実際に触れながら学びます。
どうやるの?
インシデント調査の仕組みとしては、SIEM on Amazon OpenSearch Service の環境をもとにデータが作成されており、OpenSearch Dashboard で各種ログを調査していきます。
GuardDuty、VPC フローログ、CloudTrail、Apache、Linux Securityなど各種ログがアグリゲートされて OpenSearch に溜まっています。そのログデータに対して適切なログの選択とフィルタリングを駆使し、時には生ログを見ながらクイズの答えを探していきます。
たとえば、特定の日時に発生している攻撃の兆候は何件あるかや、特定の攻撃が成功しているのか。などです。
ログは膨大な量があるので適切に件数や表示するフィールドを選んでいかないと視覚が情報量についていけずに調査を拒否し始めますw
まとめ
こんなインシデントの場合は、こうしたログをこうやって調べていくんだ。という道筋をたどれるようなシナリオ型のクイズになっているので非常に実践的でした。
個人的には担当した19問中11問目までしか回答できなかったので悔しいですね。
自分の環境にセットアップして試したいところですが、なにしろ OpenSearch Service は個人で使うにはなかなかの金額になるんですよね・・・
OpenSearch Serverless でどうなるのか期待したいです。