Amazon Web Servicesの攻撃対象領域アナライザー

攻撃対象領域アナライザーでは、AWSクラウドディレクトリ内の誤った構成を特定し、クラウドセキュリティを強化できます。

攻撃対象領域アナライザーによって追跡されるAWSクラウドディレクトリのサービスは以下のとおりです。

  • Amazon EC2
  • Amazon VPC
  • AWS IAM
  • Amazon S3
  • Amazon RDS
  • Amazon DynamoDB
  • AWS Lambda
  • AWS Elastic Beanstalk
  • AWS CloudTrail
  • Amazon EFS
  • AWS KMS
  • Amazon SNS
  • Amazon SQS
  • Amazon EC2 Auto Scaling
  • AWS Elastic Load Balancing
  • AWS Elastic Load Balancing V2
  • Amazon CloudFront
  • Amazon CloudWatch
  • Amazon CloudWatch Logs
  • Amazon ElastiCache
  • Amazon MemoryDB for Redis
  • Amazon DocumentDB
  • AWS CodeBuild
  • Amazon Config Service
  • Amazon Route 53
  • AWS WAF
  • AWS WAF Regional
  • AWS WAF V2

前提条件

攻撃対象領域アナライザーがシームレスに機能するには、ADAudit Plusサーバーがインターネットに接続している必要があります。また、AWSクラウドディレクトリと通信するために、ADAudit PlusサーバーでHTTPS ポート 443(outbound)を開く必要があります。

ADAudit Plusで攻撃対象領域アナライザー用にAWSクラウドディレクトリを構成する前に、次の操作を行う必要があります。

  • ユーザーを作成し、IAMポリシーを通じて適切な権限をアタッチする
  • アカウント ID、アクセスキー、シークレットアクセスキーを取得する

ユーザーを作成し、IAMポリシーを通じて適切な権限をアタッチする方法は2通りあります。

  1. AWS CloudFormationを使用する方法
  2. AWS IAMコンソールを使用する方法

AWS CloudFormationを使用してユーザーを作成し、IAMポリシーをアタッチする方法

  1. AWS マネジメントコンソールにサインインし、CloudFormationに移動します。
  2. 上部のアカウント情報の左側にあるリージョンリストをクリックし、スタックを作成するリージョンを選択します。
    3. Amazon Web Servicesの攻撃対象領域アナライザー
  3. [スタックの作成]をクリックし、ドロップダウンから[新しいリソースを使用 (標準)]を選択します。
    4. Amazon Web Servicesの攻撃対象領域アナライザー
  4. [スタックの作成]画面の[テンプレートの指定]パネルの[テンプレートソース]で、[テンプレートファイルのアップロード]を選択します。
  5. こちらのテンプレートファイルをダウンロードします。
  6. [ファイルの選択]をクリックし、ダウンロードしたファイルを参照して選択し、[開く]をクリックします。
  7. ファイルのアップロード完了後、[次へ]をクリックします。
    8. Amazon Web Servicesの攻撃対象領域アナライザー
  8. [スタックの名前]に適切なスタック名を入力します。[パラメータ]パネルで、ポリシーとユーザーの名前を変更することができます。[UseExistingUser]では、falseを選択し、[次へ]をクリックします。
    9. Amazon Web Servicesの攻撃対象領域アナライザー
  9. [スタックオプションの設定]画面で、デフォルト設定を維持したまま[次へ]をクリックします。
  10. [レビュー(確認)]画面で設定を確認し、確認チェックボックスにチェックを入れ、[送信]をクリックします。
    11. Amazon Web Servicesの攻撃対象領域アナライザー
  11. スタックが作成されたら、[リソース]タブを選択し、作成したユーザーをクリックします。(IAMコンソールにリダイレクトされます。)
    12. Amazon Web Servicesの攻撃対象領域アナライザー
  12. アクセスキーとシークレットアクセスキーを取得する方法に進みます。

AWS IAMコンソールを使用してユーザーを作成し、IAMポリシーをアタッチする方法

この方法では、まずIAMコンソールでポリシーを作成し、次にユーザーを作成してポリシーをアタッチする必要があります。

IAMコンソールでポリシーを作成する方法

  1. AWS マネジメントコンソールにサインインし、IAMコンソールに移動します。
  2. IAMダッシュボードから[ポリシー]を選択し、[ポリシーの作成]をクリックします。
    3. Amazon Web Servicesの攻撃対象領域アナライザー
  3. [ポリシーエディタ]画面で、[JSON]モードを選択し、こちらのファイルから権限ステートメントをコピー&ペーストし、[次へ]をクリックします。
    4. Amazon Web Servicesの攻撃対象領域アナライザー
  4. ポリシーに適切な名前と説明を入力し、サービスに必要な権限を確認して、[ポリシーの作成]をクリックします。
    5. Amazon Web Servicesの攻撃対象領域アナライザー
  5. 完了すると、IAMポリシー画面にリダイレクトされます。

ユーザーを作成してポリシーをアタッチする方法

  1. IAMダッシュボードから[ユーザー]を選択し、[ユーザーの作成]をクリックします。
    2. Amazon Web Servicesの攻撃対象領域アナライザー
  2. 新しいユーザーに適切なユーザー名を入力し、[次へ]をクリックします。
    3. Amazon Web Servicesの攻撃対象領域アナライザー
  3. [許可を設定]画面で、[ポリシーを直接アタッチする]を選択します。
  4. 作成したポリシーを参照して選択し、[次へ]をクリックします。
    5. Amazon Web Servicesの攻撃対象領域アナライザー
  5. 選択内容を確認し、[ユーザーの作成]をクリックします。
    6. Amazon Web Servicesの攻撃対象領域アナライザー

アクセスキーとシークレットアクセスキーを取得する方法

  1. IAMコンソールで、ナビゲーションメニューから[ユーザー]をクリックし、作成したユーザーを選択します。
  2. [セキュリティ認証情報]タブをクリックし、[アクセスキー]パネルで[アクセスキーを作成]をクリックします。
    3. Amazon Web Servicesの攻撃対象領域アナライザー
  3. ユースケースとして[その他]を選択し、[次へ]をクリックします。
    4. Amazon Web Servicesの攻撃対象領域アナライザー
  4. 必要に応じて適切な説明タグ値を設定し、[アクセスキーを作成]をクリックします。
  5. キーが作成されると、ユーザーの[アクセスキー][シークレットアクセスキー]を表示できます。ADAudit PlusでAWSクラウドディレクトリを構成する際に必要になるため、アクセスキーとシークレットアクセスキーをクリップボードにコピーします。
  6. 上部のナビゲーションバーで、アカウント情報の横にあるドロップダウンをクリックし、[アカウント ID]をコピーして、[完了]をクリックします。
    7. Amazon Web Servicesの攻撃対象領域アナライザー

ADAudit PlusでAWSクラウドディレクトリを構成する方法

  1. ADAudit Plusへログインします。
  2. [クラウドディレクトリ]タブ → [攻撃対象領域アナライザー] → [構成] → [クラウドディレクトリ]へ移動します。
  3. 画面右上の[+クラウドディレクトリを追加する]をクリックします。
  4. ポップアップ画面から、[AWS Cloud]を選択します。
    5. Amazon Web Servicesの攻撃対象領域アナライザー
  5. 適切な[表示名]を入力し、先ほどコピーしたアカウント ID、アクセスキー、シークレットアクセスキーを[アカウント番号][アクセスキーID][シークレットアクセスキー]に入力します。
  6. AWSクラウドディレクトリで実行されたすべての操作を取得して監視する場合は、[監査ログ]のチェックボックスを選択して、[次へ]をクリックします。
    7. Amazon Web Servicesの攻撃対象領域アナライザー
  7. 設定を確認して、[完了]をクリックします。