![クラウドネイティブ・オファリング [ネビュラシフト]](../../common/img/logo.avif){kind=logo}
Sysdigの脅威検知といえばFalcoが有名ですが、Falco以外にも強力な機能が搭載されています。今回は、AWSサインインの異常検知機能に焦点を当て、その検証方法を紹介します。
この機能は、機械学習を用いて各ユーザーのAWSウェブコンソールのサインイン情報(IPアドレスのリージョン、OS、ブラウザなど)を学習し、通常と異なる環境からの不審なサインインを検知します。なりすましによる不正アクセス対策に有効な機能です。
検証は、AWSアカウントとSysdigを連携し、普段アクセスしない地域のグローバルIPアドレスを持つWindowsサーバー(今回はus-east-1リージョン)を用意して行いました。
検証手順は以下の通りです。
Runtime Policyの作成画面で"AWS ML"を選択し、Anomalous Console Loginを有効にしたポリシーを作成。
用意したWindowsサーバーからAWSウェブコンソールにサインイン。
Sysdig GUIでセキュリティイベントを確認。
結果、"Location Anomaly Probability"(普段と異なる地域からのログイン)と"Browser Anomaly Probability"(普段と異なるブラウザからのログイン)が100%と表示され、異常なサインインとして検知されました。Cloud Trailログで詳細なログイン情報も確認可能です。
この機能は、OSやデバイスの違いも検知できるため、なりすましが疑われる要素に絞って異常検知を行い、迅速な調査を可能にします。ゼロトラストセキュリティの観点からも重要な機能と言えるでしょう。
シェア
ポスト
ブックマーク
LINE
