認証APIへのアクセス志向攻撃を検知するAWSサービス、またはサービスの組み合わせがあるか

0

現状以下のようなアーキテクチャの認証APIがあります

[aws cloud front] -> [aws waf] -> [aws alb] -> [(自前の認証API)aws ecs] -> [RDS]

上記、自前の認証APIへの攻撃を検知する方法を模索しているのですが、本ケースにマッチするようなサービス、サービスの組み合わせはありますでしょうか?(WAFで防げるよということであれば、その辺りの詳細もご教示いただけると幸いです)

検知したいのは以下のような攻撃のケースです。

  • 同一アクセス元IPアドレスから複数ユーザに対するアクセス試行
  • 通常とは大きく地理的に異なる位置からのユーザに対するアクセス試行

認証のURIは全ユーザで同じで、ユーザのIDはpostメソッドのbodyに含まれています。

上記が必要になった背景として、SIEMの導入を検討しており、SplunkとAWSサービス群での比較を行っています。 現状Open Searchでアーキテクチャの各コンポーネントのログをとれているのですが、Open Searchでこのようなケースを検出するQueryの書き方もわからず、手詰まり状態となっています。

理想は自動で検知されてアラートが上がることですが、ログから分析して兆候を検知できればOKな状態です。

2 Antworten
0

残念ながら AWS WAF をはじめとする AWS サービスでは POST メソッドの Body を記録できないため、ご要望のような検知は AWS サービスやその組み合わせでは実現いただけません。検知のために必要な情報をお客様のバックエンド(ECS)側で取得した上で OpenSearch 等へ入力し、分析を行う必要がございます。

OpenSearch によるログ分析につきましては下記ブログ記事にワークショップの内容が公開されておりますので、よろしければご参考にしていただければと存じます。

 - Amazon Elasticsearch Service Intro Workshop を公開しました!- 基本的な使い方から最新アップデートまで 2 時間で体験  https://aws.amazon.com/jp/blogs/news/amazon-elasticsearch-service-hands-on/

AWS
beantwortet vor einem Jahr
0

@Morishima_A

ご回答ありがとございます。 ビジネスロジックに関連する部分の攻撃への防御、検知は自前で実装が必要で、検知においてはログを拡充させ、Open SearchをSIEM的に利用するのが現状最も適した方法であると理解しました。

以下あたりをディープダイブすることで、何かヒントが得られるかと考えますが、このあたりの機能を利用した(またはそれらに近い)ようなブログ記事などがあれば共有いただけるとありたがいです。(英語記事でも問題ございません)。 厚かましいお願いで恐縮ですがよろしくお願いします。

Anomaly detection in Amazon OpenSearch Service https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ad.html

k-NN https://opensearch.org/docs/latest/search-plugins/knn/index/

beantwortet vor einem Jahr

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen