認証APIへのアクセス志向攻撃を検知するAWSサービス、またはサービスの組み合わせがあるか

0

現状以下のようなアーキテクチャの認証APIがあります

[aws cloud front] -> [aws waf] -> [aws alb] -> [(自前の認証API)aws ecs] -> [RDS]

上記、自前の認証APIへの攻撃を検知する方法を模索しているのですが、本ケースにマッチするようなサービス、サービスの組み合わせはありますでしょうか?(WAFで防げるよということであれば、その辺りの詳細もご教示いただけると幸いです)

検知したいのは以下のような攻撃のケースです。

  • 同一アクセス元IPアドレスから複数ユーザに対するアクセス試行
  • 通常とは大きく地理的に異なる位置からのユーザに対するアクセス試行

認証のURIは全ユーザで同じで、ユーザのIDはpostメソッドのbodyに含まれています。

上記が必要になった背景として、SIEMの導入を検討しており、SplunkとAWSサービス群での比較を行っています。 現状Open Searchでアーキテクチャの各コンポーネントのログをとれているのですが、Open Searchでこのようなケースを検出するQueryの書き方もわからず、手詰まり状態となっています。

理想は自動で検知されてアラートが上がることですが、ログから分析して兆候を検知できればOKな状態です。

2回答
0

残念ながら AWS WAF をはじめとする AWS サービスでは POST メソッドの Body を記録できないため、ご要望のような検知は AWS サービスやその組み合わせでは実現いただけません。検知のために必要な情報をお客様のバックエンド(ECS)側で取得した上で OpenSearch 等へ入力し、分析を行う必要がございます。

OpenSearch によるログ分析につきましては下記ブログ記事にワークショップの内容が公開されておりますので、よろしければご参考にしていただければと存じます。

 - Amazon Elasticsearch Service Intro Workshop を公開しました!- 基本的な使い方から最新アップデートまで 2 時間で体験  https://aws.amazon.com/jp/blogs/news/amazon-elasticsearch-service-hands-on/

AWS
回答済み 1年前
0

@Morishima_A

ご回答ありがとございます。 ビジネスロジックに関連する部分の攻撃への防御、検知は自前で実装が必要で、検知においてはログを拡充させ、Open SearchをSIEM的に利用するのが現状最も適した方法であると理解しました。

以下あたりをディープダイブすることで、何かヒントが得られるかと考えますが、このあたりの機能を利用した(またはそれらに近い)ようなブログ記事などがあれば共有いただけるとありたがいです。(英語記事でも問題ございません)。 厚かましいお願いで恐縮ですがよろしくお願いします。

Anomaly detection in Amazon OpenSearch Service https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ad.html

k-NN https://opensearch.org/docs/latest/search-plugins/knn/index/

回答済み 1年前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ