フィラデルフィアで開催されたre:Inforce 2025のハンズオンのセッションレポートです。
今回は、「SEC351: Accelerating incident response, compliance & auditing using generative AI」を紹介します。
ハンズオン概要
Amazon Q Developerを使って、AWS環境で発生したセキュリティインシデント対応の時間を短縮します。
全体構成
以下が全体の構成です。
セキュリティアラートをSNSとChatbotを介してSlackかTeamsに連携します。
SlackかTeamsかはその場で選択できました。
CloudTrailのログファイル整合性検証を修復
CloudTrailのログファイルの整合性検証が無効になっていることを、以下のConfigルールで検知します。
Slackにアラートが通知されました。
「ListTrails」をクリックするとTrailログを調査してくれて、「LogFileValidationEnabled: false」になっていることが分かります。
続いて、先ほどのアラート通知の「EnableLogFile」をクリックし、パラメータとして対象のCloudTrail証跡名を入力して実行します。
すると、コマンドが実行されて修復が完了しています。
セキュリティグループを修復
続いて、以下のコマンドでセキュリティグループを作成します。
任意の送信元からのインバウンドを許可するセキュリティグループです。
aws ec2 create-security-group \ --group-name noncompliant-security-group \ --description "noncompliant-security-group" \ aws ec2 authorize-security-group-ingress \ --group-name noncompliant-security-group \ --protocol all \ --port 0-65535 \ --cidr 0.0.0.0/0
Security Hubで検知されていることを確認します。
Slackにアラートが通知されました。
そのままSlack上でAmazon Qに問い合わせながら対応してみます。
任意の送信元からポート22への通信を許可しているセキュリティグループを問い合わせます。
問題のセキュリティグループが特定できたので、修復方法を問い合わせます。
具体的な修復手順を提案してくれます。
ちなみに今回のワークショップ環境では日本語は対応していませんでした。
それでは、Slack上でカスタムアクションを登録してボタン1つで修正できるようにします。
アラート通知の「Suppress finding」横のボタンをクリック、アクションを作成します。
アクション名やアクションタイプを選択します。
今回はLambda actionを選択します。
ここでは、セキュリティグループのARNを渡しています。
使用するLambda関数とペイロードを入力します。
最後に表示の条件を設定します。
ここでは、重要度がHighの時に通知します。
再度、同様のセキュリティグループを作成してSlackに通知させます。
すると先ほど作成した「Remediate SG」というカスタムアクションボタンが表示されるので、これをクリックするとセキュリティグループが修正されます。
まとめ
Amazon Qで自然言語による調査ができるのは、非常に便利だと思いました。
人と同じようにチャット上でやり取りするため、ほかの人にも調査過程が見れるのは嬉しいポイントです。
また、修正作業もマネジメントコンソールにログインして手作業で直すということをせず、Slackに通知されたボタンを押すだけで修正が完了するのは画期的だと思いました。
事前にLambdaを作りこんでおく必要がありますが、Amazon Qを使ったセキュリティインシデント対応のイメージがわくセッションでした。
