『とある診断員とSecurity-JAWS#02 ~俺のリアルなAWSインシデントレスポンス体験は、ちっとばっか響くぞ~』 に参加させていただきました。応募者多数により抽選となる大人気っぷりでしたが、運良く参加できました。結論から言えば、
ほんとこれ学び深すぎた。
— 聖(ひじり)@re:Invent参加してる風おじさん (@hijili2) 2020年12月12日
RT: とある診断員とSecurity-JAWS#02 https://t.co/6DbJ7vVC5e
一応予習はしたけど、知識として学ぶのと、実際に使って調べるのとでは学びが段違いすぎることを改めて実感しました。特にAWS固有のところは今回のように作ってもらわないとなかなか触らないので、非常にありがたかったです!!ありがとうございました!!!#tigersecjaws02 #secjaws #jawsug
— 聖(ひじり)@re:Invent参加してる風おじさん (@hijili2) 2020年12月12日
ということで、すごく面白くて、ためになりました。いやこれ無料でいいんすか、という感じでした…
何やったの
まあ、リンク先に書いてある通りなのですが。
このイベントでは実際のAWS環境で起きたインシデントをもとに作られた環境を実際に触り、AWS環境における実践的なインシデントレスポンスを経験してもらうことにより、AWSの優れたサービスについて理解を深めてもらうこととともに、インシデントレスポンス自体の勘所を掴むことが可能です
これも学習内容の欄に書いてありますが、主に以下のサービスが主題という感じです。
- CloudTrail
- AWS Config
- Athena
- GuardDuty
- Detective
なにそれ?知らんよそんなの?という方でも全然だいじょうぶです。予習したほうがいいですが、まずはこれらのサービスなどについて、操作画面を交えた解説をしていただき、その後、これらを使わざるを得ないインシデント・レスポンス実習を行う感じでした。実習は各々自由に調べるわけですが、Slackで質問したりヒントをもらいながら進められます。 3時間は長いと思われるかもしれませんが、インシデント・レスポンスの勘所が無かったり、そもそもAWSサービスあまり知らなかったりするとあっという間です… 糖分が大事です…
事前におやつを用意しておけばよかった。糖分がほしい。。。#tigersecjaws02 #secjaws #jawsug
— 聖(ひじり)@re:Invent参加してる風おじさん (@hijili2) 2020年12月12日
糖分が切れると、短期記憶がよくとうぶん(飛ぶん)だよね。(1スベリ)
頭脳労働に糖分は大事であると、改めて砂糖(悟)りましたね。(2スベリ)
まあ、オンラインなので、ちょっと抜けて缶コーヒーとかは買いに行きましたけど。
うう疲れた… 流れは大体分かった気がするけど影響調査ができない…#tigersecjaws02 #secjaws #jawsug
— 聖(ひじり)@re:Invent参加してる風おじさん (@hijili2) 2020年12月12日
結果、攻撃経路は意外と特定できてたけど、侵入されて何されたかというあたりまで調べきれませんでした…あんな分かりやすく残してくれてたのに…みたいなところはあったりします。悔しいです!
そんな一日の解説部分の動画は以下に公開して頂いているので、興味ある方は見てみるとよいと思います。オヌヌメイベントです。
[一般公開用] とある診断員とSecurity JAWS #02 - YouTube
小ネタ
Tor検知される
あ、TorブラウザでアクセスするだけでもGuardDutyのMedium出てしまうんか… なんか迷惑だったらすいません…ブラウザ変えよう…#tigersecjaws02 #secjaws #jawsug
— 聖(ひじり)@re:Invent参加してる風おじさん (@hijili2) 2020年12月12日
ほら、なんかセキュリティのイベントだし、これくらいした方がいいかなと思ったらGuardDutyが Recon:IAMUser/TorIPCaller 出すんですね。調査用のAWS上にこれを出しちゃったら「これも攻撃か?」みたいな勘違いを誘発しそうで申し訳なかったです。でも、GuardDutyをONにしとくべきやなというのは実感しましたね。AWS攻めるときにTor使われるのかよく分からんけど、使ってないアカウントにこれ出たら確実にイカれてますからね。など。
ネタ採用されず
ボケが採用されなかったことが一番の後悔ポイントではある…#tigersecjaws02 #secjaws #jawsug
— 聖(ひじり)@re:Invent参加してる風おじさん (@hijili2) 2020年12月12日
参加申込時に「一日中ログと格闘する覚悟はありますか?(最後の振り返り時に採用するかもしれませんのでボケてください)」という問いがあったんですね。これはスベリミナっていくしかないと思い、
ローグライクゲーム好きなので大丈夫だと思います!(ログlikeだけにね、3スベリ)
って書いてみたんですが、見事採用されませんでした!コメントも頂いてしまいました笑 スミマセンでした。
万人受けするボケではなかったので、拾いづらかったのが、、、、、、、
— Typhon✡1212tigersecjaws#02 (@Typhon666_death) 2020年12月12日
ということで、大変楽しく、大変タメになるイベントでした。これは次回があればまた参加したい。そのときには、改心のボケで
お上手ですね。って言ってもらえるよう頑張りたいです。(JAWSだけにね、4スベリ)
頑張るのそこかよ。