表記イベントに参戦してきました。
https://yamatosecurity.connpass.com/event/313396/

コロナ禍のオンライン開催分を覗き見していた記憶があるのですが、
現地開催分を調べてみた限りでは、ほぼ6年ぶりの参加のようです。
https://chocopurin.hatenablog.com/entry/20180722/1532267778

内容はセキュリティインシデントの起こったAWSアカウントについて、
何が起こったのかを各種AWSサービスを使って調べるというハンズオン。
2つのウォームアップ課題と4つの演習を通して
CloudTrail、OpenSearch、CloudTrail、Configを用いた
調査方法を学んでいきます（必要に応じてS3など、他のAWSサービス使います）

講演資料が非公開とのことで、以下、コンテンツに触れないレベルで書いてみます。

メモ

• CloudTrailを生で見るのはつらく、SIEMがあるとかなり便利になる
  [例] OpenSearch、DataDog

• 必要なAWSの知識

  • アクティビティ
    • すべてのログがアクティビティログに残るとは限らない
  • クレデンシャル
    • 攻撃者は「盗んだクレデンシャルから最長36時間の一時的な別クレデンシャルを作る」ということをよくやる
  • IAM
    • IAMロール
    • ルートユーザ
    • アクセスキー
  • リージョン
    • 同じサービスでもリージョン間でお値段が違う
  • SCP（Service Control Policy）
  • ARN（Amazon Resource Names）
  • コストアラート
  • AWSベストプラクティス
• 自分がどこのリージョンを触っているのかを常に意識するべし
• S3のログは改ざんや削除されないようにしなければならない
• SIEM入れたら万事解決ではない（銀の弾丸なんてない）
  • SIEM on Amazon OpenSearch Serviceはたまに壊れるけど、初手にはよい
• コストアラートは最強のIDS
• 見覚えのないコスト急上昇は要注意

感想

• ログ調査の方法やSIEMツールは複数あるけど、凝れば凝るほど金食い虫になる
  • セキュリティとコストバランスの話はよく出てくるネタだけど、その中でもかなり難しい部類に入りそう
  • 過去にAthenaのハンズオンに出たことあるけど、課金体系えげつない
• DQL力が試される
  • 発生した事象とクエリの関係に慣れるまでかなり時間かかりそう
• Sigmaルール
  • これのことかな
• OpenSearchとElasticSearchのゴタゴタは別のイベントで見聞きしたけど、本当に大変そうだった・・・

　

最近の戦利品

• キャプテン翼 MEMORIES（2）
• キン肉マン（84）
• カードキャプターさくら クリアカード編（16）
• はじめて学ぶ最新サイバーセキュリティ講義「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける