ラボの概要
あなたは最近、AnyCompany 初のネットワークセキュリティエンジニアとして採用されました。最初のセキュリティ監査を行ったところ、組織のネットワークトラフィックの可視性が不十分であるという結論に至りました。また、AnyCompany の EC2 インスタンスの 1 つまたは複数がマルウェアに感染している可能性があることも懸念しています。これらの提案に基づき、AWS Network Firewall と Route 53 Resolver DNS を組み合わせて使用するネットワークアーキテクチャを実装して、以下を行うように依頼されました。
- ステートフルファイアウォールのルールを使用して、出力ウェブフィルタリングを適用する。
- DNS トラフィックをモニタリングする。
- 侵害されたと思われる EC2 インスタンスを特定する。
このラボでは、ドメインリスト、ルールグループ、モニタリングを組み合わせて VPC を保護し、一連の不正な EC2 インスタンスを特定します。
注意: re:Inforce に参加していて、このスポットライトラボをインストラクターと一緒に進める場合は、以下のプレゼンテーションをご利用ください。
@prezi
目標
このラボを修了すると、次のことができるようになります。
- AWS Network Firewall 内に、Suricata 互換侵入防止システム (IPS) のルール仕様に従うステートフルルールグループを設定する。
- マネージド DNS ドメインリストとカスタム DNS ドメインリストを組み合わせて、疑わしいクエリを管理者に警告する DNS ファイアウォールを作成する。
- Amazon CloudWatch の Log Insights と Contributor Insights を使用して、不正な EC2 インスタンスを特定する。
技術知識の前提条件
ルーティングおよび DNS に精通していることが推奨されます。また、Linux 環境の Command Line Interface (CLI) の操作に慣れている必要があります。
所要時間
このラボの所要時間は約 90 分です。
アイコンキー
このラボでは、さまざまな種類の手順と注記への注意を促すため、各種アイコンが使用されています。以下のリストは、各アイコンの目的を説明したものです。
- コマンド: 実行する必要があるコマンドを表す。
- 想定される出力: 出力のサンプルであり、コマンドまたは編集済みファイルの出力を確認するときに使用する。
- 注意: ヒントや重要なガイダンス。
- 詳細: 詳細情報が記載されている場所を示す。
- 警告: 特記事項または重要な情報を表す (この情報を読み忘れても、機器やデータに問題が発生するというわけではありませんが、特定のステップを繰り返す必要が生じる可能性があります)。
- 検討: あるコンセプトを自分の環境でどのように応用できるかを考えたり、学習中のトピックについて議論したりする時間。
- ヒント: 質問や課題のヒント
- セキュリティ: セキュリティのベストプラクティスを取り入れる機会。
- 更新: ウェブブラウザのページやリストを更新して、新しい情報を表示する必要があることを示す。
