このドキュメントは情報提供のみを目的としています。 本書の発行日現在のAmazon ウェブサービス (AWS) が提供している製品および慣行を表しており、予告なしに変更されることがあります。 お客様は、本書に記載された情報および AWS の製品またはサービスの使用について、お客様自身で評価する責任を負うものとします。これらの評価は、明示的か黙示的かを問わず、いかなる種類の保証もなく「現状のまま」提供されます。 この文書は、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上のコミットメント、条件、または保証をするものではありません。 お客様に対する AWS の責任と責任は AWS 契約によって管理されており、この文書は AWS とお客様との間のいかなる契約の一部でもなく、またその内容を変更するものでもありません。
© 2024 Amazon ウェブサービス株式会社またはその関連会社 全著作権所有。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
本 AWS コンテンツは、http://aws.amazon.com/agreement で入手可能な AWS カスタマー契約の条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス、EMEA、SARL、あるいはその両方との間で締結されたその他の書面による契約に従って提供されます。
作成者:著者名
承認者:承認者名
最終承認日:
このプレイブックでは、Amazon Q に関係するセキュリティイベントを調査するためのプロセスとクエリの例を概説しています。
このプレイブックは、AWS のセキュリティ評価、監査、強化、インシデント対応に役立つコマンドラインツールである [Prowler] (https://github.com/toniblyx/prowler) を可能な限り参照し、統合しています。
プレイブックの実行全体を通して、望ましい結果 に焦点を当て、インシデント対応能力を強化するためのメモを取ってください。
- 悪用された脆弱性
- 検出されたエクスプロイトとツール
- アクターの意図
- アクターの帰属
- 環境とビジネスへの損害
- 元の強化された構成に戻す
[AWS Cloud Adoption Framework のセキュリティパースペクティブ] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
- 指令
- 探偵
- レスポンシブ
- 予防
! [画像] (/images/aws_caf.png)
- 戦術、テクニック、および手順: Amazon Q
- カテゴリ: ログ分析
- リソース: Amazon Q
- 指標: サイバー脅威情報、第三者通知
- ログソース: CloudTrail
- チーム: セキュリティオペレーションセンター (SOC)、フォレンジック調査員、クラウドエンジニアリング
- 準備
- 検出と分析
- 封じ込めと根絶
- 回復
- インシデント後の活動
- [準備] 2。 [準備] 3。 [準備] 4。 [検出と分析] CloudTrail で認識されない API イベントの検出と分析を行います
- [検出と分析] CloudWatch で認識されないイベントの検出と分析を行います
- [封じ込めと根絶] IAM ユーザーキーの削除またはローテーション
- [封じ込めと根絶] 認識できない資源の削除またはローテーション
- セキュリティ体制を評価して、セキュリティギャップを特定して修正する
- AWS は、新しいオープンソースのSelf-Service Security Assessment ツールを開発しました。このツールでは、お客様の AWS アカウントのセキュリティ状況に関する貴重な洞察を得るためのポイントインタイム評価を行うことができます。
- サーバー、ネットワークデバイス、ネットワーク/ファイル共有、開発者用マシンなど、すべてのリソースの完全な資産インベントリを維持する
- AWS アカウント、ワークロード、Amazon SES に保存されているデータを保護するために、悪意のあるアクティビティや不正な動作を継続的に監視する AWS GuardDuty の実装を検討してください
- アカウントの有効期限切れや必須の認証情報のローテーションを含む CIS AWS Foundations の実装
- 多要素認証 (MFA) を強制
- パスワードの複雑性要件を強制し、有効期限を設定する
- IAM Credential Report を実行して、アカウント内のすべてのユーザーと、パスワード、アクセスキー、MFA デバイスなどのさまざまな認証情報のステータスを一覧表示します
- AWS IAM Access Analyzer を使用して、外部エンティティと共有されている IAM ロールなど、組織とアカウント内のリソースを識別します。 これにより、セキュリティ上のリスクとなる、リソースやデータへの意図しないアクセスを特定できます。
- AWS アカウントとワークロードを保護するために、悪意のあるアクティビティや不正な動作を継続的に監視する AWS GuardDuty の実装を検討してください。
-「EC2 フォレンジックをいつ実施すべきかについて、ビジネス上の決定が必要」
-ログ/アラートを監視し、受信し、それぞれに基づいて行動しているのは誰か?
-アラートが発見されると誰に通知が届きますか?
-広報と法務がプロセスに関与するのはいつですか?
-いつAWS サポートに連絡して助けを求めるのですか?
Amazon Q は複数のコンポーネント/サービスで危険にさらされています。
- チャット — Amazon Q は、AWS サービスの選択、AWS コマンドラインインターフェイス (AWS CLI) の使用法、ドキュメント、ベストプラクティスに関する質問など、AWS に関する自然言語の質問に英語で回答します。 Amazon Q からの返答には、情報の概要またはステップバイステップの説明、および情報源へのリンクが含まれます。
- メモリ — Amazon Q は、会話のコンテキストを使用して、会話中の今後の応答を通知します。
- コードの改善とアドバイス — IDE 内では、Amazon Q はソフトウェア開発に関する質問に答えたり、コードを改善したり、新しいコードを生成したりできます。
- トラブルシューティングとサポート — Amazon Q は、AWS マネジメントコンソールのエラーを理解するのに役立ちます。また、AWS の質問や問題にライブで対応する AWS サポートエージェントへのアクセスを提供します。
- お客様からのフィードバック — Amazon Q は、フィードバックフォームを通じて送信された情報やフィードバックを使用して、サポートを提供したり、技術的な問題を解決したりします。
- Q はすべての地域 (2024-05-22) ではご利用いただけません。 現在のリージョンでの提供状況については、[開発者ガイド] (https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/regions.html) を参照してください。
- モデル呼び出しロギングは、現在 Q の機能ではありません。今後追加される予定です。 これは地域レベルの設定であり、デフォルトではありません。
- エンドポイント:
- Q ビジネス (開発者): qbusiness.amazonaws.com
- Q チャット:q.amazonaws.com
以下の表にリストされているイベント名は、Q に関連するセキュリティイベントの調査中に CloudTrail で一般的に見られるイベントの種類のクイックリファレンスです。表にリストされているイベントのうち、通常のモデル使用時に記録される最も一般的なイベント名は次のとおりです。
GetConversation会話を開始する索引を取得リトリーバーを一覧表示するアプリケーションを取得
| ** イベント名** | ** 説明** |
|---|---|
| 一般的な権限 | --- |
getConversation |
Amazon Q との特定の会話に関連する個々のメッセージを取得する権限を付与します |
getTroubleshootingResults |
Amazon Q でトラブルシューティング結果を取得する権限を付与する |
メッセージ送信 |
Amazon Q にメッセージを送信する権限を付与します |
会話開始 |
Amazon Q との会話を始めるためのアクセス権限を付与します |
トラブルシューティング分析を開始 |
トラブルシューティング分析を開始する Amazon Q でトラブルシューティング分析を開始する権限を付与する |
トラブルシューティングの開始/解決方法の説明 |
Amazon Qでトラブルシューティングと解決方法の説明を開始する権限を付与します |
| --- | --- |
| アプリケーションの作成 | -------- |
CreateApplication |
アプリケーションを作成する権限を付与 |
DeleteApplication |
アプリケーションを削除する権限を付与する |
getApplication |
アプリケーションを取得する権限を付与する |
ListApplications |
アプリケーションを一覧表示する権限を付与する |
UpdateApplication |
アプリケーションを更新する権限を付与 |
| --- | --- |
| インデックスの作成 | -------- |
CreateIndex |
特定のアプリケーションのインデックスを作成する権限を付与する |
DeleteIndex |
インデックスを削除する権限を付与する |
getIndex |
インデックスを取得する権限を付与する |
ListIndices |
アプリケーションのインデックスを一覧表示する権限を付与する |
UpdateIndex |
インデックスを更新する権限を付与する |
| --- | --- |
| レトリーバーの作成 | -------- |
CreateRetriever |
特定のアプリケーションのレトリーバーを作成する権限を付与する |
DeleteRetriever |
レトリーバーを削除する権限を付与する |
GetRetriever |
レトリーバーを取得する権限を付与する |
ListRetrievers |
アプリケーションのレトリバーを一覧表示する権限を付与する |
UpdateRetriever |
レトリーバーを更新する権限を付与する |
| --- | --- |
| データソースの接続 | -------- |
CreateDataSource |
特定のアプリケーションとインデックスのデータソースを作成する権限を付与します |
DeleteDataSource |
データソースを削除する権限を付与する |
getDataSource |
データソースを取得する権限を付与する |
ListDataSources |
アプリケーションとインデックスのデータソースを一覧表示する権限を付与します |
UpdateDataSource |
データソースを更新する権限を付与する |
StartDataSourceSyncJobs |
データソース同期ジョブを開始する権限を付与 |
StopDataSourceSyncJobs |
データソース同期ジョブを停止する権限を付与 |
ListDataSourceSyncJobs |
データソース同期ジョブ履歴を取得する権限を付与 |
| --- | --- |
| ドキュメントのアップロード | -------- |
BatchPutDocument |
ドキュメントを一括入力する権限を付与 |
BatchDeleteDocument |
ドキュメントを一括削除する権限を付与 |
| --- | --- |
| チャットと会話の管理 | -------- |
Chat |
アプリケーションを使用してチャットする権限を付与する |
chatSync |
アプリケーションを使用して同期的にチャットする権限を付与する |
会話の削除 |
会話を削除する権限を付与する |
ListConversations |
アプリケーションのすべての会話を一覧表示する権限を付与する |
ListMessages |
すべてのメッセージを一覧表示する権限を付与 |
| --- | --- |
| ユーザーとグループの管理 | -------- |
CreateUser |
ユーザーを作成する権限を付与する |
DeleteUser |
ユーザーを削除する権限を付与する |
getUser |
ユーザーを取得する権限を付与する |
UpdateUser |
ユーザーを更新する権限を付与する |
PutGroup |
ユーザーのグループを登録する権限を付与する |
DeleteGroup |
グループを削除する権限を付与する |
getGroup |
グループを取得する権限を付与する |
ListGroups |
グループを一覧表示する権限を付与する |
| --- | --- |
| プラグイン | -------- |
CreatePlugin |
特定のアプリケーションのプラグインを作成する権限を付与する |
DeletePlugin |
プラグインを削除する権限を付与する |
getPlugin |
プラグインを取得する権限を付与する |
UpdatePlugin |
プラグインを更新する権限を付与する |
| --- | --- |
| ***管理者用コントロールとガードレール *** | -------- |
UpdateChatControlsConfiguration |
アプリケーションのチャットコントロール設定を更新する権限を付与する |
ChatControlsConfiguration |
アプリケーションのチャットコントロール設定を削除する権限を付与する |
getChatControlsConfiguration |
アプリケーションのチャットコントロール設定を取得する権限を付与する |
デフォルトでは、CloudTrail はデータイベントをログに記録しません。 以下は、データイベントとして CloudTrail に記録された Amazon Q API オペレーションを示しています。 データイベントタイプ (コンソール) 列には、CloudTrail コンソールの適切な選択が表示されます。 Amazon Q リソースタイプ列には、リソースのデータイベントをログに記録するために指定する resources.type 値が表示されます。 詳細については、[Q ユーザーガイド] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/logging-using-cloudtrail.html) を参照してください。
Amazon Q ビジネスアプリケーション: AWS:: ビジネス:: アプリケーション
- データソース同期ジョブを一覧表示する
- データソース同期ジョブを開始する
- データソース同期ジョブを停止
- 文書のバッチプット
- 文書の一括削除
- フィードバックを送信
- チャットシンク
- 会話を削除
- 会話を一覧表示する
- メッセージを一覧表示する
- グループを一覧表示する
- グループを削除
- グループを取得
- PUT (グループ)
- ユーザーを作成
- ユーザー削除
- ユーザーを取得
- ユーザーを更新
- 文書を一覧表示する
Amazon Q ビジネスデータリソース: AWS:: Qビジネス:: データソース
- データソース同期ジョブを一覧表示する
- データソース同期ジョブを開始する
- データソース同期ジョブを停止
Amazon Q ビジネスインデックス: AWS:: Qビジネス:: インデックス
- グループを削除
- グループを取得
- PUT (グループ)
- リストグループ
- 文書を一覧表示する
- 文書のバッチプット
- 文書の一括削除
インシデントが発生した場合、侵害の兆候、脅威アクター、時間枠などを調査することに加えて、これが Amazon Q リソースに関連するインシデントであることが確認されたら、考慮すべきその他の質問がいくつかあります。
- どのようなリソースが作成され、削除されたか。
- どのプラグインが使われましたか?
- セキュリティインシデント発生時、Q はどのアプリケーションにアクセスできましたか?
- これらのアプリケーションには Q がアクセスしたのですか?
- Q にはどのような種類のファイルがアップロードされましたか。
- Q はどの IDE 環境にもアクセスできますか?
- [IAM ユーザーキーの削除またはローテーション] (https://console.aws.amazon.com/iam/home#users) と [Root ユーザーキー] (https://console.aws.amazon.com/iam/home#security_credential)。公開された特定のキーを特定できない場合は、アカウント内のすべてのキーをローテーションすることをお勧めします
- [権限のない IAM ユーザーを削除する] (https://console.aws.amazon.com/iam/home#users.)
- [不正なポリシーを削除] (https://console.aws.amazon.com/iam/home#/policies)
- [権限のないロールを削除] (https://console.aws.amazon.com/iam/home#/roles)
- [一時的な認証情報を取り消す] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time)。 一時的な認証情報は、IAM ユーザーを削除することで取り消すこともできます。
- 注:IAM ユーザーの削除は本番環境のワークロードに影響する可能性があるため、注意して行う必要があります
- [SMTP 認証情報のローテーション] (https://aws.amazon.com/premiumsupport/knowledge-center/ses-create-smtp-credentials/)
- [Amazon Q アプリケーションを削除する方法] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-app-actions.html)
- [Amazon Q レトリバーの削除方法] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-native-retriever-actions.html)
- [Amazon Q Kenra Retrieverを削除する方法] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-kendra-retriever-actions.html)
- [アップロードしたドキュメントを削除する方法] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/delete-doc-upload.html)
- [Amazon Q データソースを削除する方法] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-datasource-actions.html)
- [Amazon ウェブエクスペリエンスを削除する方法] (https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/supported-exp-actions.html)
- 最小権限のアクセスポリシーで新しい IAM ユーザーを作成
- 顧客のメールアドレスなどの機密情報や機密情報をタグや名前フィールドなどの自由形式のテキストフィールドに入れないでください。 これには、コンソール、API、AWS CLI、または AWS SDK を使用して Amazon Q またはその他の AWS サービスを操作する場合も含まれます。 タグや名前に使われる自由形式のテキストフィールドに入力したデータは、すべて請求ログや診断ログとして使用できます。
- Amazon Q は、質問とその回答、および追加のコンテキスト (コンソールのメタデータや IDE のコードなど) を保存して、質問に対する回答を生成します。
- Amazon Q では、データは米国リージョンに送信され、そこで保存されます。 Amazon Q との会話中に収集されたデータは、米国東部 (バージニア北部) リージョンに保存されます。 コンソールエラーセッションのトラブルシューティング中に収集されたデータは、米国西部 (オレゴン) リージョンに保存されます。
-
AmazonQFullAccess管理ポリシーは、Amazon Qとのやりとりを可能にするフルアクセスを提供します。すべての管理者とパワーユーザーはデフォルトでアクセス権を持っていますが、他のユーザーとロールについては、お客様がAWS Q管理ポリシーを添付する必要があります。 アクセス権限は Amazon Q アクションに基づいて制限できます。 -
AWS コンソールで Amazon Q に質問するには、IAM ID に以下のアクションを実行するためのアクセス権限が必要です。
-
会話を始める [例:「Q: 会話の開始"]
-
メッセージを送信
-
Amazon Q のコンソールエラーをトラブルシューティングするには、IAM ID に以下のアクションのアクセス権限が必要です。
-
トラブルシューティング/分析を開始する
-
トラブルシューティング結果を取得
-
トラブルシューティングと分析を開始する
-
これらのアクションのいずれかが添付されたポリシーで明示的に許可されていない場合、Amazon Q を使用しようとすると IAM アクセス権限エラーが返されます。
ここは、必ずしも「修正」する必要はないが、このプレイブックを運用上およびビジネス上の要件と並行して実行する際に知っておくべき、企業固有の項目を追加する場所です。