SCSC03-IR#1
Amazon GuardDuty が、本番稼働中の Amazon EC2 インスタンスでマルウェアの検出結果を報告しました。フォレンジック証拠を保全しつつ、稼働を維持したまま封じ込めを行う必要があります。次の候補から該当するものだけを選び、実施すべき順に 3 ステップを並べてください(使用しない候補があります)。
ステップ 1
ステップ 2
ステップ 3
解説
【正しい順序】
- ステップ 1: 揮発性メモリを保全するため、インスタンスを稼働させたまま隔離用セキュリティグループに切り替えて分離する。
- ステップ 2: フォレンジック調査用に、インスタンスの Amazon EBS ボリュームのスナップショットを取得する。
- ステップ 3: インスタンスのメタデータにインシデント追跡情報(チケット番号など)をタグ付けする。
【ポイント】
マルウェア感染が疑われる EC2 インスタンスへの初動では、フォレンジック証拠の保全と封じ込めを両立させることが重要です。まず、揮発性メモリ(RAM 上の情報)は電源を切ると失われるため、インスタンスは停止せず稼働させたまま、隔離用のセキュリティグループへ切り替えて通信を遮断し、脅威の拡大を防ぎます。次に、非揮発性の証拠として EBS ボリュームのスナップショットを取得し、後続の解析用に不変のコピーを確保します。最後に、対応の追跡性を担保するため、インスタンスのメタデータにインシデントのチケット番号などをタグ付けします。即時停止やボリュームのデタッチを先に行うと揮発性メモリが失われ、抑制ルールの追加は真の脅威に対しては不適切で、封じ込めをしない選択は被害を拡大させます。

コメント