ラボの概要

あなたは最近、AnyCompany 初のネットワークセキュリティエンジニアとして採用されました。最初のセキュリティ監査を行ったところ、組織のネットワークトラフィックの可視性が不十分であるという結論に至りました。また、AnyCompany の EC2 インスタンスの 1 つまたは複数がマルウェアに感染している可能性があることも懸念しています。これらの提案に基づき、AWS Network Firewall と Route 53 Resolver DNS を組み合わせて使用するネットワークアーキテクチャを実装して、以下を行うように依頼されました。

ステートフルファイアウォールのルールを使用して、出力ウェブフィルタリングを適用する。
DNS トラフィックをモニタリングする。
侵害されたと思われる EC2 インスタンスを特定する。

このラボでは、ドメインリスト、ルールグループ、モニタリングを組み合わせて VPC を保護し、一連の不正な EC2 インスタンスを特定します。

目標

このラボを修了すると、以下ができるようになります。

AWS Network Firewall 内に、Suricata 互換侵入防止システム (IPS) のルール仕様に従うステートフルルールグループを設定する。
マネージド DNS ドメインリストとカスタム DNS ドメインリストを組み合わせて、疑わしいクエリを管理者に警告する DNS ファイアウォールを作成する。
Amazon CloudWatch の Log Insights と Contributor Insights を使用して、不正な EC2 インスタンスを特定する。

技術知識の前提条件

ルーティングおよび DNS に精通していることが推奨されます。また、Linux 環境の Command Line Interface (CLI) の操作に慣れている必要があります。

所要時間

このラボの所要時間は約 90 分です。

アイコンキー

このラボでは、さまざまな種類の手順と注記への注意を促すため、各種アイコンが使用されています。以下のリストは、各アイコンの目的を説明したものです。

注意: 特記事項または重要な情報を表す (この情報を読み忘れても、機器やデータに問題が発生するというわけではありませんが、特定のステップを繰り返す必要が生じる可能性があります)。
コマンド: 実行する必要があるコマンドを表す。
検討: あるコンセプトを自分の環境でどのように応用できるかを考えたり、学習中のトピックについて議論したりする時間。
想定される出力: 出力のサンプルであり、コマンドまたは編集済みファイルの出力を確認するときに使用する。
ヒント: 質問や課題のヒントを表す。
詳細: 詳細情報が記載されている場所を示す。
注意: ヒントや重要なガイダンス。
更新: ウェブブラウザのページやリストを更新して、新しい情報を表示する必要があることを示す。
セキュリティ: セキュリティのベストプラクティスを取り入れる機会。
タスク完了: ラボのまとめや要点を示す。
警告: コマンドやプロセスの失敗に影響を与える可能性のある、元に戻せないアクション (一度設定したら変更できない設定の警告も含む)。