忙しい人のためのセキュリティ・インテリジェンス No.40 - 2021/06/28

#忙しい人のためのセキュリティ・インテリジェンス_バックナンバー

今週のおすすめ/一言所管

Microsoft

AzureAD

Defender

Vulnerability management for Linux now generally available

MDfE、LinuxサポートがGA

Red Hat, Ubuntu, CentOS, SUSE, and Oracleが対象。 Debianがcoming soon

Sentinel

Log Analytics Query packs

Query packによるクエリのパッケージ化。ARMオブジェクトなので権限等もつけやすいよ

How to easily generate test Incidents in Azure Sentinel using Microsoft Cloud App Security

mcasとsentinel連携を確認するためのテスト手法。mcasのトークンを作るだけ。

Azure Sentinel Alert Grouping Upgraded to Include New Entity Types, Custom Fields, and More

アラートをグルーブ（ip, host account）する事でインシデントを抑制する

sentinel-training

sentinelの非公式トレーニング。仮データの投入から実際のツール利用方法までレクチャー

Azure Sentinel: Notifications of New Detection Rules

新しい検知ルールが提供されたときに通知する仕組みが公式にない

だからlaybook作ったお

Compliance

Intune/Windows10

Use Intune Proactive Remediation + Azure Automation + Power BI to create a report of devices local admin

Endpoint Analytics/Proactive Remediationを使ったスクリプトのデプロ胃、付与するAPIの設定, 定期実行するためのAutomation account作成が一覧化されてるので、色々参考になりそう

他

AWS

IAM Access Analyzer adds new policy checks to help validate conditions during IAM policy authoring

access analyzerがconditionをチェックするように

Tag Tamer

aws公式のタグ管理アプリ。よさそう

cfスタックなのでいらないと思われるコンポーネントもある

Configure GitHub Actions workflows with a new GitHub Action for building serverless applications

AwS samがGitHub action化

AWSのシステムデザイン時のデザインドキュメントにいれる項目

参考になる

https://gyazo.com/96272324589b0e270cf243015459555e

Google

トラスト/ガバナンス

マイナンバーとマイナンバーカードの違い

違いが簡潔にまとめられてある

ゼロトラストの現状調査と事例分析に関する調査報告書

金融庁による（PwCが作成した）ゼロトラスト調査報告書

ぱっとみ、IPAの「ゼロトラストという戦術の使い方」みたいな章立て。トラストアルゴリズムの設計と継続的な改善がちっと面白かった

ブロックチェーン/Confidential Computing

脅威/脆弱性/インシデント

Dial 'T' for Tech Support Fraud

テックサポートを装うフィッシング攻撃があるけど、そもそもMicrosoftから直接聞きにいくことはねーからとアピール。

サポートに聞きに行く前にまず再起動しろ、大体直るから、って公式podcastで言うの面白い

CISA Bad Practices

CISAがサイバーセキュリティにおけるバッドプラクティスリストを作成中。

現時点では、次があげられている

1) EOLを迎えたりサポートされてないソフトウェアの利用

2) デフォ・弱いパスワードやクレデンシャルの利用が　

ハッキング経験を安全性向上と信頼回復につなげる--SolarWindsが日本に説明

検知的な意味では正当でないワークロードの実行も見る必要がある。でも、攻撃者はなんでわざわざ仮想サーバ立てたんだろ

2019年9月12日：攻撃者がマルウェア「Sunspot」を使って、Orion Platformをビルドするための一時的な仮想マシンにマルウェアのテストコード

金融

(有料) 令和版・金融システム、「今こそ再構築を」

貯蓄から投資へ、が謳われた頃から時間も経ってるし、その理論と目的の再構築が必要なんちゃう？という記事。

(有料) オフィス再開のウォール街、現場で見た光と影

米金融機関はオフィス出勤復帰の流れ。ワクチン接種も摂取状況の提出のみだったり、摂取が義務化されたりなど様々

不正摘発が大幅減　監視委の蛮勇どこに

市場の万人である証券取引等監視委員会

が、最近、摘発件数もさがっている。その要因は若手不足、検察とのライバル関係からの弱体化、敗訴率の増加

縦割り行政の限界露呈　資金洗浄の国際審査「不合格」

国際組織「金融活動作業部会」（FATF）の審査で、日本が実質的な「不合格」となった

観察対象ではなく、重点フォローアップ

行政: マネロン系違法行為の罰則厳格化や、行政によるマネロン対策検査などに課題

金融機関: 顧客情報や取引内容などの継続的な顧客管理、キャッシュレス決済など業態に応じたリスク対応

うわああ。厳しくなるぞ...

FinTechスタートアップ企業さまの短期的な運転資金ニーズに応える新サービス「GMOあおぞら立替払い」を6月28日より開始　ビジネスの加速・成長を支援するスマートな資金調達手段

行政/会社/団体

都税収入見える化ダッシュボード

東京都の税収がインタラクティブにダッシュボード化されてる

法人事業税の決算額推移が、業種別所得金額の総計にあわないような...

Microsoft BIで作られてる

政府CIOポータル標準ガイドライン群

行政のサービス・業務改革に伴う政府情報システムの整備及び管理の共通ルール・ガイドライン

ここに「行政サービス・データ連携モデル」が追加

ツール/サービス/OSS

Code scanning: Diagnostic information is available!

GitHubのCode ScanとCodeQLが全言語を対象に。

分析時はまずコードをもとにしたCodeQL DBが生成され、それがCodeQLにクエリされる

分析時の情報が提供されるようになった

例: コード内の行数う、データベースに使われた行数、そのうち自動生成や外部ライブラリの行数等

FIDO U2F/PKCS#11対応で4つの鍵が管理できるセキュリティキー

SHALO AUTH。SSH/VPN接続にも使える。ちょっと気になる

Yubikeyは４つだしな....

Announcing the Google Workspace Provider for HashiCorp Terraform Tech Preview

g workspace のオフィシャルなTerraform Provider

IdPとのプロビジョニング統合は弱い（特にグループ）気がするのでありがたい

Providerを見たところ基本的にUserやGroupの作成

OTRF/Security-Datasets

セキュリティ系オープンデータセットプロジェクトだっとMordorが名前をSecDatasetsに変更

GitHub Actions: Setup-node now supports dependency caching

GitHub action のnodeセットアップがyarnとnpmのキャッシングをサポート。ええやん

イベント/勉強会/発表資料

(IPA)ゼロトラストという戦術の使い方

NIST-SP800-207をベースに、各種構成要素（サービス製品群？）とパターン別実装ケースが紹介されてる

Explain to me Go Concurrency Worker Pool Pattern like I’m five

Goで並列処理を使ったワーカープールオーケストレーションを実装するデザイン

Add newsletter signup

ニュースレター登録機能をgoで作る。テストあり。フロントはAdd newsletter signup

決済システムの残高管理周りの DB 設計と戦略

Kanmu社のDB設計と戦略

とても勉強になる

ざっくりとしたオーソリとクリアリングの流れ

それに応じたテーブルとSchema

残高テーブルを独自に用意しなかった背景と、残高算出クエリとパフォーマンス比較

データ量が増えたときの戦略

その他