2019/3/4現在、GuardDuty調査
GurdDuty調査
正式名称は「Amazon GuardDuty」で、インテリジェントな脅威検出サービス
悪意のある操作や不正な動作を継続的にモニタリングし AWS アカウントとワークロードを保護する
AWS CloudTrail (アカウント内の AWS ユーザーと API アクティビティ)、Amazon VPC フローログ (ネットワークトラフィックデータ)、DNS ログ (名前のクエリパターン) から、AWS アカウント全体で数十億件のイベントを分析する
機能の整理
- AWS アカウントとワークロードを保護するために悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービス
- アカウント侵害の可能性を示す異常な API コールや不正なデプロイなどのアクティビティをモニタリング
- インスタンスへの侵入の可能性
- 攻撃者による偵察も検出
GuardDutyの結果タイプ
| 脅威攻撃 | 内容 | タイプ |
|---|---|---|
| Backdoor | AWS リソースが攻撃を受けていることを検出 | Backdoor:EC2/XORDDOS、Backdoor:EC2/Spambot、Backdoor:EC2/C&CActivity.B!DNS |
| Behavior | 特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンが検出 | Behavior:EC2/NetworkPortUnusual、Behavior:EC2/TrafficVolumeUnusual |
| Cryptocurrency | ビットコインなどの暗号通貨に関連付けられたソフトウェアが検出 | CryptoCurrency:EC2/BitcoinTool.B!DNS、CryptoCurrency:EC2/BitcoinTool.B |
| Pentest | AWS アプリケーションに対して意図的にテスト | PenTest:IAMUser/KaliLinux、PenTest:IAMUser/ParrotLinux、PenTest:IAMUser/PentooLinux |
| Persistence (永続性) | AWS 環境のプリンシパルが確立されたベースラインとは異なる動作を行っていることを示す | Persistence:IAMUser/NetworkPermissions、Persistence:IAMUser/ResourcePermissions、Persistence:IAMUser/UserPermissions |
| Policy | AWS アカウントがセキュリティに関して推奨されたベストプラクティスに反する動作を行っていることを示す | Policy:IAMUser/RootCredentialUsage |
| Recon | 偵察攻撃が進行中であり、ポートを調査したり、ユーザーやデータベーステーブルをリストアップしたりするなど、AWS 環境の脆弱性を探そうとしていることを示す | Recon:EC2/PortProbeUnprotectedPort、Recon:IAMUser/TorIPCaller、Recon:IAMUser/MaliciousIPCaller.Custom、Recon:IAMUser/MaliciousIPCaller、Recon:EC2/Portscan、Recon:IAMUser/NetworkPermissions、Recon:IAMUser/ResourcePermissions、Recon:IAMUser/UserPermissions |
| ResourceConsumption | AWS 環境のプリンシパルが確立されたベースラインとは異なる動作を行っていることを示す | ResourceConsumption:IAMUser/ComputeResources |
| Stealth | 攻撃のアクションや形跡を巧みに隠そうとしていることを示す | Stealth:IAMUser/PasswordPolicyChange、Stealth:IAMUser/CloudTrailLoggingDisabled、Stealth:IAMUser/LoggingConfigurationModified |
| Trojan | 悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示す | Trojan:EC2/BlackholeTraffic、Trojan:EC2/DropPoint、Trojan:EC2/BlackholeTraffic!DNS、Trojan:EC2/DriveBySourceTraffic!DNS、Trojan:EC2/DropPoint!DNS、Trojan:EC2/DGADomainRequest.B、Trojan:EC2/DGADomainRequest.C!DNS、Trojan:EC2/DNSDataExfiltration、Trojan:EC2/PhishingDomainRequest!DNS |
| UnauthorizedAccess | 承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが検出されたことを示す | UnauthorizedAccess:IAMUser/TorIPCaller、UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom、UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B、UnauthorizedAccess:IAMUser/MaliciousIPCaller、UnauthorizedAccess:EC2/TorIPCaller、UnauthorizedAccess:EC2/MaliciousIPCaller.Custom、UnauthorizedAccess:EC2/SSHBruteForce、UnauthorizedAccess:EC2/RDPBruteForce、UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration、UnauthorizedAccess:IAMUser/ConsoleLogin、UnauthorizedAccess:EC2/TorClient、UnauthorizedAccess:EC2/TorRelay |
特徴 - Amazon GuardDuty | AWS
Amazon GuardDuty は、AWS リソースの悪意のあるアクティビティや不正な動作をモニタリングするための、包括的な脅威検出機能を提供します。
aws.amazon.com
GuardDutyの設定について
初期の設定としてはGuardDutyを有効にするか否かです。
GuardDutyを有効にすれば、CloudTrail、VPCフローログおよびDNSログからイベント分析し脅威を検出するようになります。
面白いところでは、VPCフローログを設定していなくてもVPCを利用しているとVPCフローログも分析してくれるところです。
逆にいうと細かい費用うんぬんかんぬん言うより入れとけっ!みたいな感じです。
