GurdDuty調査

ICT

2019/3/4現在、GuardDuty調査

GurdDuty調査

正式名称は「Amazon GuardDuty」で、インテリジェントな脅威検出サービス
悪意のある操作や不正な動作を継続的にモニタリングし AWS アカウントとワークロードを保護する

AWS CloudTrail (アカウント内の AWS ユーザーと API アクティビティ)、Amazon VPC フローログ (ネットワークトラフィックデータ)、DNS ログ (名前のクエリパターン) から、AWS アカウント全体で数十億件のイベントを分析する

機能の整理

  • AWS アカウントとワークロードを保護するために悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービス
    • アカウント侵害の可能性を示す異常な API コールや不正なデプロイなどのアクティビティをモニタリング
    • インスタンスへの侵入の可能性
    • 攻撃者による偵察も検出

GuardDutyの結果タイプ

脅威攻撃内容タイプ
BackdoorAWS リソースが攻撃を受けていることを検出Backdoor:EC2/XORDDOS、Backdoor:EC2/Spambot、Backdoor:EC2/C&CActivity.B!DNS
Behavior特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンが検出Behavior:EC2/NetworkPortUnusual、Behavior:EC2/TrafficVolumeUnusual
Cryptocurrencyビットコインなどの暗号通貨に関連付けられたソフトウェアが検出CryptoCurrency:EC2/BitcoinTool.B!DNS、CryptoCurrency:EC2/BitcoinTool.B
PentestAWS アプリケーションに対して意図的にテストPenTest:IAMUser/KaliLinux、PenTest:IAMUser/ParrotLinux、PenTest:IAMUser/PentooLinux
Persistence (永続性)AWS 環境のプリンシパルが確立されたベースラインとは異なる動作を行っていることを示すPersistence:IAMUser/NetworkPermissions、Persistence:IAMUser/ResourcePermissions、Persistence:IAMUser/UserPermissions
PolicyAWS アカウントがセキュリティに関して推奨されたベストプラクティスに反する動作を行っていることを示すPolicy:IAMUser/RootCredentialUsage
Recon偵察攻撃が進行中であり、ポートを調査したり、ユーザーやデータベーステーブルをリストアップしたりするなど、AWS 環境の脆弱性を探そうとしていることを示すRecon:EC2/PortProbeUnprotectedPort、Recon:IAMUser/TorIPCaller、Recon:IAMUser/MaliciousIPCaller.Custom、Recon:IAMUser/MaliciousIPCaller、Recon:EC2/Portscan、Recon:IAMUser/NetworkPermissions、Recon:IAMUser/ResourcePermissions、Recon:IAMUser/UserPermissions
ResourceConsumptionAWS 環境のプリンシパルが確立されたベースラインとは異なる動作を行っていることを示すResourceConsumption:IAMUser/ComputeResources
Stealth攻撃のアクションや形跡を巧みに隠そうとしていることを示すStealth:IAMUser/PasswordPolicyChange、Stealth:IAMUser/CloudTrailLoggingDisabled、Stealth:IAMUser/LoggingConfigurationModified
Trojan悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示すTrojan:EC2/BlackholeTraffic、Trojan:EC2/DropPoint、Trojan:EC2/BlackholeTraffic!DNS、Trojan:EC2/DriveBySourceTraffic!DNS、Trojan:EC2/DropPoint!DNS、Trojan:EC2/DGADomainRequest.B、Trojan:EC2/DGADomainRequest.C!DNS、Trojan:EC2/DNSDataExfiltration、Trojan:EC2/PhishingDomainRequest!DNS
UnauthorizedAccess承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが検出されたことを示すUnauthorizedAccess:IAMUser/TorIPCaller、UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom、UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B、UnauthorizedAccess:IAMUser/MaliciousIPCaller、UnauthorizedAccess:EC2/TorIPCaller、UnauthorizedAccess:EC2/MaliciousIPCaller.Custom、UnauthorizedAccess:EC2/SSHBruteForce、UnauthorizedAccess:EC2/RDPBruteForce、UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration、UnauthorizedAccess:IAMUser/ConsoleLogin、UnauthorizedAccess:EC2/TorClient、UnauthorizedAccess:EC2/TorRelay
Amazon GuardDuty の機能 – アマゾン ウェブ サービス (AWS)
Amazon GuardDuty の機能について説明します。セキュリティチームは脅威を検出することではなく、検出された悪質なアクティビティや不正なアクティビティを、攻撃が進化する前に拒否、破壊、修正することに集中できます。

GuardDutyの設定について

初期の設定としてはGuardDutyを有効にするか否かです。

GuardDutyを有効にすれば、CloudTrail、VPCフローログおよびDNSログからイベント分析し脅威を検出するようになります。

面白いところでは、VPCフローログを設定していなくてもVPCを利用しているとVPCフローログも分析してくれるところです。

逆にいうと細かい費用うんぬんかんぬん言うより入れとけっ!みたいな感じです。

ICT
シェア大歓迎です!この記事が役に立ったらシェアしてください!
Yutaka HOKARIをフォローする

広告

スポンサーリンク
スポンサーリンク
| HOKARI's Eye sense/design/code