Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GuardDutyを可視化して、君もGuardDutyマスターになろう!
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
cm-usuda-keisuke
July 09, 2024
Technology
2
1.9k
GuardDutyを可視化して、君もGuardDutyマスターになろう!
7/9に実施したClassmethod Odysseyの登壇内容です。
https://classmethod.jp/m/odyssey/
詳細は下記ブログで確認してください。
cm-usuda-keisuke
July 09, 2024
Tweet
Share
More Decks by cm-usuda-keisuke
See All by cm-usuda-keisuke
わたしがセキュアにAWSを使えるわけないじゃん、ムリムリ!(※ムリじゃなかった!?)
cmusudakeisuke
1
500
AWSセキュリティアップデートとAWSを育てる話
cmusudakeisuke
0
490
[読書]AWSゲームブック〜GuardDuty魔神とインシデント対応の旅〜DevIO2025
cmusudakeisuke
0
1.9k
初めてAWSを使うときのセキュリティ覚書〜初心者支部編〜
cmusudakeisuke
1
540
いつの間にか入れ替わってる!?新しいAWS Security Hubとは?
cmusudakeisuke
0
610
Security Hubの利用者調査とお悩み相談をやってます! in JAWS-UG東京
cmusudakeisuke
0
130
新機能Amazon GuardDuty Extended Threat Detectionはネ申って話
cmusudakeisuke
0
1.3k
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
490
ツンデレなGuardDutyをプロデュースして世界一のアイドルにする話
cmusudakeisuke
0
760
Other Decks in Technology
See All in Technology
OCI Security サービス 概要
oracle4engineer
PRO
2
13k
最強のAIエージェントを諦めたら品質が上がった話 / how quality improved after giving up on the strongest AI agent
kt2mikan
0
160
20260311 技術SWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
oidfj
0
290
猫でもわかるKiro CLI(AI 駆動開発への道編)
kentapapa
0
110
トップマネジメントとコンピテンシーから考えるエンジニアリングマネジメント
zigorou
4
840
Claude Codeが爆速進化してプラグイン追従がつらいので半自動化した話 ver.2
rfdnxbro
0
500
JAWS DAYS 2026 楽しく学ぼう!ストレージ 入門
yoshiki0705
2
150
越境する組織づくり ─ 多様性を前提にしたチームビルディングとリードの実践知
kido_engineer
2
190
オレ達はAWS管理をやりたいんじゃない!開発の生産性を爆アゲしたいんだ!!
wkm2
4
500
モブプログラミング再入門 ー 基本から見直す、AI時代のチーム開発の選択肢 ー / A Re-introduction of Mob Programming
takaking22
5
1.3k
タスク管理も1on1も、もう「管理」じゃない ― KiroとBedrock AgentCoreで変わった"判断の仕事"
yusukeshimizu
5
2.6k
Oracle Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
3
1.7k
Featured
See All Featured
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
150
HDC tutorial
michielstock
1
530
Imperfection Machines: The Place of Print at Facebook
scottboms
269
14k
Measuring Dark Social's Impact On Conversion and Attribution
stephenakadiri
1
150
How GitHub (no longer) Works
holman
316
140k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
780
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
310
We Have a Design System, Now What?
morganepeng
55
8k
GitHub's CSS Performance
jonrohan
1032
470k
Designing for humans not robots
tammielis
254
26k
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
100
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
1.9k
Transcript
GuardDutyを可視化して、 君もGuardDutyマスターになろう! 2024/7/9 ハッシュタグ: #cm_odyssey AWS事業本部 ⾅⽥佳祐
Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い
こんにちは、⾅⽥です。 みなさん、 GuardDutyと戯れてますか?(挨拶 3
⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN Ambassador
2024 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective 4 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective
前置きその1 セッションタイトルと 概要をちゃんと確認しましたか? 5
こんなやつ •知る必要がないくら い深い話をしますよ •可視化するための術 をディープダイブし ます 6
ちなみに去年 Findings構造と Typesの分類分 析結果をまとめ た基礎研修結果 の発表でした 7
今回もすごくコアですよ? 覚悟してください 8
このセッションの楽しみ⽅ •GuardDutyマニアの⼈と、とりあえずなんだ かよくわからないけどニッチなことを話して いるのを聞くのが好きな⼈は楽しめるはず •おまけに最近のアップデートとかの話もあり ます 9
合わせて読みたい もう少し広いセキ ュリティ対策はだ いたいここに全部 ある https://dev.classmethod.jp/a rticles/aws-security-all-in- one-2021/ 10
AWSセキュリティ初⼼者向け勉強会 Security-JAWSでは定常的なAWSセキュリティ学習の場として mini Security-JAWSを開催しています だいたい隔週⼟曜⽇10-12時開催 https://s-jaws.doorkeeper.jp/ 11
こちらもご利⽤ください ⽇本語で学習する ためのコンテンツ をまとめています https://mini-study.security.jaws-ug.jp/ 12
前置きその2 今回もなんで コアなテーマなのか? 13
インシデント⾃動調査提供中! GuardDuty の運⽤を ⽀援します https://classmethod.jp/aws/services /auto-investigation/ 14
調査結果の画像⽣成実装しました GuardDutyの 可視化をできる ようにしました 15
弊社サービス提供のためにやっている GuardDuty基礎研究 の成果報告です サービスで観測している結果も報告します 16
アジェンダ •最近のアップデート •最近のGuardDutyの観測状況 •GuardDutyの可視化 17
最近のアップデート 18
アップデート⼀覧 •EBSマルウェアスキャンのAWS管理キー対応 •ランタイムモニタリング機能の共有VPC対応 •GetUsageStatistics APIにRDSの使⽤率追加 •EC2ランタイム保護のリリース •2TiBまでEBSマルウェアスキャン対応 •Malware Protection for
Amazon S3リリース •RDS ProtectionのRDS for PostgreSQL対応 •EC2ランタイム保護でUbuntuとDebian対応 19
EBSスキャンAWS管理キー対応 すべてのEBSに 対してスキャン できるようにな った https://dev.classmethod.jp/articles/guarddut y-malwarescan-support-aws-managed-key/ 20
ランタイムの共有VPC対応 Shared VPCで も利⽤できる ようになった https://dev.classmethod.jp/articles/gu ardduty-runtime-monitoring-now- supports-shared-vpcs/ 21
GetUsageStatisticsのRDS対応 RDSの利⽤料も APIで取得でき る https://dev.classmethod.jp/articles/guar dduty-getusagestatistics-add-rds/ 22
EC2ランタイム保護のリリース EC2にエージェントを⼊れて詳細スキャンできる 23 https://dev.classmethod.jp/articles/guardduty-ec2-runtime-monitoring-ga/
2TiBまでEBSスキャン対応 1TiBから2TiBに 増えました https://dev.classmethod.jp/ articles/update-guardduty- malware-scan-to-2tib/ 24
S3のマルウェアスキャン re:Inforce 2024でリリースされた 25 https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/
S3マルウェア保護は新しい仕組み •オプションの機能だけど、これまでと扱いが違う •追加でS3を指定して組み込む •アプリケーション要件として利⽤する 26
S3イベントを使ったパターン例 •マルウェアを検出したら削除 •マルウェアを検出したら隔離 27
RDS for PostgreSQL対応 不正ログインの 検出ができる 既存はAurora MySQLと Aurora PostgreSQL https://dev.classmethod.jp/articles/
update-guarduty-rds-protection-to- rds-for-postgresql/ 28
UbuntuとDebian対応 現状の対応OS • Amazon Linux 2 • Amazon Linux 2023
• Ubuntu 20.04 • Ubuntu 22.04 • Debian 11 • Debian 12 https://dev.classmethod.jp/articles/guarddu ty-ec2-runtime-support-ubuntu-and-debian/ 29
最近のGuardDutyの 観測状況 30
直近1年くらいのFindings割合 31 主要なよくある Findingsのみ
Recon:EC2/PortProbeUnprotectedPort ポートプローブされていて 保護されていないポート22 / 3389などがあると検出 利⽤者傾向により減った 32
DefenseEvasion:EC2/UnusualDNSResolver パブリックDNSで過検知 しやすい 8.8.8.8など ここ1年ぐらい増えている 33
Trojan:EC2/DGADomainRequest.B DGAで作られたドメイ ンに対するクエリを検 出する たまにWindows Server の謎検出がある 34
Behavior:EC2/NetworkPortUnusual ぼちぼち検出される スポット作業をしたEC2 などの正常系を過検知 することが多い 35
アノマリ系 •Discovery:IAMUser/AnomalousBehavior ◦最近⽐較的多い ◦Describe系で過検知される傾向 •Exfiltration:S3/AnomalousBehavior ◦Athena/Glueなど •Discovery:S3/AnomalousBehavior ◦実際の利⽤者 36
GuardDutyの可視化 37
本題 •GuardDuty可視化の概要 •可視化する主要な項⽬ •可視化のポイント 38
そもそもGuardDutyの可視化いる? Amazon Detective でも可視化 できる 39
Detective可視化の⽋点 •Finding Groupsでしか作れない ◦複数の検出の関連性を解決する⽤途 •⽣成に時間がかかる •単体のFindingsでは作れない 40
GuardDuty可視化のモチベーション •GuardDutyの検出時に すぐに状況を把握した い •簡易的でいいので直感 的に関係性を理解でき るようにしたい 41
可視化の⼿法 •Vis.jsを利⽤してグラフ⽣成 •Finding Types毎定義ファイルを作成 42
可視化する項⽬ •基本は2つのエンティティ ◦発⽣した事象の送信元と送信先 •外部はIPや国など •内部はリソース関連情報 •直感的に理解したいのでAWSのアイコンを並べた い •エンティティ間の関連性も知りたい 43
可視化の例 •リソースアイコンがあれ ばそれを使う •どちらの⽅向に通信した かは重要 •インスタンス名などIDじ ゃない⼈間が識別できる 情報が必要 44
Detectiveのメリット •ログの集計とクエリ •ロケーションの可視化 •関連性を解決しドリルダウンできる 45
可視化のポイント •配置を固定する ◦上は外部 ◦下は内部 ◦Nodeをfixedオプショ ンで固定し座標指定 46
可視化のポイント •アイコンを切り替える ◦Findingsによっては対象リ ソースが動的に変わる ◦Action -> ServiceNameか らサービスの種類を判断 47
可視化のポイント •⽮印を動的に変更する •ActionTypeが NETWORK_CONNECTION の場合に ConnectionDirectionで通 信の⽅向を確認する 48
まとめ 49
まとめ •GuardDutyの運⽤するならGuardDutyの可 視化はよいぞ •Detectiveも使おう •とにかくGuardDutyを使おう! 50
None
None
cmusudakeisuke
oracle4engineer
kt2mikan
.png){kind=avatar}
oidfj
kentapapa
zigorou
rfdnxbro
yoshiki0705
kido_engineer
wkm2
takaking22
yusukeshimizu
nikkihalliwell
michielstock
scottboms
stephenakadiri
holman
bluesmoon
mfonobong
morganepeng
jonrohan
tammielis
techseoconnect
aleyda
