GuardDutyを可視化して、君もGuardDutyマスターになろう！

Transcript

1. GuardDutyを可視化して、 君もGuardDutyマスターになろう！ 2024/7/9 ハッシュタグ: #cm_odyssey AWS事業本部 ⾅⽥佳祐

2. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

3. こんにちは、⾅⽥です。 みなさん、 GuardDutyと戯れてますか？(挨拶 3

4. ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN Ambassador

   2024 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective 4 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

5. 前置きその1 セッションタイトルと 概要をちゃんと確認しましたか？ 5

6. こんなやつ •知る必要がないくら い深い話をしますよ •可視化するための術 をディープダイブし ます 6

7. ちなみに去年 Findings構造と Typesの分類分 析結果をまとめ た基礎研修結果 の発表でした 7

8. 今回もすごくコアですよ？ 覚悟してください 8

9. このセッションの楽しみ⽅ •GuardDutyマニアの⼈と、とりあえずなんだ かよくわからないけどニッチなことを話して いるのを聞くのが好きな⼈は楽しめるはず •おまけに最近のアップデートとかの話もあり ます 9

10. 合わせて読みたい もう少し広いセキ ュリティ対策はだ いたいここに全部 ある https://dev.classmethod.jp/a rticles/aws-security-all-in- one-2021/ 10

11. AWSセキュリティ初⼼者向け勉強会 Security-JAWSでは定常的なAWSセキュリティ学習の場として mini Security-JAWSを開催しています だいたい隔週⼟曜⽇10-12時開催 https://s-jaws.doorkeeper.jp/ 11

12. こちらもご利⽤ください ⽇本語で学習する ためのコンテンツ をまとめています https://mini-study.security.jaws-ug.jp/ 12

13. 前置きその２ 今回もなんで コアなテーマなのか？ 13

14. インシデント⾃動調査提供中！ GuardDuty の運⽤を ⽀援します https://classmethod.jp/aws/services /auto-investigation/ 14

15. 調査結果の画像⽣成実装しました GuardDutyの 可視化をできる ようにしました 15

16. 弊社サービス提供のためにやっている GuardDuty基礎研究 の成果報告です サービスで観測している結果も報告します 16

17. アジェンダ •最近のアップデート •最近のGuardDutyの観測状況 •GuardDutyの可視化 17

18. 最近のアップデート 18

19. アップデート⼀覧 •EBSマルウェアスキャンのAWS管理キー対応 •ランタイムモニタリング機能の共有VPC対応 •GetUsageStatistics APIにRDSの使⽤率追加 •EC2ランタイム保護のリリース •2TiBまでEBSマルウェアスキャン対応 •Malware Protection for

    Amazon S3リリース •RDS ProtectionのRDS for PostgreSQL対応 •EC2ランタイム保護でUbuntuとDebian対応 19

20. EBSスキャンAWS管理キー対応 すべてのEBSに 対してスキャン できるようにな った https://dev.classmethod.jp/articles/guarddut y-malwarescan-support-aws-managed-key/ 20

21. ランタイムの共有VPC対応 Shared VPCで も利⽤できる ようになった https://dev.classmethod.jp/articles/gu ardduty-runtime-monitoring-now- supports-shared-vpcs/ 21

22. GetUsageStatisticsのRDS対応 RDSの利⽤料も APIで取得でき る https://dev.classmethod.jp/articles/guar dduty-getusagestatistics-add-rds/ 22

23. EC2ランタイム保護のリリース EC2にエージェントを⼊れて詳細スキャンできる 23 https://dev.classmethod.jp/articles/guardduty-ec2-runtime-monitoring-ga/

24. 2TiBまでEBSスキャン対応 1TiBから2TiBに 増えました https://dev.classmethod.jp/ articles/update-guardduty- malware-scan-to-2tib/ 24

25. S3のマルウェアスキャン re:Inforce 2024でリリースされた 25 https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/

26. S3マルウェア保護は新しい仕組み •オプションの機能だけど、これまでと扱いが違う •追加でS3を指定して組み込む •アプリケーション要件として利⽤する 26

27. S3イベントを使ったパターン例 •マルウェアを検出したら削除 •マルウェアを検出したら隔離 27

28. RDS for PostgreSQL対応 不正ログインの 検出ができる 既存はAurora MySQLと Aurora PostgreSQL https://dev.classmethod.jp/articles/

    update-guarduty-rds-protection-to- rds-for-postgresql/ 28

29. UbuntuとDebian対応 現状の対応OS • Amazon Linux 2 • Amazon Linux 2023

    • Ubuntu 20.04 • Ubuntu 22.04 • Debian 11 • Debian 12 https://dev.classmethod.jp/articles/guarddu ty-ec2-runtime-support-ubuntu-and-debian/ 29

30. 最近のGuardDutyの 観測状況 30

31. 直近1年くらいのFindings割合 31 主要なよくある Findingsのみ

32. Recon:EC2/PortProbeUnprotectedPort ポートプローブされていて 保護されていないポート22 / 3389などがあると検出 利⽤者傾向により減った 32

33. DefenseEvasion:EC2/UnusualDNSResolver パブリックDNSで過検知 しやすい 8.8.8.8など ここ1年ぐらい増えている 33

34. Trojan:EC2/DGADomainRequest.B DGAで作られたドメイ ンに対するクエリを検 出する たまにWindows Server の謎検出がある 34

35. Behavior:EC2/NetworkPortUnusual ぼちぼち検出される スポット作業をしたEC2 などの正常系を過検知 することが多い 35

36. アノマリ系 •Discovery:IAMUser/AnomalousBehavior ◦最近⽐較的多い ◦Describe系で過検知される傾向 •Exfiltration:S3/AnomalousBehavior ◦Athena/Glueなど •Discovery:S3/AnomalousBehavior ◦実際の利⽤者 36

37. GuardDutyの可視化 37

38. 本題 •GuardDuty可視化の概要 •可視化する主要な項⽬ •可視化のポイント 38

39. そもそもGuardDutyの可視化いる？ Amazon Detective でも可視化 できる 39

40. Detective可視化の⽋点 •Finding Groupsでしか作れない ◦複数の検出の関連性を解決する⽤途 •⽣成に時間がかかる •単体のFindingsでは作れない 40

41. GuardDuty可視化のモチベーション •GuardDutyの検出時に すぐに状況を把握した い •簡易的でいいので直感 的に関係性を理解でき るようにしたい 41

42. 可視化の⼿法 •Vis.jsを利⽤してグラフ⽣成 •Finding Types毎定義ファイルを作成 42

43. 可視化する項⽬ •基本は2つのエンティティ ◦発⽣した事象の送信元と送信先 •外部はIPや国など •内部はリソース関連情報 •直感的に理解したいのでAWSのアイコンを並べた い •エンティティ間の関連性も知りたい 43

44. 可視化の例 •リソースアイコンがあれ ばそれを使う •どちらの⽅向に通信した かは重要 •インスタンス名などIDじ ゃない⼈間が識別できる 情報が必要 44

45. Detectiveのメリット •ログの集計とクエリ •ロケーションの可視化 •関連性を解決しドリルダウンできる 45

46. 可視化のポイント •配置を固定する ◦上は外部 ◦下は内部 ◦Nodeをfixedオプショ ンで固定し座標指定 46

47. 可視化のポイント •アイコンを切り替える ◦Findingsによっては対象リ ソースが動的に変わる ◦Action -> ServiceNameか らサービスの種類を判断 47

48. 可視化のポイント •⽮印を動的に変更する •ActionTypeが NETWORK_CONNECTION の場合に ConnectionDirectionで通 信の⽅向を確認する 48

49. まとめ 49

50. まとめ •GuardDutyの運⽤するならGuardDutyの可 視化はよいぞ •Detectiveも使おう •とにかくGuardDutyを使おう！ 50

51. None
52. None