Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をま...
Search
濱田孝治
January 18, 2024
Technology
4
1.6k
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をまるっとお届け〜
AWSマネージドサービスGuardDutyによる待望のコンテナランタイム脅威検知。その検知内容と設定上の注意事項、検出の様子をまとめてお届けします。
濱田孝治
January 18, 2024
Tweet
Share
More Decks by 濱田孝治
See All by 濱田孝治
製造業における生成AI活用のユースケースと関連技術要素(RAG,MCP)の解説
hamadakoji
0
57
MCPを利用して自然言語で3Dプリントしてみよう!
hamadakoji
0
1.7k
初参加のハノーバーメッセで感じた世界最大級イベントの熱気とAI活用の未来
hamadakoji
0
240
GrafanaをClaude DesktopからMCPで触ってみた
hamadakoji
0
2.1k
製造現場データ活用の扉を開く!PLCデータのクラウド連携で実現する可視化と活用の未来
hamadakoji
0
11
ObservabilityCON on the Road Tokyoの見どころ
hamadakoji
0
490
製造現場のデジタル化における課題とPLC Data to Cloudによる新しいアプローチ
hamadakoji
0
740
可視化プラットフォームGrafanaの基本と活用方法の全て
hamadakoji
3
2.6k
20分で完全に理解するGrafanaダッシュボード
hamadakoji
5
3.7k
Other Decks in Technology
See All in Technology
Snowflake Summit 2025 データエンジニアリング関連新機能紹介 / Snowflake Summit 2025 What's New about Data Engineering
tiltmax3
0
330
Tech-Verse 2025 Global CTO Session
lycorptech_jp
PRO
0
740
~宇宙最速~2025年AWS Summit レポート
satodesu
1
1.9k
生成AIで小説を書くためにプロンプトの制約や原則について学ぶ / prompt-engineering-for-ai-fiction
nwiizo
4
2.7k
PHP開発者のためのSOLID原則再入門 #phpcon / PHP Conference Japan 2025
shogogg
4
890
"サービスチーム" での技術選定 / Making Technology Decisions for the Service Team
kaminashi
1
190
PHPでWebブラウザのレンダリングエンジンを実装する
dip_tech
PRO
0
210
データプラットフォーム技術におけるメダリオンアーキテクチャという考え方/DataPlatformWithMedallionArchitecture
smdmts
5
650
KubeCon + CloudNativeCon Japan 2025 Recap
ren510dev
1
170
Should Our Project Join the CNCF? (Japanese Recap)
whywaita
PRO
0
180
5min GuardDuty Extended Threat Detection EKS
takakuni
0
160
Liquid Glass革新とSwiftUI/UIKit進化
fumiyasac0921
0
250
Featured
See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
20
1.3k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.4k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.5k
The Invisible Side of Design
smashingmag
300
51k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
5.9k
Visualization
eitanlees
146
16k
YesSQL, Process and Tooling at Scale
rocio
173
14k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
229
22k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.4k
Facilitating Awesome Meetings
lara
54
6.4k
Transcript
GuardDutyによる コンテナランタイム脅威検知のすべて 〜その凄さと設定注意点と検知の様⼦をまるっとお届け〜 1 濱⽥孝治(ハマコー)
2 About me 濱⽥孝治(ハマコー) • @hamako9999 • 最近の流⾏ • ランニング
• フロストバイトロードレース(ハーフ) • さいたまマラソン(フル) • サイバーパンク2077 仮初めの⾃由 • Cities Skylines2 • このゲームめっちゃ重いので、誰かGeForce RTX 4070下さい
3 最初に みなさんあの⽇の 感動と興奮を覚えていますか︖
4 最初に
5 最初に これはre:Invent 2022 の出来事です
6 遥かなる時を経て2023年11⽉26⽇リリース︕︕ ref: https://aws.amazon.com/jp/blogs/aws/introducing-amazon-guardduty-ecs-runtime-monitoring-including-aws-fargate/
7 というわけで 世界が注⽬、そして待望していた コンテナランタイム脅威検知を 皆さんにお届け
8 Agenda • Container runtime threat detectionとは • 動作イメージ •
設定⽅法と設定上の注意点 • 実際に脅威を検出してみた • まとめ
9 Container runtime threat detectionとは
10 Container runtime threat detectionとは GuardDutyの新機能としてECS Runtime Monitoring が提供 •
実⾏中のECSタスクにおいて、ランタイムの脅威を ⽰す可能性のあるイベントを検出 • GuadDutyに集約されるので、他のセキュリティ脅 威と合わせて包括的に脅威情報を集約し管理可能 • ECS on FargateはGA(今⽇の話は全部こちら) • ECS on EC2はPreview
11 実際になにが検出されるのか︖ • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
12 なにが嬉しいのか︖ これまでは、実⾏中のECSタスクの ランタイム脅威検知にはそれなりに ⾼価な商⽤製品の導⼊が必須だった • ex. Sysdig, aqua, dynatrace
• aquaは、脅威検知後のコンテナ 保護機能などもあり AWSマネージドな仕組みだけでこの ランタイム検知ができるようになっ たのは素晴らしい進化︕
13 動作イメージ
14 動作イメージ •設定はクラスター 単位で実施(配下 の全サービスが対 象) •タスク起動時にフ ルマネージドな GuardDutyサイド カーコンテナが⾃
動的に起動し、検 出した脅威の GuadDutyへの通 知を実施
15 設定⽅法と設定上の注意点
16 ほなやってみよと思ったそこのあなたへ 設定はめちゃくちゃ簡単
17 安易にやるとめちゃくちゃ 影響範囲が⼤きくなります
18 設定時間30秒、影響範囲はリージョン全部 GuadDuty -> ランタイムモニタリングを開いて 「ランタイムモニタリング」を有効 「AWS Fargate」を有効 にするだけ これだけで、設定したリージョンの全てのECSクラ
スターが検出対象になる
19 ランタイム脅威検知で利⽤するリソースと料⾦ 検出対象になったクラスターで注意しておくべき代表点 • ECSタスクのリソース • ECSタスク定義はそのままの場合、設定したリソースを追加される GuadDuty⽤のサイドカーコンテナが利⽤するので、注意が必要(CPU and memory
limits) • サイドカーコンテナの料⾦ • 超ざっくりで4%ぐらいのコスト増 • 参考︓Intelligent Threat Detection – Amazon GuardDuty Pricing • ⼀度設定すると、今後作成する全てのクラスターが上記の影響を受 けることも注意
20 ECSクラスターを設定対象外にする⽅法 クラスターに事前に以下のタグを付与しておく • Key:GuardDutyManaged • Value:false プロダクション環境などで設定する場合は、意図せぬと ころに影響が出ないように注意
21 実際に脅威を検出してみた
22 やっぱり 実際に検出してみないと やっぱりねぇ、実感がわかないよねぇ
23 検出対象にしてみた脅威 • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
24 検出するためのツール ECS ExecでFargateにログインして コマンド実⾏
25 CryptoCurrency:Runtime/BitcoinTool.B!DNS 暗号通貨関連ドメイン pool.supportxmr.comへのDNS クエリ。これはほぼ確実に毎回出る。 他にも同じような挙動をするドメインがあるかどうか ChatGPTに聞いてみたら、それは教えられないよ、と ⾔われました。
26 参考にしたブログ https://dev.classmethod.jp/articles/guardduty-findings-test-cryptocurrency/
27 Execution:Runtime/NewBinaryExecuted インストールしたバ イナリ実⾏の脅威が 検知。 Nmapコマンド使っ ているので、ポート スキャン脅威がでる かと思いきや、ここ では、新バイナリの
実⾏の脅威で検知さ れていた
28 しばらくの間 実際の画⾯を⾒てみましょう
29 検出した後の運⽤をどうするか 設定したは良いが、実際に検出されたときの運⽤も考え ておくのが⼤事 • Managing Amazon GuardDuty findings -
Amazon GuardDuty • 公式ドキュメント。運⽤についての詳細が記載されてある [2021年版]Amazon GuardDutyによるAWSセキュリティ運用を 考える | DevelopersIO • セキュリティHero、⾅⽥の記事 • Amazon GuardDuty ECS Runtime Monitoringで脅威を検出した ECSタスクを自動停止してみた | DevelopersIO • トクヤマシュンによる脅威検知対象ECSタスクの⾃動停⽌
30 まとめ
31 • ECSにおけるコンテナランタイム検知がマネージド な仕組みだけでできるようになったので⼤いに活⽤ の余地あり︕ • 設定は異常に簡単だが影響範囲が⼤きいため、事前 の計画は必須 • コンテナセキュリティ全般は、ビルドプロセスにお
けるイメージスキャンやIAMの最⼩権限の⽅策など と合わせて包括的に対処しましょう︕
32 皆さんのECS環境 よりセキュアに安全に 使っていきましょう︕