Upgrade to Pro — share decks privately, control downloads, hide ads and more …

5min GuardDuty Extended Threat Detection EKS

Avatar for takakuni takakuni
June 30, 2025
Technology
0
200

5min GuardDuty Extended Threat Detection EKS

Avatar for takakuni

takakuni

June 30, 2025
Tweet

More Decks by takakuni

See All by takakuni
AWS WAF Anti-DDoS Protection in 5 Minutes!
Avatar for takakuni takakuni
0
190
AWS Backup Air-Gapped Vaults with Multi-Party Approval Explained in 5 Minutes!
Avatar for takakuni takakuni
0
120
OpenAI models overview 202505
Avatar for takakuni takakuni
0
290
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
Avatar for takakuni takakuni
0
120
Classmethod AI Talks #13
Avatar for takakuni takakuni
0
250
Allowed to prefixes
Avatar for takakuni takakuni
0
540
About Extended Threat Detection in Amazon GuardDuty
Avatar for takakuni takakuni
0
270
SageMaker Hyperpod 101 #regrowth_sapporo
Avatar for takakuni takakuni
1
300
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
Avatar for takakuni takakuni
0
500

Other Decks in Technology

See All in Technology
Shadow DOM & Security - Exploring the boundary between light and shadow
Avatar for Masato Kinugawa masatokinugawa
0
660
PHPでResult型やってみよう
Avatar for higaki higaki_program
0
190
データエンジニアリング 4年前と変わったこと、 4年前と変わらないこと
Avatar for Sotaro Tanaka tanakarian
2
360
地図と生成AI
Avatar for なかしょ nakasho
0
700
MCPと認可まわりの話 / mcp_and_authorization
Avatar for convto convto
1
140
CSPヘッダー導入で実現するWebサイトの多層防御:今すぐ試せる設定例と運用知見
Avatar for llamakko llamakko
1
200
Expertise as a Service via MCP
Avatar for Yoda Keisuke yodakeisuke
1
140
AI工学特論: MLOps・継続的評価
Avatar for Asei Sugiyama asei
10
1.6k
今日からあなたもGeminiを好きになる
Avatar for subaru subaruhello
1
560
The Madness of Multiple Gemini CLIs Developing Simultaneously with Jujutsu
Avatar for Gunther Brunner gunta
1
2.5k
AI駆動開発 with MixLeap Study【大阪支部 #3】
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
200
Microsoft Fabric ガバナンス設計の一歩目を考える
Avatar for Ryoma Nagata ryomaru0825
1
260

Featured

See All Featured
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.7k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.2k
Navigating Team Friction
Avatar for Lara Hogan lara
187
15k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
524
40k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
10
990
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
35
2.5k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.4k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.8k

Transcript

  1. 5分でわかる!GuardDuty 拡張脅威検出 EKS 編

  2. 2 • 部署 ◦ クラウド事業本部コンサルティング部 • 名前(ニックネーム) ◦ たかくに •

    ロール ◦ ソリューションアーキテクト ⾃⼰紹介

  3. re:Inforce 2025 どうでしたか?

  4. GuardDuty でしたね。

  5. Extended Threat Detection の話をします。

  6. Extended Threat Detection とは

  7. 拡張脅威検出 です!

  8. 拡張脅威検出とは

  9. 拡張された脅威を検出する機能!

  10. 10 今までの GuardDuty Threat Detection 1. EC2 finding types 2.

    IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types

  11. 11 これからの GuardDuty Threat Detection 1. EC2 finding types 2.

    IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types 10. GuardDuty attack sequence finding types(NEW !)

  12. • 複数の脅威が連なった状態を検出 • 普段の検出タイプに加え、弱いシグナルも評価対象 ◦ 弱いシグナル:普段の検出タイプでは表⽰されな い API アクティビティ •

    MITRE ATT&CK のステップ別に重要度を表⽰ 12 GuardDuty attack sequence finding types

  13. • Attack sequence ◦ 複数のイベント(シグナル)の相関関係 • Findings ◦ GuardDuty が発⾒した脅威(≒シグナル)

    • Signals ◦ GuardDuty が観察した API アクティビティ 13 単語のおさらい

  14. 14 図にすると

  15. ここからアップデートの紹介です

  16. • AttackSequence:IAM/CompromisedCredentials ◦ IAM が侵害されている可能性が⾼い場合に検出 • AttackSequence:S3/CompromisedData ◦ S3 が漏洩している可能性が⾼い場合に検出

    • AttackSequence:EKS/CompromisedCluster(NEW) ◦ Amazon EKS クラスター内で⼀連の疑わしいアクショ ンがあった場合に検出される 16 GuardDuty attack sequence finding types

  17. 17 複数の脅威が連なった状態を検出

  18. 18 MITRE ATT&CK のステップ別に重要度を表⽰

  19. • EKS audit log events • AWS CloudTrail data events

    for S3 • AWS CloudTrail management events • VPC Flow Logs • Route53 Resolver DNS query logs • Amazon EKS malware detection for Amazon EC2 • Runtime Monitoring for Amazon EKS 19 参照するソース

  20. 20 ログを有効化しておく必要があるのか...? https://aws.amazon.com/jp/guardduty/faqs/

  21. 以下のどちらかを有効にしておくこと • EKS Protection • EKS Runtime Monitoring 最⼤限活⽤したい場合は、どちらも有効が推奨 21

    前提条件

  22. • 拡張脅威検出は⼀連の脅威を連なった形で検出する脅威タイプ ◦ 今回新たに EKS クラスターの脅威タイプが加わった • 複数のデータソースから脅威を検出 ◦ ⼀部のデータソースはユーザー側の設定がなくとも、

    GuardDuty 側で独⽴して収集してくれる • EKS Protection または Runtime Monitoring for Amazon EKS のど ちらも有効化して最⼤限機能を活かしましょう! 22 まとめ
  23. None