Upgrade to Pro — share decks privately, control downloads, hide ads and more …

5min GuardDuty Extended Threat Detection EKS

Avatar for takakuni takakuni
June 30, 2025
Technology
0
110

5min GuardDuty Extended Threat Detection EKS

Avatar for takakuni

takakuni

June 30, 2025
Tweet

More Decks by takakuni

See All by takakuni
OpenAI models overview 202505
Avatar for takakuni takakuni
0
280
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
Avatar for takakuni takakuni
0
110
Classmethod AI Talks #13
Avatar for takakuni takakuni
0
230
Allowed to prefixes
Avatar for takakuni takakuni
0
470
About Extended Threat Detection in Amazon GuardDuty
Avatar for takakuni takakuni
0
260
SageMaker Hyperpod 101 #regrowth_sapporo
Avatar for takakuni takakuni
1
290
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
Avatar for takakuni takakuni
0
460
New Security Challenges and Countermeasures Brought by Generative AI in Classmethod Cloud Security Fes
Avatar for takakuni takakuni
0
480
サンプルサンプル株式会社 会社説明資料
Avatar for takakuni takakuni
0
4.2k

Other Decks in Technology

See All in Technology
CSS、JSをHTMLテンプレートにまとめるフロントエンド戦略
Avatar for Saito Ayumu d120145
0
280
標準技術と独自システムで作る「つらくない」SaaS アカウント管理 / Effortless SaaS Account Management with Standard Technologies & Custom Systems
Avatar for Yuya Takeyama yuyatakeyama
3
1.2k
Javaで作る RAGを活用した Q&Aアプリケーション
Avatar for Recruit recruitengineers
PRO
1
100
ハノーバーメッセ2025座談会.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
160
Observability в PHP без боли. Олег Мифле, тимлид Altenar
Avatar for Lamoda Tech lamodatech
0
330
PostgreSQL 18 cancel request key長の変更とRailsへの関連
Avatar for Yasuo Honda yahonda
0
120
Uniadex__公開版_20250617-AIxIoTビジネス共創ラボ_ツナガルチカラ_.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
160
より良いプロダクトの開発を目指して - 情報を中心としたプロダクト開発 #phpcon #phpcon2025
Avatar for 弁護士ドットコム bengo4com
1
3.1k
GeminiとNotebookLMによる金融実務の業務革新
Avatar for abenben abenben
0
220
VCpp Link and Library - C++ breaktime 2025 Summer
Avatar for Akiko Kawai harukasao
0
240
データプラットフォーム技術におけるメダリオンアーキテクチャという考え方/DataPlatformWithMedallionArchitecture
Avatar for Masatoshi Shimada smdmts
5
620
急成長を支える基盤作り〜地道な改善からコツコツと〜 #cre_meetup
Avatar for すてにゃん stefafafan
0
110

Featured

See All Featured
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.4k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.8k
Side Projects
Avatar for Sacha Greif sachag
455
42k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
281
13k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
299
21k

Transcript

  1. 5分でわかる!GuardDuty 拡張脅威検出 EKS 編

  2. 2 • 部署 ◦ クラウド事業本部コンサルティング部 • 名前(ニックネーム) ◦ たかくに •

    ロール ◦ ソリューションアーキテクト ⾃⼰紹介

  3. re:Inforce 2025 どうでしたか?

  4. GuardDuty でしたね。

  5. Extended Threat Detection の話をします。

  6. Extended Threat Detection とは

  7. 拡張脅威検出 です!

  8. 拡張脅威検出とは

  9. 拡張された脅威を検出する機能!

  10. 10 今までの GuardDuty Threat Detection 1. EC2 finding types 2.

    IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types

  11. 11 これからの GuardDuty Threat Detection 1. EC2 finding types 2.

    IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types 10. GuardDuty attack sequence finding types(NEW !)

  12. • 複数の脅威が連なった状態を検出 • 普段の検出タイプに加え、弱いシグナルも評価対象 ◦ 弱いシグナル:普段の検出タイプでは表⽰されな い API アクティビティ •

    MITRE ATT&CK のステップ別に重要度を表⽰ 12 GuardDuty attack sequence finding types

  13. • Attack sequence ◦ 複数のイベント(シグナル)の相関関係 • Findings ◦ GuardDuty が発⾒した脅威(≒シグナル)

    • Signals ◦ GuardDuty が観察した API アクティビティ 13 単語のおさらい

  14. 14 図にすると

  15. ここからアップデートの紹介です

  16. • AttackSequence:IAM/CompromisedCredentials ◦ IAM が侵害されている可能性が⾼い場合に検出 • AttackSequence:S3/CompromisedData ◦ S3 が漏洩している可能性が⾼い場合に検出

    • AttackSequence:EKS/CompromisedCluster(NEW) ◦ Amazon EKS クラスター内で⼀連の疑わしいアクショ ンがあった場合に検出される 16 GuardDuty attack sequence finding types

  17. 17 複数の脅威が連なった状態を検出

  18. 18 MITRE ATT&CK のステップ別に重要度を表⽰

  19. • EKS audit log events • AWS CloudTrail data events

    for S3 • AWS CloudTrail management events • VPC Flow Logs • Route53 Resolver DNS query logs • Amazon EKS malware detection for Amazon EC2 • Runtime Monitoring for Amazon EKS 19 参照するソース

  20. 20 ログを有効化しておく必要があるのか...? https://aws.amazon.com/jp/guardduty/faqs/

  21. 以下のどちらかを有効にしておくこと • EKS Protection • EKS Runtime Monitoring 最⼤限活⽤したい場合は、どちらも有効が推奨 21

    前提条件

  22. • 拡張脅威検出は⼀連の脅威を連なった形で検出する脅威タイプ ◦ 今回新たに EKS クラスターの脅威タイプが加わった • 複数のデータソースから脅威を検出 ◦ ⼀部のデータソースはユーザー側の設定がなくとも、

    GuardDuty 側で独⽴して収集してくれる • EKS Protection または Runtime Monitoring for Amazon EKS のど ちらも有効化して最⼤限機能を活かしましょう! 22 まとめ
  23. None