Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
5min GuardDuty Extended Threat Detection EKS
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
takakuni
June 30, 2025
Technology
380
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
5min GuardDuty Extended Threat Detection EKS
takakuni
June 30, 2025
More Decks by takakuni
See All by takakuni
ECS Express Mode
takakuni
0
36
AWS WAF Anti-DDoS Protection in 5 Minutes!
takakuni
0
610
AWS Backup Air-Gapped Vaults with Multi-Party Approval Explained in 5 Minutes!
takakuni
0
310
OpenAI models overview 202505
takakuni
0
440
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
takakuni
0
300
Classmethod AI Talks #13
takakuni
0
430
About Extended Threat Detection in Amazon GuardDuty
takakuni
0
410
SageMaker Hyperpod 101 #regrowth_sapporo
takakuni
1
430
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
takakuni
0
770
Other Decks in Technology
See All in Technology
OTel × Datadog で 「AI活用」を計測し、改善に繋げる
shihochan
2
430
マルチアカウント環境での コーディングエージェントを使った障害調査が大変なので AIエージェントにReadOnly権限を付与してみた / ReadOnly AI Agents for Multi-Account AWS Incident Response
yamaguchitk333
2
110
[チョークトーク資料]AWS DevOps Agent を使いこなす / AWS Dev Ops Agent Chalk Talk AWS Summit Japan 2026
kinunori
3
580
いまさら聞けない「仕様駆動開発入門」 〜AI活用時代の開発プロセスを考える〜
findy_eventslides
2
160
AI時代のコスト管理を考えよう〜明日から使える実践AWSノウハウ~
yoshimi0227
0
310
FPC(フレキシブル)基板にZephyr実装してみた。
iotengineer22
0
120
200個のGitHubリポジトリを横断調査したかった
icck
0
140
AWS Security Agent といっしょに脅威モデリングをやってみよう
amarelo_n24
1
180
【Cyber-sec+】経営層を"動かす"ための考え方
hssh2_bin
0
200
2026 TECHFRESH 畢業分享會 - 開發日常大解密!從領域驅動到企業級上線
line_developers_tw
PRO
0
1.3k
攻撃者視点で考えるDetection Engineering
cryptopeg
3
2k
Agent Skills設計で柔軟性と硬さのバランスが難しい話
nassy20
0
140
Featured
See All Featured
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
2k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
210
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.9k
HDC tutorial
michielstock
2
720
Being A Developer After 40
akosma
91
590k
How to make the Groovebox
asonas
2
2.2k
How to train your dragon (web standard)
notwaldorf
97
6.7k
AI: The stuff that nobody shows you
jnunemaker
PRO
8
720
Google's AI Overviews - The New Search
badams
0
1k
Become a Pro
speakerdeck
PRO
31
6k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Believing is Seeing
oripsolob
1
150
Transcript
5分でわかる!GuardDuty 拡張脅威検出 EKS 編
2 • 部署 ◦ クラウド事業本部コンサルティング部 • 名前(ニックネーム) ◦ たかくに •
ロール ◦ ソリューションアーキテクト ⾃⼰紹介
re:Inforce 2025 どうでしたか?
GuardDuty でしたね。
Extended Threat Detection の話をします。
Extended Threat Detection とは
拡張脅威検出 です!
拡張脅威検出とは
拡張された脅威を検出する機能!
10 今までの GuardDuty Threat Detection 1. EC2 finding types 2.
IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types
11 これからの GuardDuty Threat Detection 1. EC2 finding types 2.
IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types 10. GuardDuty attack sequence finding types(NEW !)
• 複数の脅威が連なった状態を検出 • 普段の検出タイプに加え、弱いシグナルも評価対象 ◦ 弱いシグナル:普段の検出タイプでは表⽰されな い API アクティビティ •
MITRE ATT&CK のステップ別に重要度を表⽰ 12 GuardDuty attack sequence finding types
• Attack sequence ◦ 複数のイベント(シグナル)の相関関係 • Findings ◦ GuardDuty が発⾒した脅威(≒シグナル)
• Signals ◦ GuardDuty が観察した API アクティビティ 13 単語のおさらい
14 図にすると
ここからアップデートの紹介です
• AttackSequence:IAM/CompromisedCredentials ◦ IAM が侵害されている可能性が⾼い場合に検出 • AttackSequence:S3/CompromisedData ◦ S3 が漏洩している可能性が⾼い場合に検出
• AttackSequence:EKS/CompromisedCluster(NEW) ◦ Amazon EKS クラスター内で⼀連の疑わしいアクショ ンがあった場合に検出される 16 GuardDuty attack sequence finding types
17 複数の脅威が連なった状態を検出
18 MITRE ATT&CK のステップ別に重要度を表⽰
• EKS audit log events • AWS CloudTrail data events
for S3 • AWS CloudTrail management events • VPC Flow Logs • Route53 Resolver DNS query logs • Amazon EKS malware detection for Amazon EC2 • Runtime Monitoring for Amazon EKS 19 参照するソース
20 ログを有効化しておく必要があるのか...? https://aws.amazon.com/jp/guardduty/faqs/
以下のどちらかを有効にしておくこと • EKS Protection • EKS Runtime Monitoring 最⼤限活⽤したい場合は、どちらも有効が推奨 21
前提条件
• 拡張脅威検出は⼀連の脅威を連なった形で検出する脅威タイプ ◦ 今回新たに EKS クラスターの脅威タイプが加わった • 複数のデータソースから脅威を検出 ◦ ⼀部のデータソースはユーザー側の設定がなくとも、
GuardDuty 側で独⽴して収集してくれる • EKS Protection または Runtime Monitoring for Amazon EKS のど ちらも有効化して最⼤限機能を活かしましょう! 22 まとめ
None
SiteGround - Reliable hosting with speed, security, and support you can count on.
takakuni
shihochan
yamaguchitk333
kinunori
findy_eventslides
yoshimi0227
iotengineer22
icck
amarelo_n24
hssh2_bin
line_developers_tw
cryptopeg
nassy20
honnibal
sarafernandez
jnunemaker
michielstock
akosma
asonas
notwaldorf
badams
speakerdeck
jeffersonlam
oripsolob
