About Extended Threat Detection in Amazon GuardDuty

Transcript

1. 2024/12/18 クラスメソッド株式会社 たかくに Amazon GuardDuty の Extended Threat Detection について

2. 2 • 部署 ◦ AWS 事業本部コンサルティング部 • 名前（ニックネーム） ◦ たかくに

   • ロール ◦ ソリューションアーキテクト ⾃⼰紹介

3. re:Invent 2024 どうでしたか？

4. GuardDuty でしたね。

5. Extended Threat Detection の話をします。

6. Extended Threat Detection とは

7. 拡張脅威検出 です！

8. 拡張脅威検出とは

9. 拡張された脅威を検出する機能！

10. 10 今までの GuardDuty Threat Detection 1. EC2 finding types 2.

    IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types

11. 11 これからの GuardDuty Threat Detection 1. EC2 finding types 2.

    IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types 10. GuardDuty attack sequence finding types（NEW !）

12. • 複数の脅威が連なった状態を検出 • 普段の検出タイプに加え、弱いシグナルも評価対象 ◦ 弱いシグナル：普段の検出タイプでは表⽰されな い API アクティビティ •

    MITRE ATT&CK のステップ別に重要度を表⽰ 12 GuardDuty attack sequence finding types

13. • Attack sequence ◦ 複数のイベント（シグナル）の相関関係 • Findings ◦ GuardDuty が発⾒した脅威（≒シグナル）

    • Signals ◦ GuardDuty が観察した API アクティビティ 13 単語のおさらい

14. 14 図にすると

15. 15 複数の脅威が連なった状態を検出

16. 16 複数の脅威が連なった状態を検出

17. 17 普段の検出タイプに加え、弱いシグナルも評価対象

18. 18 MITRE ATT&CK のステップ別に重要度を表⽰

19. • AttackSequence:IAM/CompromisedCredentials ◦ IAM が侵害されている可能性が⾼い場合に検出 • AttackSequence:S3/CompromisedData ◦ S3 が漏洩している可能性が⾼い場合に検出

    19 GuardDuty attack sequence finding types
20. None