20240712_JAWSUG-FUKUOKA_Cloudgirl

Amazon GuardDuty Malware Protection for Amazon S3 Let’s Try S3のMalwareスキャンしてみた
2024/07/12　株式会社ゆめみ　白"雪姫"

自己紹介 • Name ◦ 白”雪姫”(しらゆき) • Proﬁle ◦ 2023年8月ゆめみ入社、ネットワークとセキュリティをメイン担当しつつインフラとSREをやっている
◦ 苗字で呼ばれるのが嫌いで名前orしらゆきで呼んでもらっている • JAWS(登壇) ◦ Storage JAWS/Security JAWS/JAWS-UG クラウド女子会 • MyFavorite Services ◦ Amazon Inspector • X Account ◦ @yuri_snowwhite

皆さんは、re:Inforceで気になる新発表はありましたか？

Amazon GuardDuty Malware Protection for Amazon S3ってなんぞ？要約すると・・・・ Amazon S3に保存されたオブジェクトにマルウェアが潜んでいないか確認してく
れるGuardDutyの機能スキャン結果マルウェア検知、メトリクスとして件数を表示してくれるまた、その際にタグも付けてくれる(この際タグは別途料金加算)

実際にやってみました！

まずはGuardDutyへ

左側にいるS3のMalware Protectionを選びます

有効にするをクリックして細かい設定します

設定するのはすぐにできそうと思ったのは・・・私が浅はかでした

実際に設定しないと行けないこと • S3バケットの指定 ◦ この時バケット内全てか特定のオブジェクトだけかを選べる • スキャン後にオブジェクトタグを付けるかどうか ◦
スキャンが終わるまで該当バケットの変更ができないというデメリットがある • IAMロールへのアクセス許可 ◦ 現時点では空にしても新規のIAMロールを自動では作られません ▪ 既存のGuardDutyの設定とは別で設定が必要です ◦ インラインポリシーで権限を与えます

問題となったのはIAMロールの許可設定

IAMロールの許可設定ロールに設定する情報は、「アクセス許可を表示」とやると、ポリシーと信頼関係が出てきます。それをコピーして、新規にロール作成もしくは、既存ロールに追加します。

入力した信頼関係(一時的な認証情報の付与)

入力した許可ポリシー許可ポリシーに関しては、長すぎるため、一部を抜粋します。全部で100行を超える許可設定なので、一度確認をしながら設定をすることをオススメします。（そのままだと全てのバケット・オブジェクトへのアクセスが許可されています) 今回は、私の個人的都合もあり、出てきた許可をそのまま貼り付けています。

無事に有効にできました有効化に成功すると下記の様な画面になります。これで暫くするとメトリクスに表示などがされるわけです。(画像は直後のもの）

仕込んでいたデータがSpyWareとして検知されましたこれ

検知した詳細何が検知したか見てみましょう

検出内容は下記の様になりました検知の重要度検出内容検出したオブジェクト名 ※チェックボックスにチェックを入れたら詳細が見れました！

詳細内容細かく詳細が見れるので、誤検知かどうかも確認が比較的しやすい。

メリットとデメリット＜メリット＞ • 1度に検査している量が少ないけど確実に検知できる • 検知したときに取得してくる情報が細かい • 今の所コストはかかって無さそう
◦ かかった料金は本資料作成時点で不明です。 ◦ オブジェクトに1000個対して0.282USD ◦ 1GBあたり0.79USD • GuardDutyそのものが有効で無くても使える <デメリット> • 既存バケットでオブジェクトの数や容量が多いともの凄く時間がかかる • IAMロールが既存のGuardDuty用のIAM ロールでは使えない

今更ですが・・料金表について・・・(笑) GurdDutyの料金ページの下の方に増えていましたが・・・。

・・・よくわかりませんでした。

よくわからなかった理由・・・資料作成のために本機能を仕込んだのですが、実験に使った既存バケットのオブジェクト数と容量がとても多く、スキャンが終わりませんでした！(画像参照) Xの方で結果はお伝えしようと思います！

応用すればこんな使い方できるのでは？ EventBridgeまでは通知を生成しているはずので、 • 検知に応じて、Lambdaに連携をして、隔離バケットを用意して、該当したオブジェクトを隔離する(未検証) ◦ 他のオブジェクトに影響を与えないようにできて、該当オブジェクトの確認もしやすくなる ◦ 同様に削除処理もできるのではないか。(未検証)
• メトリクスで検知を行ってアラートを通知(Slackbot経由でSlack だったり、SNSに通知) ◦ Lambda等を組み込んで検知内容の詳細を通知も可能(未検証) などなど・・・

Fin. ご静聴ありがとうございました

20240712_JAWSUG-FUKUOKA_Cloudgirl

20240712_JAWSUG-FUKUOKA_Cloudgirl

snowwhite

More Decks by snowwhite

Featured

Transcript

Amazon GuardDuty Malware Protection for Amazon S3 Let’s Try S3のMalwareスキャンしてみた

自己紹介 • Name ◦ 白”雪姫”(しらゆき) • Proﬁle ◦ 2023年8月ゆめみ入社、ネットワークとセキュリティをメイン担当しつつインフラとSREをやっている

皆さんは、re:Inforceで気になる新発表はありましたか？

Amazon GuardDuty Malware Protection for Amazon S3ってなんぞ？要約すると・・・・ Amazon S3に保存されたオブジェクトにマルウェアが潜んでいないか確認してく

実際にやってみました！

まずはGuardDutyへ

左側にいるS3のMalware Protectionを選びます

有効にするをクリックして細かい設定します

設定するのはすぐにできそうと思ったのは・・・私が浅はかでした

実際に設定しないと行けないこと • S3バケットの指定 ◦ この時バケット内全てか特定のオブジェクトだけかを選べる • スキャン後にオブジェクトタグを付けるかどうか ◦

問題となったのはIAMロールの許可設定

IAMロールの許可設定ロールに設定する情報は、「アクセス許可を表示」とやると、ポリシーと信頼関係が出てきます。それをコピーして、新規にロール作成もしくは、既存ロールに追加します。

入力した信頼関係(一時的な認証情報の付与)

無事に有効にできました有効化に成功すると下記の様な画面になります。これで暫くするとメトリクスに表示などがされるわけです。(画像は直後のもの）

仕込んでいたデータがSpyWareとして検知されましたこれ

検知した詳細何が検知したか見てみましょう

検出内容は下記の様になりました検知の重要度検出内容検出したオブジェクト名 ※チェックボックスにチェックを入れたら詳細が見れました！

詳細内容細かく詳細が見れるので、誤検知かどうかも確認が比較的しやすい。

メリットとデメリット＜メリット＞ • 1度に検査している量が少ないけど確実に検知できる • 検知したときに取得してくる情報が細かい • 今の所コストはかかって無さそう

今更ですが・・料金表について・・・(笑) GurdDutyの料金ページの下の方に増えていましたが・・・。

・・・よくわかりませんでした。

Fin. ご静聴ありがとうございました