【GuardDuty】検知結果まとめ

Dreamです。

AWSセキュリティ関連のサービスでもあるGuardDutyをご紹介します。
設定方法については過去にレシピ内で紹介しているので、今回は検知できる脅威や攻撃をまとめました。

GuardDuty とは

マルウェアなどに使われている侵害されたEC2インスタンスを検出、AWSアカウントが不正なアクセス動作、異常なAPIコールなどの侵害の予兆を検知します。
これまでは高度なセキュリティ製品で対応するしかありませんでしたが、安価かつ簡単にAWSに実装することが可能となっています。

GuardDuty 脅威or攻撃検知リスト

GuardDutyで検知できる脅威や攻撃のリストをまとめました。

検知できる脅威、攻撃は大きく分けて11種類あります。

■Backdoor
AWSリソース(EC2)が攻撃を受けていることを検出。
主にDDoSやマルウェアを検知結果として返します。

■Behavior
ベースラインとは異なるアクティビティやアクティビティパターンを検出。
主にEC2インスタンスの動作が確立されたベースラインから逸脱していることを知らせます。

■Cryptocurrency
ビットコインなどの暗号通貨に関連付けられたソフトウェアを検出
主にEC2インスタンスが暗号通貨を自己所有、管理していない限り検出されることがない項目になります。

■Pentest
脆弱性の診断によって生成されたアクティビティと類似するアクティビティを検出
主にポートスキャンが行われているかどうかを知らせます。

■Persistence (永続性)
IAMユーザが確立されたベースラインとは異なる動作を行っていることを検出
主にIAMユーザの権アクセス限が変更されたり、今まで行ったことのない AttachUserPolicy API の呼び出しを行った場合に知らせます。

■Recon
AWS環境の脆弱性を探そうとしているアクティビティを検出
主にアップロード済みの脅威リストに含まれているIPアドレスからAPIが呼び出されたり、
IAMユーザがリソース関連等のアクセス権限を検出するために使用されるAPIを使用した場合などに知らせます。

■ResourceConsumption
IAM ユーザーが確立されたベースラインとは異なる動作を行っていることを検出
主にEC2インスタンスを起動した履歴のないIAMユーザがEC2インスタンスを起動した場合などに知らせます。

■Stealth
攻撃アクションや形跡を隠そうとしている動きを検出
主に攻撃者が匿名化したプロキシサーバなどを使用し、攻撃の形跡等を隠そうとしている場合に知らせます。

■Trojan
トロイの木馬が攻撃に使用されていることを検出

■UnauthorizedAccess
承認されていないユーザによる不審なアクティビティやアクティビティパターンを検出
主にAPIが通常とは異なるIPアドレスから呼び出されていたり、EC2インスタンスがブルートフォース攻撃に関与している場合などに知らせます。

実際の検知結果をコンソール画面から確認すると、検知した結果が一覧で表示されます。
また、結果の詳細を確認することができるので、これを参考にしながら対策をしていきます。

まとめ

上記リストについての詳細はAWS公式ドキュメントを参照ください。
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html#recon6

これだけ多くの種類の脅威を検出でき、セキュリティが安価に高められます。
また、GuardDutyは30日の無料トライアルもあるので一度試す価値ありです!

引き続き、GuardDutyについてまとめていきますので、次回更新をお楽しみに!

この記事を書いた人

aws-recipe-user