JAWS DE&I_20240727-GuardDuty
-- Views
January 21, 25
スライド概要
社内勉強会やJAWS DE&Iで登壇した際に使用したGuardDutyの資料です
関連スライド
各ページのテキスト
めかくしです Amazon GuardDuty にできること JAWS DE&I 2024/07/27 えかてリーな
Who am I ? えかてりーな(Nao Nishihashi) 前職:某AWSパートナー企業(小さめ) テクニカルリード 設計、構築、運用、24365保守全て 現職:某AWSパートナー企業(大きめ) 構築、運用 コミュニティ活動: JAWS-UG DE&I TOKUSHIMA Cyber Security Meetup
GuardDutyとは GuardDutyを有効化してますか? 3
GuardDutyとは 脅威”検知”サービス 4
GuardDutyとは ハードル 1. コスト (AWS利用料の約 1.5%) 2. 検出したところで、何をしたらいいかわからない 5
GuardDutyとは インシデント対応プロセスの考え方 ● ● [準備] 組織・プロセス整備 セキュリティ対策の実施 [検査と分析] ● 兆候把握 ● 分析 ● 優先順位付け ● ● ● [封じ込め/根絶/復旧] 隔離・証拠保全 フォレンジックと原因特定 原因除去と回復 ● ● ● [事後対応] 対応の振り返り・分析 組織・プロセス改善 追加セキュリティ対策 GuardDutyが専門家に代わって AWSの検査と分析をサポート https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf 6
GuardDutyとは https://www.linkedin.com/posts/yuki-yonekura-30b61811a_awsefaefbegwegeefgefsegz-efvefheglegqeggefx-activity-7204109959121260544-54Bx?utm_source=share&utm_medium=member_desktop https://cloudpack.slack.com/archives/C054XJ57TQX/p1717541250774239 7
GuardDutyとは 継続的な脅威モニタリング 専門家に代わり、高度な脅威検知を行うサービス 基本的なデータソース 高度な脅威検知 「既知の脅威」検知 AWS CloudTrail イベントログ AWS CloudTrail 管理イベント VPC Flow Logs 脅威インテリジェンス(情報収集活動) に基づく検知 「未知の脅威」検知 機械学習による 「普段と異なる振る舞い」検知 DNS ログ 検出結果 HIGH MEDIUM LOW 検出結果に対するアクションは他 AWSサービスを使用する 通知:SNSやslack (EventBridge経由) 調査:Amazon Detective 自動復旧: LambdaなどでEC2を切り離す 等 (EventBridge経由) 8
- https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_data-sources.html#guardduty_cloudtrail
- https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_data-sources.html#guardduty_controlplane
- https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc
- https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_data-sources.html#guardduty_dns
GuardDutyとは AWS環境でのセキュリティインシデント ▼ 基本的な性質 インシデントの「原因」はクラウドでもオンプレミスでも本質的には変わらない ● ● ● ● ● ソフトウェアの脆弱性 設定不備 (ポート全開放など ) クレデンシャル情報の侵害や漏洩 マルウェア感染 詐欺 ○ ソーシャルエンジニアリング ○ フィッシング ○ 内部不正 9
GuardDutyとは AWS環境でのセキュリティインシデント ▼ 注目すべき観点:アクセスキー AWSのAPIアクセスに用いる認証情報 攻撃者が AWS環境と認識している場合、優先度の高い窃取対象となる重要情報 ● サーバーの脆弱性を疲れて侵入され、アクセスキーを窃取 ● 直接的なアクセスキー漏洩 ○ 公開リポジトリへの誤コミット ○ 業務PCのマルウェア感染 10
GuardDutyとは Public subnet Private subnet Private subnet 11
GuardDutyとは Public subnet Private subnet Private subnet C&C サーバーへのアウトバンド接続 EC2インスタンスの遠隔操作 12
GuardDutyとは https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-ccactivityb 13
GuardDutyとは 検出内容 ● EKS Protection ● Lambda Protection ● Malware Protection ○ EC2 ○ S3 ● RDS Protection ● S3 Protection ● Runtime Monitorning ○ EKS 14
GuardDutyとは - Amazon GuardDuty EKS Protection EKS標準機能では監査ログまで見て くれていない https://www.youtube.com/watch?v=BENsN_xs0MU 15
GuardDutyとは - Amazon GuardDuty EKS Protection https://www.youtube.com/watch?v=BENsN_xs0MU 16
GuardDutyとは - Runtime Monitoring(EKS) https://www.youtube.com/watch?v=BENsN_xs0MU 17
GuardDutyとは - Amazon GuardDuty Lambda Protection https://www.youtube.com/watch?v=BENsN_xs0MU 18
GuardDutyとは - Amazon GuardDuty Lambda Protection https://www.youtube.com/watch?v=BENsN_xs0MU 19
GuardDutyとは - Amazon GuardDuty Malware Protection (EC2) https://www.youtube.com/watch?v=BENsN_xs0MU 20
GuardDutyとは - Amazon GuardDuty Malware Protection (EC2) https://www.youtube.com/watch?v=BENsN_xs0MU 21
GuardDutyとは - Amazon GuardDuty Malware Protection (S3) https://aws.amazon.com/jp/blogs/news/introducing-amazon-guardduty-malware-protection-for-amazon-s3/ 22
GuardDutyとは - Amazon GuardDuty RDS Protection https://www.youtube.com/watch?v=BENsN_xs0MU 23
GuardDutyとは - Amazon GuardDuty RDS Protection https://www.youtube.com/watch?v=BENsN_xs0MU 24
GuardDutyとは - Amazon GuardDuty S3 Protection https://www.youtube.com/watch?v=BENsN_xs0MU 25
GuardDutyとは - Amazon GuardDuty S3 Protection https://www.youtube.com/watch?v=BENsN_xs0MU 26
GuardDutyとは 注意事項: 必ず 全リージョン で有効化すること ※振る舞い検知の役割を果たさなくなるため 27
ご清聴ありがとうございました。 28