Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GuardDutyを可視化して、君もGuardDutyマスターになろう!

cm-usuda-keisuke
July 09, 2024
Technology
1
1.3k

 GuardDutyを可視化して、君もGuardDutyマスターになろう!

7/9に実施したClassmethod Odysseyの登壇内容です。
https://classmethod.jp/m/odyssey/
詳細は下記ブログで確認してください。

cm-usuda-keisuke

July 09, 2024
Tweet

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
新機能Amazon GuardDuty Extended Threat Detectionはネ申って話
cmusudakeisuke
0
650
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
230
ツンデレなGuardDutyをプロデュースして世界一のアイドルにする話
cmusudakeisuke
0
550
AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた
cmusudakeisuke
1
16k
10分で完全に理解するGuardDutyのS3マルウェア保護
cmusudakeisuke
0
2.6k
AWSセンセーション 私とみんなが作ったAWSセキュリティ
cmusudakeisuke
3
4.7k
新しい初心者向けのSecurity-JAWSをやるよ!って話
cmusudakeisuke
0
1.3k
AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう
cmusudakeisuke
2
10k
re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します
cmusudakeisuke
0
1.4k

Other Decks in Technology

See All in Technology
Godot Engineについて調べてみた
unsoluble_sugar
0
370
20250116_JAWS_Osaka
takuyay0ne
2
200
ゼロからわかる!!AWSの構成図を書いてみようワークショップ 問題&解答解説 #デッカイギ #羽田デッカイギおつ
_mossann_t
0
1.5k
2024年活動報告会(人材育成推進WG・ビジネスサブWG) / 20250114-OIDF-J-EduWG-BizSWG
oidfj
0
180
月間60万ユーザーを抱える 個人開発サービス「Walica」の 技術スタック変遷
miyachin
1
130
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
6
54k
いま現場PMのあなたが、 経営と向き合うPMになるために 必要なこと、腹をくくること
hiro93n
9
7.4k
OPENLOGI Company Profile
hr01
0
58k
AWS re:Invent 2024 recap in 20min / JAWSUG 千葉 2025.1.14
shimy
1
100
データ基盤におけるIaCの重要性とその運用
mtpooh
4
460
Goで実践するBFP
hiroyaterui
1
120
AWSサービスアップデート 2024/12 Part3
nrinetcom
PRO
0
140

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
VelocityConf: Rendering Performance Case Studies
addyosmani
327
24k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.3k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
192
16k
Measuring & Analyzing Core Web Vitals
bluesmoon
5
210
The Power of CSS Pseudo Elements
geoffreycrofte
74
5.4k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Site-Speed That Sticks
csswizardry
2
270
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
3
360
No one is an island. Learnings from fostering a developers community.
thoeni
19
3.1k
Code Reviewing Like a Champion
maltzj
521
39k
The Language of Interfaces
destraynor
155
24k

Transcript

  1. GuardDutyを可視化して、 君もGuardDutyマスターになろう! 2024/7/9 ハッシュタグ: #cm_odyssey AWS事業本部 ⾅⽥佳祐

  2. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

  3. こんにちは、⾅⽥です。 みなさん、 GuardDutyと戯れてますか?(挨拶 3

  4. ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN Ambassador

    2024 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective 4 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

  5. 前置きその1 セッションタイトルと 概要をちゃんと確認しましたか? 5

  6. こんなやつ •知る必要がないくら い深い話をしますよ •可視化するための術 をディープダイブし ます 6

  7. ちなみに去年 Findings構造と Typesの分類分 析結果をまとめ た基礎研修結果 の発表でした 7

  8. 今回もすごくコアですよ? 覚悟してください 8

  9. このセッションの楽しみ⽅ •GuardDutyマニアの⼈と、とりあえずなんだ かよくわからないけどニッチなことを話して いるのを聞くのが好きな⼈は楽しめるはず •おまけに最近のアップデートとかの話もあり ます 9

  10. 合わせて読みたい もう少し広いセキ ュリティ対策はだ いたいここに全部 ある https://dev.classmethod.jp/a rticles/aws-security-all-in- one-2021/ 10

  11. AWSセキュリティ初⼼者向け勉強会 Security-JAWSでは定常的なAWSセキュリティ学習の場として mini Security-JAWSを開催しています だいたい隔週⼟曜⽇10-12時開催 https://s-jaws.doorkeeper.jp/ 11

  12. こちらもご利⽤ください ⽇本語で学習する ためのコンテンツ をまとめています https://mini-study.security.jaws-ug.jp/ 12

  13. 前置きその2 今回もなんで コアなテーマなのか? 13

  14. インシデント⾃動調査提供中! GuardDuty の運⽤を ⽀援します https://classmethod.jp/aws/services /auto-investigation/ 14

  15. 調査結果の画像⽣成実装しました GuardDutyの 可視化をできる ようにしました 15

  16. 弊社サービス提供のためにやっている GuardDuty基礎研究 の成果報告です サービスで観測している結果も報告します 16

  17. アジェンダ •最近のアップデート •最近のGuardDutyの観測状況 •GuardDutyの可視化 17

  18. 最近のアップデート 18

  19. アップデート⼀覧 •EBSマルウェアスキャンのAWS管理キー対応 •ランタイムモニタリング機能の共有VPC対応 •GetUsageStatistics APIにRDSの使⽤率追加 •EC2ランタイム保護のリリース •2TiBまでEBSマルウェアスキャン対応 •Malware Protection for

    Amazon S3リリース •RDS ProtectionのRDS for PostgreSQL対応 •EC2ランタイム保護でUbuntuとDebian対応 19

  20. EBSスキャンAWS管理キー対応 すべてのEBSに 対してスキャン できるようにな った https://dev.classmethod.jp/articles/guarddut y-malwarescan-support-aws-managed-key/ 20

  21. ランタイムの共有VPC対応 Shared VPCで も利⽤できる ようになった https://dev.classmethod.jp/articles/gu ardduty-runtime-monitoring-now- supports-shared-vpcs/ 21

  22. GetUsageStatisticsのRDS対応 RDSの利⽤料も APIで取得でき る https://dev.classmethod.jp/articles/guar dduty-getusagestatistics-add-rds/ 22

  23. EC2ランタイム保護のリリース EC2にエージェントを⼊れて詳細スキャンできる 23 https://dev.classmethod.jp/articles/guardduty-ec2-runtime-monitoring-ga/

  24. 2TiBまでEBSスキャン対応 1TiBから2TiBに 増えました https://dev.classmethod.jp/ articles/update-guardduty- malware-scan-to-2tib/ 24

  25. S3のマルウェアスキャン re:Inforce 2024でリリースされた 25 https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/

  26. S3マルウェア保護は新しい仕組み •オプションの機能だけど、これまでと扱いが違う •追加でS3を指定して組み込む •アプリケーション要件として利⽤する 26

  27. S3イベントを使ったパターン例 •マルウェアを検出したら削除 •マルウェアを検出したら隔離 27

  28. RDS for PostgreSQL対応 不正ログインの 検出ができる 既存はAurora MySQLと Aurora PostgreSQL https://dev.classmethod.jp/articles/

    update-guarduty-rds-protection-to- rds-for-postgresql/ 28

  29. UbuntuとDebian対応 現状の対応OS • Amazon Linux 2 • Amazon Linux 2023

    • Ubuntu 20.04 • Ubuntu 22.04 • Debian 11 • Debian 12 https://dev.classmethod.jp/articles/guarddu ty-ec2-runtime-support-ubuntu-and-debian/ 29

  30. 最近のGuardDutyの 観測状況 30

  31. 直近1年くらいのFindings割合 31 主要なよくある Findingsのみ

  32. Recon:EC2/PortProbeUnprotectedPort ポートプローブされていて 保護されていないポート22 / 3389などがあると検出 利⽤者傾向により減った 32

  33. DefenseEvasion:EC2/UnusualDNSResolver パブリックDNSで過検知 しやすい 8.8.8.8など ここ1年ぐらい増えている 33

  34. Trojan:EC2/DGADomainRequest.B DGAで作られたドメイ ンに対するクエリを検 出する たまにWindows Server の謎検出がある 34

  35. Behavior:EC2/NetworkPortUnusual ぼちぼち検出される スポット作業をしたEC2 などの正常系を過検知 することが多い 35

  36. アノマリ系 •Discovery:IAMUser/AnomalousBehavior ◦最近⽐較的多い ◦Describe系で過検知される傾向 •Exfiltration:S3/AnomalousBehavior ◦Athena/Glueなど •Discovery:S3/AnomalousBehavior ◦実際の利⽤者 36

  37. GuardDutyの可視化 37

  38. 本題 •GuardDuty可視化の概要 •可視化する主要な項⽬ •可視化のポイント 38

  39. そもそもGuardDutyの可視化いる? Amazon Detective でも可視化 できる 39

  40. Detective可視化の⽋点 •Finding Groupsでしか作れない ◦複数の検出の関連性を解決する⽤途 •⽣成に時間がかかる •単体のFindingsでは作れない 40

  41. GuardDuty可視化のモチベーション •GuardDutyの検出時に すぐに状況を把握した い •簡易的でいいので直感 的に関係性を理解でき るようにしたい 41

  42. 可視化の⼿法 •Vis.jsを利⽤してグラフ⽣成 •Finding Types毎定義ファイルを作成 42

  43. 可視化する項⽬ •基本は2つのエンティティ ◦発⽣した事象の送信元と送信先 •外部はIPや国など •内部はリソース関連情報 •直感的に理解したいのでAWSのアイコンを並べた い •エンティティ間の関連性も知りたい 43

  44. 可視化の例 •リソースアイコンがあれ ばそれを使う •どちらの⽅向に通信した かは重要 •インスタンス名などIDじ ゃない⼈間が識別できる 情報が必要 44

  45. Detectiveのメリット •ログの集計とクエリ •ロケーションの可視化 •関連性を解決しドリルダウンできる 45

  46. 可視化のポイント •配置を固定する ◦上は外部 ◦下は内部 ◦Nodeをfixedオプショ ンで固定し座標指定 46

  47. 可視化のポイント •アイコンを切り替える ◦Findingsによっては対象リ ソースが動的に変わる ◦Action -> ServiceNameか らサービスの種類を判断 47

  48. 可視化のポイント •⽮印を動的に変更する •ActionTypeが NETWORK_CONNECTION の場合に ConnectionDirectionで通 信の⽅向を確認する 48

  49. まとめ 49

  50. まとめ •GuardDutyの運⽤するならGuardDutyの可 視化はよいぞ •Detectiveも使おう •とにかくGuardDutyを使おう! 50

  51. None
  52. None