Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GuardDutyを可視化して、君もGuardDutyマスターになろう!

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for cm-usuda-keisuke cm-usuda-keisuke
July 09, 2024
Technology
2k
2

 GuardDutyを可視化して、君もGuardDutyマスターになろう!

7/9に実施したClassmethod Odysseyの登壇内容です。
https://classmethod.jp/m/odyssey/
詳細は下記ブログで確認してください。

Avatar for cm-usuda-keisuke

cm-usuda-keisuke

July 09, 2024

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
わたしがセキュアにAWSを使えるわけないじゃん、ムリムリ!(※ムリじゃなかった!?)
Avatar for cm-usuda-keisuke cmusudakeisuke
2
1k
AWSセキュリティアップデートとAWSを育てる話
Avatar for cm-usuda-keisuke cmusudakeisuke
0
620
[読書]AWSゲームブック〜GuardDuty魔神とインシデント対応の旅〜DevIO2025
Avatar for cm-usuda-keisuke cmusudakeisuke
0
1.9k
初めてAWSを使うときのセキュリティ覚書〜初心者支部編〜
Avatar for cm-usuda-keisuke cmusudakeisuke
1
600
いつの間にか入れ替わってる!?新しいAWS Security Hubとは?
Avatar for cm-usuda-keisuke cmusudakeisuke
0
720
Security Hubの利用者調査とお悩み相談をやってます! in JAWS-UG東京
Avatar for cm-usuda-keisuke cmusudakeisuke
0
140
新機能Amazon GuardDuty Extended Threat Detectionはネ申って話
Avatar for cm-usuda-keisuke cmusudakeisuke
0
1.4k
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
Avatar for cm-usuda-keisuke cmusudakeisuke
0
500
ツンデレなGuardDutyをプロデュースして世界一のアイドルにする話
Avatar for cm-usuda-keisuke cmusudakeisuke
0
770

Other Decks in Technology

See All in Technology
マルチモーダル非構造データとの闘い
Avatar for shibuiwilliam shibuiwilliam
2
310
AI時代に新卒採用、はじめました/junior-engineer-never-die
Avatar for dmnlk dmnlk
0
230
暗黙知について一歩踏み込んで考える - 暗黙知の4タイプと暗黙考・暗黙動へ
Avatar for Masaya Mori (森正弥) / CAIO (Chief AI Officer) masayamoriofficial
0
780
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」ご紹介資料
Avatar for Sho Nakatani laysakura
0
1.6k
ふりかえりがなかった職能横断チームにふりかえりを導入してみて学んだこと 〜チームのふりかえりを「みんなで未来を考える場」にするプロローグ設計〜
Avatar for Masahiro Shimokawa masahiro1214shimokawa
0
260
Bluesky Meetup in Tokyo vol.4 - 2023to2026
Avatar for Takuma Shinohara shinoharata
0
130
さくらのクラウドでつくるCloudNative Daysのオブザーバビリティ基盤
Avatar for Taisuke Okamoto a.k.a BigBaBy b1gb4by
0
140
GitHub Copilotを極める会 - 開発者のための活用術
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
6
3.7k
🀄️ on swiftc
Avatar for giginet giginet
PRO
0
260
Zero Data Loss Autonomous Recovery Service サービス概要
Avatar for oracle4engineer oracle4engineer
PRO
4
14k
【Findy FDE登壇_2026_04_14】— 現場課題を本気で解いてたら、FDEになってた話
Avatar for Koji Miyata miyatakoji
0
780
Hooks, Filters & Now Context: Why MCPs Are the “Hooks” of the AI Era
Avatar for Miriam Schwab miriamschwab
0
130

Featured

See All Featured
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
163
24k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.8k
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
160
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.4k
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.6k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
270
14k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
27
3.4k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.1k
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
33k

Transcript

  1. GuardDutyを可視化して、 君もGuardDutyマスターになろう! 2024/7/9 ハッシュタグ: #cm_odyssey AWS事業本部 ⾅⽥佳祐

  2. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

  3. こんにちは、⾅⽥です。 みなさん、 GuardDutyと戯れてますか?(挨拶 3

  4. ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN Ambassador

    2024 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective 4 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

  5. 前置きその1 セッションタイトルと 概要をちゃんと確認しましたか? 5

  6. こんなやつ •知る必要がないくら い深い話をしますよ •可視化するための術 をディープダイブし ます 6

  7. ちなみに去年 Findings構造と Typesの分類分 析結果をまとめ た基礎研修結果 の発表でした 7

  8. 今回もすごくコアですよ? 覚悟してください 8

  9. このセッションの楽しみ⽅ •GuardDutyマニアの⼈と、とりあえずなんだ かよくわからないけどニッチなことを話して いるのを聞くのが好きな⼈は楽しめるはず •おまけに最近のアップデートとかの話もあり ます 9

  10. 合わせて読みたい もう少し広いセキ ュリティ対策はだ いたいここに全部 ある https://dev.classmethod.jp/a rticles/aws-security-all-in- one-2021/ 10

  11. AWSセキュリティ初⼼者向け勉強会 Security-JAWSでは定常的なAWSセキュリティ学習の場として mini Security-JAWSを開催しています だいたい隔週⼟曜⽇10-12時開催 https://s-jaws.doorkeeper.jp/ 11

  12. こちらもご利⽤ください ⽇本語で学習する ためのコンテンツ をまとめています https://mini-study.security.jaws-ug.jp/ 12

  13. 前置きその2 今回もなんで コアなテーマなのか? 13

  14. インシデント⾃動調査提供中! GuardDuty の運⽤を ⽀援します https://classmethod.jp/aws/services /auto-investigation/ 14

  15. 調査結果の画像⽣成実装しました GuardDutyの 可視化をできる ようにしました 15

  16. 弊社サービス提供のためにやっている GuardDuty基礎研究 の成果報告です サービスで観測している結果も報告します 16

  17. アジェンダ •最近のアップデート •最近のGuardDutyの観測状況 •GuardDutyの可視化 17

  18. 最近のアップデート 18

  19. アップデート⼀覧 •EBSマルウェアスキャンのAWS管理キー対応 •ランタイムモニタリング機能の共有VPC対応 •GetUsageStatistics APIにRDSの使⽤率追加 •EC2ランタイム保護のリリース •2TiBまでEBSマルウェアスキャン対応 •Malware Protection for

    Amazon S3リリース •RDS ProtectionのRDS for PostgreSQL対応 •EC2ランタイム保護でUbuntuとDebian対応 19

  20. EBSスキャンAWS管理キー対応 すべてのEBSに 対してスキャン できるようにな った https://dev.classmethod.jp/articles/guarddut y-malwarescan-support-aws-managed-key/ 20

  21. ランタイムの共有VPC対応 Shared VPCで も利⽤できる ようになった https://dev.classmethod.jp/articles/gu ardduty-runtime-monitoring-now- supports-shared-vpcs/ 21

  22. GetUsageStatisticsのRDS対応 RDSの利⽤料も APIで取得でき る https://dev.classmethod.jp/articles/guar dduty-getusagestatistics-add-rds/ 22

  23. EC2ランタイム保護のリリース EC2にエージェントを⼊れて詳細スキャンできる 23 https://dev.classmethod.jp/articles/guardduty-ec2-runtime-monitoring-ga/

  24. 2TiBまでEBSスキャン対応 1TiBから2TiBに 増えました https://dev.classmethod.jp/ articles/update-guardduty- malware-scan-to-2tib/ 24

  25. S3のマルウェアスキャン re:Inforce 2024でリリースされた 25 https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/

  26. S3マルウェア保護は新しい仕組み •オプションの機能だけど、これまでと扱いが違う •追加でS3を指定して組み込む •アプリケーション要件として利⽤する 26

  27. S3イベントを使ったパターン例 •マルウェアを検出したら削除 •マルウェアを検出したら隔離 27

  28. RDS for PostgreSQL対応 不正ログインの 検出ができる 既存はAurora MySQLと Aurora PostgreSQL https://dev.classmethod.jp/articles/

    update-guarduty-rds-protection-to- rds-for-postgresql/ 28

  29. UbuntuとDebian対応 現状の対応OS • Amazon Linux 2 • Amazon Linux 2023

    • Ubuntu 20.04 • Ubuntu 22.04 • Debian 11 • Debian 12 https://dev.classmethod.jp/articles/guarddu ty-ec2-runtime-support-ubuntu-and-debian/ 29

  30. 最近のGuardDutyの 観測状況 30

  31. 直近1年くらいのFindings割合 31 主要なよくある Findingsのみ

  32. Recon:EC2/PortProbeUnprotectedPort ポートプローブされていて 保護されていないポート22 / 3389などがあると検出 利⽤者傾向により減った 32

  33. DefenseEvasion:EC2/UnusualDNSResolver パブリックDNSで過検知 しやすい 8.8.8.8など ここ1年ぐらい増えている 33

  34. Trojan:EC2/DGADomainRequest.B DGAで作られたドメイ ンに対するクエリを検 出する たまにWindows Server の謎検出がある 34

  35. Behavior:EC2/NetworkPortUnusual ぼちぼち検出される スポット作業をしたEC2 などの正常系を過検知 することが多い 35

  36. アノマリ系 •Discovery:IAMUser/AnomalousBehavior ◦最近⽐較的多い ◦Describe系で過検知される傾向 •Exfiltration:S3/AnomalousBehavior ◦Athena/Glueなど •Discovery:S3/AnomalousBehavior ◦実際の利⽤者 36

  37. GuardDutyの可視化 37

  38. 本題 •GuardDuty可視化の概要 •可視化する主要な項⽬ •可視化のポイント 38

  39. そもそもGuardDutyの可視化いる? Amazon Detective でも可視化 できる 39

  40. Detective可視化の⽋点 •Finding Groupsでしか作れない ◦複数の検出の関連性を解決する⽤途 •⽣成に時間がかかる •単体のFindingsでは作れない 40

  41. GuardDuty可視化のモチベーション •GuardDutyの検出時に すぐに状況を把握した い •簡易的でいいので直感 的に関係性を理解でき るようにしたい 41

  42. 可視化の⼿法 •Vis.jsを利⽤してグラフ⽣成 •Finding Types毎定義ファイルを作成 42

  43. 可視化する項⽬ •基本は2つのエンティティ ◦発⽣した事象の送信元と送信先 •外部はIPや国など •内部はリソース関連情報 •直感的に理解したいのでAWSのアイコンを並べた い •エンティティ間の関連性も知りたい 43

  44. 可視化の例 •リソースアイコンがあれ ばそれを使う •どちらの⽅向に通信した かは重要 •インスタンス名などIDじ ゃない⼈間が識別できる 情報が必要 44

  45. Detectiveのメリット •ログの集計とクエリ •ロケーションの可視化 •関連性を解決しドリルダウンできる 45

  46. 可視化のポイント •配置を固定する ◦上は外部 ◦下は内部 ◦Nodeをfixedオプショ ンで固定し座標指定 46

  47. 可視化のポイント •アイコンを切り替える ◦Findingsによっては対象リ ソースが動的に変わる ◦Action -> ServiceNameか らサービスの種類を判断 47

  48. 可視化のポイント •⽮印を動的に変更する •ActionTypeが NETWORK_CONNECTION の場合に ConnectionDirectionで通 信の⽅向を確認する 48

  49. まとめ 49

  50. まとめ •GuardDutyの運⽤するならGuardDutyの可 視化はよいぞ •Detectiveも使おう •とにかくGuardDutyを使おう! 50

  51. None
  52. None