Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GuardDutyを可視化して、君もGuardDutyマスターになろう!
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
cm-usuda-keisuke
July 09, 2024
Technology
2
1.9k
GuardDutyを可視化して、君もGuardDutyマスターになろう!
7/9に実施したClassmethod Odysseyの登壇内容です。
https://classmethod.jp/m/odyssey/
詳細は下記ブログで確認してください。
cm-usuda-keisuke
July 09, 2024
Tweet
Share
More Decks by cm-usuda-keisuke
See All by cm-usuda-keisuke
わたしがセキュアにAWSを使えるわけないじゃん、ムリムリ!(※ムリじゃなかった!?)
cmusudakeisuke
0
29
AWSセキュリティアップデートとAWSを育てる話
cmusudakeisuke
0
480
[読書]AWSゲームブック〜GuardDuty魔神とインシデント対応の旅〜DevIO2025
cmusudakeisuke
0
1.9k
初めてAWSを使うときのセキュリティ覚書〜初心者支部編〜
cmusudakeisuke
1
530
いつの間にか入れ替わってる!?新しいAWS Security Hubとは?
cmusudakeisuke
0
600
Security Hubの利用者調査とお悩み相談をやってます! in JAWS-UG東京
cmusudakeisuke
0
130
新機能Amazon GuardDuty Extended Threat Detectionはネ申って話
cmusudakeisuke
0
1.3k
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
480
ツンデレなGuardDutyをプロデュースして世界一のアイドルにする話
cmusudakeisuke
0
750
Other Decks in Technology
See All in Technology
Bill One 開発エンジニア 紹介資料
sansan33
PRO
5
18k
Databricksアシスタントが自分で考えて動く時代に! エージェントモード体験もくもく会
taka_aki
0
320
研究開発部メンバーの働き⽅ / Sansan R&D Profile
sansan33
PRO
4
22k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
7
7.1k
Claude Cowork Plugins を読む - Skills駆動型業務エージェント設計の実像と構造
knishioka
0
260
vLLM Community Meetup Tokyo #3 オープニングトーク
jpishikawa
0
110
OpenClawで回す組織運営
jacopen
2
450
OSSで構築するIT基盤管理実践事例: NetBox・Snipe-IT・FreeRADIUS+PrivacyIDEA / Practical Case Studies of IT Infrastructure Management Using OSS
nttcom
0
200
ビズリーチにおける検索・推薦の取り組み / DEIM2026
visional_engineering_and_design
1
100
大規模な組織におけるAI Agent活用の促進と課題
lycorptech_jp
PRO
6
7.8k
Security Diaries of an Open Source IAM
ahus1
0
200
メタデータ同期に潜んでいた問題 〜 Cache Stampede 時の Cycle Wait を⾒つけた話
lycorptech_jp
PRO
0
150
Featured
See All Featured
Embracing the Ebb and Flow
colly
88
5k
Designing Powerful Visuals for Engaging Learning
tmiket
0
260
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
150
The SEO Collaboration Effect
kristinabergwall1
0
380
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
62
51k
Making the Leap to Tech Lead
cromwellryan
135
9.8k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Git: the NoSQL Database
bkeepers
PRO
432
66k
Technical Leadership for Architectural Decision Making
baasie
3
270
The Cult of Friendly URLs
andyhume
79
6.8k
So, you think you're a good person
axbom
PRO
2
1.9k
The Curse of the Amulet
leimatthew05
1
9.6k
Transcript
GuardDutyを可視化して、 君もGuardDutyマスターになろう! 2024/7/9 ハッシュタグ: #cm_odyssey AWS事業本部 ⾅⽥佳祐
Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い
こんにちは、⾅⽥です。 みなさん、 GuardDutyと戯れてますか?(挨拶 3
⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN Ambassador
2024 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective 4 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective
前置きその1 セッションタイトルと 概要をちゃんと確認しましたか? 5
こんなやつ •知る必要がないくら い深い話をしますよ •可視化するための術 をディープダイブし ます 6
ちなみに去年 Findings構造と Typesの分類分 析結果をまとめ た基礎研修結果 の発表でした 7
今回もすごくコアですよ? 覚悟してください 8
このセッションの楽しみ⽅ •GuardDutyマニアの⼈と、とりあえずなんだ かよくわからないけどニッチなことを話して いるのを聞くのが好きな⼈は楽しめるはず •おまけに最近のアップデートとかの話もあり ます 9
合わせて読みたい もう少し広いセキ ュリティ対策はだ いたいここに全部 ある https://dev.classmethod.jp/a rticles/aws-security-all-in- one-2021/ 10
AWSセキュリティ初⼼者向け勉強会 Security-JAWSでは定常的なAWSセキュリティ学習の場として mini Security-JAWSを開催しています だいたい隔週⼟曜⽇10-12時開催 https://s-jaws.doorkeeper.jp/ 11
こちらもご利⽤ください ⽇本語で学習する ためのコンテンツ をまとめています https://mini-study.security.jaws-ug.jp/ 12
前置きその2 今回もなんで コアなテーマなのか? 13
インシデント⾃動調査提供中! GuardDuty の運⽤を ⽀援します https://classmethod.jp/aws/services /auto-investigation/ 14
調査結果の画像⽣成実装しました GuardDutyの 可視化をできる ようにしました 15
弊社サービス提供のためにやっている GuardDuty基礎研究 の成果報告です サービスで観測している結果も報告します 16
アジェンダ •最近のアップデート •最近のGuardDutyの観測状況 •GuardDutyの可視化 17
最近のアップデート 18
アップデート⼀覧 •EBSマルウェアスキャンのAWS管理キー対応 •ランタイムモニタリング機能の共有VPC対応 •GetUsageStatistics APIにRDSの使⽤率追加 •EC2ランタイム保護のリリース •2TiBまでEBSマルウェアスキャン対応 •Malware Protection for
Amazon S3リリース •RDS ProtectionのRDS for PostgreSQL対応 •EC2ランタイム保護でUbuntuとDebian対応 19
EBSスキャンAWS管理キー対応 すべてのEBSに 対してスキャン できるようにな った https://dev.classmethod.jp/articles/guarddut y-malwarescan-support-aws-managed-key/ 20
ランタイムの共有VPC対応 Shared VPCで も利⽤できる ようになった https://dev.classmethod.jp/articles/gu ardduty-runtime-monitoring-now- supports-shared-vpcs/ 21
GetUsageStatisticsのRDS対応 RDSの利⽤料も APIで取得でき る https://dev.classmethod.jp/articles/guar dduty-getusagestatistics-add-rds/ 22
EC2ランタイム保護のリリース EC2にエージェントを⼊れて詳細スキャンできる 23 https://dev.classmethod.jp/articles/guardduty-ec2-runtime-monitoring-ga/
2TiBまでEBSスキャン対応 1TiBから2TiBに 増えました https://dev.classmethod.jp/ articles/update-guardduty- malware-scan-to-2tib/ 24
S3のマルウェアスキャン re:Inforce 2024でリリースされた 25 https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/
S3マルウェア保護は新しい仕組み •オプションの機能だけど、これまでと扱いが違う •追加でS3を指定して組み込む •アプリケーション要件として利⽤する 26
S3イベントを使ったパターン例 •マルウェアを検出したら削除 •マルウェアを検出したら隔離 27
RDS for PostgreSQL対応 不正ログインの 検出ができる 既存はAurora MySQLと Aurora PostgreSQL https://dev.classmethod.jp/articles/
update-guarduty-rds-protection-to- rds-for-postgresql/ 28
UbuntuとDebian対応 現状の対応OS • Amazon Linux 2 • Amazon Linux 2023
• Ubuntu 20.04 • Ubuntu 22.04 • Debian 11 • Debian 12 https://dev.classmethod.jp/articles/guarddu ty-ec2-runtime-support-ubuntu-and-debian/ 29
最近のGuardDutyの 観測状況 30
直近1年くらいのFindings割合 31 主要なよくある Findingsのみ
Recon:EC2/PortProbeUnprotectedPort ポートプローブされていて 保護されていないポート22 / 3389などがあると検出 利⽤者傾向により減った 32
DefenseEvasion:EC2/UnusualDNSResolver パブリックDNSで過検知 しやすい 8.8.8.8など ここ1年ぐらい増えている 33
Trojan:EC2/DGADomainRequest.B DGAで作られたドメイ ンに対するクエリを検 出する たまにWindows Server の謎検出がある 34
Behavior:EC2/NetworkPortUnusual ぼちぼち検出される スポット作業をしたEC2 などの正常系を過検知 することが多い 35
アノマリ系 •Discovery:IAMUser/AnomalousBehavior ◦最近⽐較的多い ◦Describe系で過検知される傾向 •Exfiltration:S3/AnomalousBehavior ◦Athena/Glueなど •Discovery:S3/AnomalousBehavior ◦実際の利⽤者 36
GuardDutyの可視化 37
本題 •GuardDuty可視化の概要 •可視化する主要な項⽬ •可視化のポイント 38
そもそもGuardDutyの可視化いる? Amazon Detective でも可視化 できる 39
Detective可視化の⽋点 •Finding Groupsでしか作れない ◦複数の検出の関連性を解決する⽤途 •⽣成に時間がかかる •単体のFindingsでは作れない 40
GuardDuty可視化のモチベーション •GuardDutyの検出時に すぐに状況を把握した い •簡易的でいいので直感 的に関係性を理解でき るようにしたい 41
可視化の⼿法 •Vis.jsを利⽤してグラフ⽣成 •Finding Types毎定義ファイルを作成 42
可視化する項⽬ •基本は2つのエンティティ ◦発⽣した事象の送信元と送信先 •外部はIPや国など •内部はリソース関連情報 •直感的に理解したいのでAWSのアイコンを並べた い •エンティティ間の関連性も知りたい 43
可視化の例 •リソースアイコンがあれ ばそれを使う •どちらの⽅向に通信した かは重要 •インスタンス名などIDじ ゃない⼈間が識別できる 情報が必要 44
Detectiveのメリット •ログの集計とクエリ •ロケーションの可視化 •関連性を解決しドリルダウンできる 45
可視化のポイント •配置を固定する ◦上は外部 ◦下は内部 ◦Nodeをfixedオプショ ンで固定し座標指定 46
可視化のポイント •アイコンを切り替える ◦Findingsによっては対象リ ソースが動的に変わる ◦Action -> ServiceNameか らサービスの種類を判断 47
可視化のポイント •⽮印を動的に変更する •ActionTypeが NETWORK_CONNECTION の場合に ConnectionDirectionで通 信の⽅向を確認する 48
まとめ 49
まとめ •GuardDutyの運⽤するならGuardDutyの可 視化はよいぞ •Detectiveも使おう •とにかくGuardDutyを使おう! 50
None
None
cmusudakeisuke
sansan33
taka_aki
oracle4engineer
knishioka
jpishikawa
jacopen
nttcom
visional_engineering_and_design
lycorptech_jp
ahus1
colly
tmiket
ryanjones
kristinabergwall1
soudai
cromwellryan
chriscoyier
bkeepers
baasie
andyhume
axbom
leimatthew05
