Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をま...
Search
濱田孝治
January 18, 2024
Technology
4
1.4k
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をまるっとお届け〜
AWSマネージドサービスGuardDutyによる待望のコンテナランタイム脅威検知。その検知内容と設定上の注意事項、検出の様子をまとめてお届けします。
濱田孝治
January 18, 2024
Tweet
Share
More Decks by 濱田孝治
See All by 濱田孝治
ObservabilityCON on the Road Tokyoの見どころ
hamadakoji
0
210
製造現場のデジタル化における課題とPLC Data to Cloudによる新しいアプローチ
hamadakoji
0
470
可視化プラットフォームGrafanaの基本と活用方法の全て
hamadakoji
3
1.7k
20分で完全に理解するGrafanaダッシュボード
hamadakoji
5
2.9k
re:Invent2023で体験したIoT面白ワークショップ〜お絵描き2Dロボットの構築〜
hamadakoji
0
790
今改めて見直してみるラズパイの真価
hamadakoji
1
640
40分1本勝負 VPoE ハマコーvs20人の悩めるエンジニアリングマネージャー
hamadakoji
0
83
AWSの次世代プロセッサ Graviton2(Arm64)をLambdaとFargateで使うために考えるべきこと
hamadakoji
3
2.1k
エンジニアリングマネージャーの理想と現実
hamadakoji
13
8.6k
Other Decks in Technology
See All in Technology
企業テックブログにおける執筆ネタの考え方・見つけ方・広げ方 / How to Think of, Find, and Expand Writing Topics for Corporate Tech Blogs
honyanya
0
810
[SRE kaigi 2025] ガバメントクラウドに向けた開発と変化するSRE組織のあり方 / Development for Government Cloud and the Evolving Role of SRE Teams
kazeburo
4
1.9k
20250125_Agent for Amazon Bedrock試してみた
riz3f7
2
110
CNAPPから考えるAWSガバナンスの実践と最適化
nrinetcom
PRO
1
330
MCP server を作って Claude Desktop アプリから kintone へアクセスすると楽しい
r3_yamauchi
PRO
1
120
Women in Agile
kawaguti
PRO
2
170
Redshiftを中心としたAWSでのデータ基盤
mashiike
0
100
2025/1/29 BigData-JAWS 勉強会 #28 (re:Invent 2024 re:Cap)/new-feature-preview-q-in-quicksight-scenarios-tried-and-tested
emiki
0
310
ココナラのセキュリティ組織の体制・役割・今後目指す世界
coconala_engineer
0
220
re:Invent Recap (January 2025)
scalefactory
0
340
Grid表示のレイアウトで Flow layoutsを使う
cffyoha
1
150
Tech Blog執筆のモチベート向上作戦
imamura_ko_0314
0
740
Featured
See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Fireside Chat
paigeccino
34
3.2k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
3
380
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
GraphQLとの向き合い方2022年版
quramy
44
13k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
192
16k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Making Projects Easy
brettharned
116
6k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.8k
Practical Orchestrator
shlominoach
186
10k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
44
9.4k
Transcript
GuardDutyによる コンテナランタイム脅威検知のすべて 〜その凄さと設定注意点と検知の様⼦をまるっとお届け〜 1 濱⽥孝治(ハマコー)
2 About me 濱⽥孝治(ハマコー) • @hamako9999 • 最近の流⾏ • ランニング
• フロストバイトロードレース(ハーフ) • さいたまマラソン(フル) • サイバーパンク2077 仮初めの⾃由 • Cities Skylines2 • このゲームめっちゃ重いので、誰かGeForce RTX 4070下さい
3 最初に みなさんあの⽇の 感動と興奮を覚えていますか︖
4 最初に
5 最初に これはre:Invent 2022 の出来事です
6 遥かなる時を経て2023年11⽉26⽇リリース︕︕ ref: https://aws.amazon.com/jp/blogs/aws/introducing-amazon-guardduty-ecs-runtime-monitoring-including-aws-fargate/
7 というわけで 世界が注⽬、そして待望していた コンテナランタイム脅威検知を 皆さんにお届け
8 Agenda • Container runtime threat detectionとは • 動作イメージ •
設定⽅法と設定上の注意点 • 実際に脅威を検出してみた • まとめ
9 Container runtime threat detectionとは
10 Container runtime threat detectionとは GuardDutyの新機能としてECS Runtime Monitoring が提供 •
実⾏中のECSタスクにおいて、ランタイムの脅威を ⽰す可能性のあるイベントを検出 • GuadDutyに集約されるので、他のセキュリティ脅 威と合わせて包括的に脅威情報を集約し管理可能 • ECS on FargateはGA(今⽇の話は全部こちら) • ECS on EC2はPreview
11 実際になにが検出されるのか︖ • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
12 なにが嬉しいのか︖ これまでは、実⾏中のECSタスクの ランタイム脅威検知にはそれなりに ⾼価な商⽤製品の導⼊が必須だった • ex. Sysdig, aqua, dynatrace
• aquaは、脅威検知後のコンテナ 保護機能などもあり AWSマネージドな仕組みだけでこの ランタイム検知ができるようになっ たのは素晴らしい進化︕
13 動作イメージ
14 動作イメージ •設定はクラスター 単位で実施(配下 の全サービスが対 象) •タスク起動時にフ ルマネージドな GuardDutyサイド カーコンテナが⾃
動的に起動し、検 出した脅威の GuadDutyへの通 知を実施
15 設定⽅法と設定上の注意点
16 ほなやってみよと思ったそこのあなたへ 設定はめちゃくちゃ簡単
17 安易にやるとめちゃくちゃ 影響範囲が⼤きくなります
18 設定時間30秒、影響範囲はリージョン全部 GuadDuty -> ランタイムモニタリングを開いて 「ランタイムモニタリング」を有効 「AWS Fargate」を有効 にするだけ これだけで、設定したリージョンの全てのECSクラ
スターが検出対象になる
19 ランタイム脅威検知で利⽤するリソースと料⾦ 検出対象になったクラスターで注意しておくべき代表点 • ECSタスクのリソース • ECSタスク定義はそのままの場合、設定したリソースを追加される GuadDuty⽤のサイドカーコンテナが利⽤するので、注意が必要(CPU and memory
limits) • サイドカーコンテナの料⾦ • 超ざっくりで4%ぐらいのコスト増 • 参考︓Intelligent Threat Detection – Amazon GuardDuty Pricing • ⼀度設定すると、今後作成する全てのクラスターが上記の影響を受 けることも注意
20 ECSクラスターを設定対象外にする⽅法 クラスターに事前に以下のタグを付与しておく • Key:GuardDutyManaged • Value:false プロダクション環境などで設定する場合は、意図せぬと ころに影響が出ないように注意
21 実際に脅威を検出してみた
22 やっぱり 実際に検出してみないと やっぱりねぇ、実感がわかないよねぇ
23 検出対象にしてみた脅威 • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
24 検出するためのツール ECS ExecでFargateにログインして コマンド実⾏
25 CryptoCurrency:Runtime/BitcoinTool.B!DNS 暗号通貨関連ドメイン pool.supportxmr.comへのDNS クエリ。これはほぼ確実に毎回出る。 他にも同じような挙動をするドメインがあるかどうか ChatGPTに聞いてみたら、それは教えられないよ、と ⾔われました。
26 参考にしたブログ https://dev.classmethod.jp/articles/guardduty-findings-test-cryptocurrency/
27 Execution:Runtime/NewBinaryExecuted インストールしたバ イナリ実⾏の脅威が 検知。 Nmapコマンド使っ ているので、ポート スキャン脅威がでる かと思いきや、ここ では、新バイナリの
実⾏の脅威で検知さ れていた
28 しばらくの間 実際の画⾯を⾒てみましょう
29 検出した後の運⽤をどうするか 設定したは良いが、実際に検出されたときの運⽤も考え ておくのが⼤事 • Managing Amazon GuardDuty findings -
Amazon GuardDuty • 公式ドキュメント。運⽤についての詳細が記載されてある [2021年版]Amazon GuardDutyによるAWSセキュリティ運用を 考える | DevelopersIO • セキュリティHero、⾅⽥の記事 • Amazon GuardDuty ECS Runtime Monitoringで脅威を検出した ECSタスクを自動停止してみた | DevelopersIO • トクヤマシュンによる脅威検知対象ECSタスクの⾃動停⽌
30 まとめ
31 • ECSにおけるコンテナランタイム検知がマネージド な仕組みだけでできるようになったので⼤いに活⽤ の余地あり︕ • 設定は異常に簡単だが影響範囲が⼤きいため、事前 の計画は必須 • コンテナセキュリティ全般は、ビルドプロセスにお
けるイメージスキャンやIAMの最⼩権限の⽅策など と合わせて包括的に対処しましょう︕
32 皆さんのECS環境 よりセキュアに安全に 使っていきましょう︕