Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Amazon GuardDuty での脅威検出:脅威検出の実例から学ぶ

Amazon GuardDuty での脅威検出:脅威検出の実例から学ぶ

Avatar for KintoTech_Dev

KintoTech_Dev

August 06, 2025
Tweet

More Decks by KintoTech_Dev

Other Decks in Technology

Transcript

  1. 自己紹介 • 氏名 : 桑原 大輔(くわはら だいすけ) • 所属 :

    KINTOテクノロジーズ株式会社 (KTC) @Osaka Tech Lab クラウドセキュリティ グループ 兼 サイバーセキュリティ グループ • 業務 : 主に AWS や Google Cloud などの クラウドレイヤのセキュリティや SOC 業務を担当
  2. [参考] KTC ではマルチクラウド環境であり、 サードパーティーの脅威検知サービスも活用 クラウド 仕組み データソース AWS • Amazon

    GuardDuty • AWS CloudTrail • VPC flow logs • DNS log • S3 CloudTrail データイベント Google Cloud • Sysdig Secure CDR (Cloud Detection and Response) • Cloud Audit Logs Azure • Sysdig Secure CDR (Cloud Detection and Response) • Azure アクティビティログ クラウドレイヤの 脅威検出 例 • クラウド環境内での不正な活動や不正アクセス、疑わしい行動 • 異常な API 呼び出しや、予期しないリソースの使用など • データの不正な流出 • クラウドストレージからの大量のデータ転送や、予期しない場所へのデータ転送 • 悪意ある IP アドレスからのアクセス • 脅威検知サービスが保有する悪意ある IP アドレスからのアクセス検知 • マルウェアの検出 • マルウェアや暗号通過マイニング活動の検知 • C&C サーバーとの通信の検知
  3. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled AnomalousBehavior

    の中でも S3 関連のアラートは、2 〜 3 カ月に一度の バッチ処理や分析作業などの非定常作業にて、アラートが発生しやすい 傾向あり。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual
  4. Discovery:IAMUser/AnomalousBehavior Policy:S3/BucketBlockPublicAccessDisabled InitialAccess:IAMUser/AnomalousBehavior Impact:IAMUser/AnomalousBehavior Exfiltration:S3/AnomalousBehavior Discovery:S3/AnomalousBehavior CredentialAccess:IAMUser/AnomalousBehavior Impact:S3/AnomalousBehavior.Write Stealth:IAMUser/CloudTrailLoggingDisabled Terraform

    で管理されている S3 バケットを削除すると、 仕様上アラートが必ず発生するが、これは正常な動作 で問題ない。 Policy:IAMUser/RootCredentialUsage Recon:EC2/Portscan Behavior:EC2/NetworkPortUnusual バケット削除とセットに なっていれば問題なし