GuardDutyを可視化して、君もGuardDutyマスターになろう！

by cm-usuda-keisuke

Slide 1

Slide 1 text

GuardDutyを可視化して、君もGuardDutyマスターになろう！ 2024/7/9 ハッシュタグ: #cm_odyssey AWS事業本部⾅⽥佳祐

Slide 2

Slide 2 text

Xへの投稿の際は、ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

Slide 3

Slide 3 text

こんにちは、⾅⽥です。みなさん、 GuardDutyと戯れてますか？(挨拶 3

Slide 4

Slide 4 text

⾃⼰紹介⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダー 2021 APN Ambassador 2024 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective 4 みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

Slide 5

Slide 5 text

前置きその1 セッションタイトルと概要をちゃんと確認しましたか？ 5

Slide 6

Slide 6 text

こんなやつ ●知る必要がないくらい深い話をしますよ ●可視化するための術をディープダイブします 6

Slide 7

Slide 7 text

ちなみに去年 Findings構造と Typesの分類分析結果をまとめた基礎研修結果の発表でした 7

Slide 8

Slide 8 text

今回もすごくコアですよ？覚悟してください 8

Slide 9

Slide 9 text

このセッションの楽しみ⽅ ●GuardDutyマニアの⼈と、とりあえずなんだかよくわからないけどニッチなことを話しているのを聞くのが好きな⼈は楽しめるはず ●おまけに最近のアップデートとかの話もあります 9

Slide 10

Slide 10 text

合わせて読みたいもう少し広いセキュリティ対策はだいたいここに全部ある https://dev.classmethod.jp/a rticles/aws-security-all-in- one-2021/ 10

Slide 11

Slide 11 text

AWSセキュリティ初⼼者向け勉強会 Security-JAWSでは定常的なAWSセキュリティ学習の場として mini Security-JAWSを開催していますだいたい隔週⼟曜⽇10-12時開催 https://s-jaws.doorkeeper.jp/ 11

Slide 12

Slide 12 text

こちらもご利⽤ください⽇本語で学習するためのコンテンツをまとめています https://mini-study.security.jaws-ug.jp/ 12

Slide 13

Slide 13 text

前置きその２今回もなんでコアなテーマなのか？ 13

Slide 14

Slide 14 text

インシデント⾃動調査提供中！ GuardDuty の運⽤を⽀援します https://classmethod.jp/aws/services /auto-investigation/ 14

Slide 15

Slide 15 text

調査結果の画像⽣成実装しました GuardDutyの可視化をできるようにしました 15

Slide 16

Slide 16 text

弊社サービス提供のためにやっている GuardDuty基礎研究の成果報告ですサービスで観測している結果も報告します 16

Slide 17

Slide 17 text

アジェンダ ●最近のアップデート ●最近のGuardDutyの観測状況 ●GuardDutyの可視化 17

Slide 18

Slide 18 text

最近のアップデート 18

Slide 19

Slide 19 text

アップデート⼀覧 ●EBSマルウェアスキャンのAWS管理キー対応 ●ランタイムモニタリング機能の共有VPC対応 ●GetUsageStatistics APIにRDSの使⽤率追加 ●EC2ランタイム保護のリリース ●2TiBまでEBSマルウェアスキャン対応 ●Malware Protection for Amazon S3リリース ●RDS ProtectionのRDS for PostgreSQL対応 ●EC2ランタイム保護でUbuntuとDebian対応 19

Slide 20

Slide 20 text

EBSスキャンAWS管理キー対応すべてのEBSに対してスキャンできるようになった https://dev.classmethod.jp/articles/guarddut y-malwarescan-support-aws-managed-key/ 20

Slide 21

Slide 21 text

ランタイムの共有VPC対応 Shared VPCでも利⽤できるようになった https://dev.classmethod.jp/articles/gu ardduty-runtime-monitoring-now- supports-shared-vpcs/ 21

Slide 22

Slide 22 text

GetUsageStatisticsのRDS対応 RDSの利⽤料も APIで取得できる https://dev.classmethod.jp/articles/guar dduty-getusagestatistics-add-rds/ 22

Slide 23

Slide 23 text

EC2ランタイム保護のリリース EC2にエージェントを⼊れて詳細スキャンできる 23 https://dev.classmethod.jp/articles/guardduty-ec2-runtime-monitoring-ga/

Slide 24

Slide 24 text

2TiBまでEBSスキャン対応 1TiBから2TiBに増えました https://dev.classmethod.jp/ articles/update-guardduty- malware-scan-to-2tib/ 24

Slide 25

Slide 25 text

S3のマルウェアスキャン re:Inforce 2024でリリースされた 25 https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/

Slide 26

Slide 26 text

S3マルウェア保護は新しい仕組み ●オプションの機能だけど、これまでと扱いが違う ●追加でS3を指定して組み込む ●アプリケーション要件として利⽤する 26

Slide 27

Slide 27 text

S3イベントを使ったパターン例 ●マルウェアを検出したら削除 ●マルウェアを検出したら隔離 27

Slide 28

Slide 28 text

RDS for PostgreSQL対応不正ログインの検出ができる既存はAurora MySQLと Aurora PostgreSQL https://dev.classmethod.jp/articles/ update-guarduty-rds-protection-to- rds-for-postgresql/ 28

Slide 29

Slide 29 text

UbuntuとDebian対応現状の対応OS • Amazon Linux 2 • Amazon Linux 2023 • Ubuntu 20.04 • Ubuntu 22.04 • Debian 11 • Debian 12 https://dev.classmethod.jp/articles/guarddu ty-ec2-runtime-support-ubuntu-and-debian/ 29

Slide 30

Slide 30 text

最近のGuardDutyの観測状況 30

Slide 31

Slide 31 text

直近1年くらいのFindings割合 31 主要なよくある Findingsのみ

Slide 32

Slide 32 text

Recon:EC2/PortProbeUnprotectedPort ポートプローブされていて保護されていないポート22 / 3389などがあると検出利⽤者傾向により減った 32

Slide 33

Slide 33 text

DefenseEvasion:EC2/UnusualDNSResolver パブリックDNSで過検知しやすい 8.8.8.8などここ1年ぐらい増えている 33

Slide 34

Slide 34 text

Trojan:EC2/DGADomainRequest.B DGAで作られたドメインに対するクエリを検出するたまにWindows Server の謎検出がある 34

Slide 35

Slide 35 text

Behavior:EC2/NetworkPortUnusual ぼちぼち検出されるスポット作業をしたEC2 などの正常系を過検知することが多い 35

Slide 36

Slide 36 text

アノマリ系 ●Discovery:IAMUser/AnomalousBehavior ○最近⽐較的多い ○Describe系で過検知される傾向 ●Exfiltration:S3/AnomalousBehavior ○Athena/Glueなど ●Discovery:S3/AnomalousBehavior ○実際の利⽤者 36

Slide 37

Slide 37 text

GuardDutyの可視化 37

Slide 38

Slide 38 text

本題 ●GuardDuty可視化の概要 ●可視化する主要な項⽬ ●可視化のポイント 38

Slide 39

Slide 39 text

そもそもGuardDutyの可視化いる？ Amazon Detective でも可視化できる 39

Slide 40

Slide 40 text

Detective可視化の⽋点 ●Finding Groupsでしか作れない ○複数の検出の関連性を解決する⽤途 ●⽣成に時間がかかる ●単体のFindingsでは作れない 40

Slide 41

Slide 41 text

GuardDuty可視化のモチベーション ●GuardDutyの検出時にすぐに状況を把握したい ●簡易的でいいので直感的に関係性を理解できるようにしたい 41

Slide 42

Slide 42 text

可視化の⼿法 ●Vis.jsを利⽤してグラフ⽣成 ●Finding Types毎定義ファイルを作成 42

Slide 43

Slide 43 text

可視化する項⽬ ●基本は2つのエンティティ ○発⽣した事象の送信元と送信先 ●外部はIPや国など ●内部はリソース関連情報 ●直感的に理解したいのでAWSのアイコンを並べたい ●エンティティ間の関連性も知りたい 43

Slide 44

Slide 44 text

可視化の例 ●リソースアイコンがあればそれを使う ●どちらの⽅向に通信したかは重要 ●インスタンス名などIDじゃない⼈間が識別できる情報が必要 44

Slide 45

Slide 45 text

Detectiveのメリット ●ログの集計とクエリ ●ロケーションの可視化 ●関連性を解決しドリルダウンできる 45

Slide 46

Slide 46 text

可視化のポイント ●配置を固定する ○上は外部 ○下は内部 ○Nodeをfixedオプションで固定し座標指定 46

Slide 47

Slide 47 text

可視化のポイント ●アイコンを切り替える ○Findingsによっては対象リソースが動的に変わる ○Action -> ServiceNameからサービスの種類を判断 47

Slide 48

Slide 48 text

可視化のポイント ●⽮印を動的に変更する ●ActionTypeが NETWORK_CONNECTION の場合に ConnectionDirectionで通信の⽅向を確認する 48

Slide 49

Slide 49 text

まとめ 49

Slide 50

Slide 50 text

まとめ ●GuardDutyの運⽤するならGuardDutyの可視化はよいぞ ●Detectiveも使おう ●とにかくGuardDutyを使おう！ 50