5min GuardDuty Extended Threat Detection EKS

by takakuni

Slide 1

Slide 1 text

5分でわかる！GuardDuty 拡張脅威検出 EKS 編

Slide 2

Slide 2 text

2 ● 部署 ○ クラウド事業本部コンサルティング部 ● 名前（ニックネーム） ○ たかくに ● ロール ○ ソリューションアーキテクト⾃⼰紹介

Slide 3

Slide 3 text

re:Inforce 2025 どうでしたか？

Slide 4

Slide 4 text

GuardDuty でしたね。

Slide 5

Slide 5 text

Extended Threat Detection の話をします。

Slide 6

Slide 6 text

Extended Threat Detection とは

Slide 7

Slide 7 text

拡張脅威検出です！

Slide 8

Slide 8 text

拡張脅威検出とは

Slide 9

Slide 9 text

拡張された脅威を検出する機能！

Slide 10

Slide 10 text

10 今までの GuardDuty Threat Detection 1. EC2 finding types 2. IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types

Slide 11

Slide 11 text

11 これからの GuardDuty Threat Detection 1. EC2 finding types 2. IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types 10. GuardDuty attack sequence finding types（NEW !）

Slide 12

Slide 12 text

● 複数の脅威が連なった状態を検出 ● 普段の検出タイプに加え、弱いシグナルも評価対象 ○ 弱いシグナル：普段の検出タイプでは表⽰されない API アクティビティ ● MITRE ATT&CK のステップ別に重要度を表⽰ 12 GuardDuty attack sequence ﬁnding types

Slide 13

Slide 13 text

● Attack sequence ○ 複数のイベント（シグナル）の相関関係 ● Findings ○ GuardDuty が発⾒した脅威（≒シグナル） ● Signals ○ GuardDuty が観察した API アクティビティ 13 単語のおさらい

Slide 14

Slide 14 text

14 図にすると

Slide 15

Slide 15 text

ここからアップデートの紹介です

Slide 16

Slide 16 text

● AttackSequence:IAM/CompromisedCredentials ○ IAM が侵害されている可能性が⾼い場合に検出 ● AttackSequence:S3/CompromisedData ○ S3 が漏洩している可能性が⾼い場合に検出 ● AttackSequence:EKS/CompromisedCluster（NEW） ○ Amazon EKS クラスター内で⼀連の疑わしいアクションがあった場合に検出される 16 GuardDuty attack sequence ﬁnding types

Slide 17

Slide 17 text

17 複数の脅威が連なった状態を検出

Slide 18

Slide 18 text

18 MITRE ATT&CK のステップ別に重要度を表⽰

Slide 19

Slide 19 text

● EKS audit log events ● AWS CloudTrail data events for S3 ● AWS CloudTrail management events ● VPC Flow Logs ● Route53 Resolver DNS query logs ● Amazon EKS malware detection for Amazon EC2 ● Runtime Monitoring for Amazon EKS 19 参照するソース

Slide 20

Slide 20 text

20 ログを有効化しておく必要があるのか...？ https://aws.amazon.com/jp/guardduty/faqs/

Slide 21

Slide 21 text

以下のどちらかを有効にしておくこと ● EKS Protection ● EKS Runtime Monitoring 最⼤限活⽤したい場合は、どちらも有効が推奨 21 前提条件

Slide 22

Slide 22 text

● 拡張脅威検出は⼀連の脅威を連なった形で検出する脅威タイプ ○ 今回新たに EKS クラスターの脅威タイプが加わった ● 複数のデータソースから脅威を検出 ○ ⼀部のデータソースはユーザー側の設定がなくとも、 GuardDuty 側で独⽴して収集してくれる ● EKS Protection または Runtime Monitoring for Amazon EKS のどちらも有効化して最⼤限機能を活かしましょう！ 22 まとめ

Slide 23

Slide 23 text

No content