Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
5min GuardDuty Extended Threat Detection EKS
Search
takakuni
June 30, 2025
Technology
390
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
5min GuardDuty Extended Threat Detection EKS
takakuni
June 30, 2025
More Decks by takakuni
See All by takakuni
ECS Express Mode
takakuni
0
37
AWS WAF Anti-DDoS Protection in 5 Minutes!
takakuni
0
630
AWS Backup Air-Gapped Vaults with Multi-Party Approval Explained in 5 Minutes!
takakuni
0
320
OpenAI models overview 202505
takakuni
0
450
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
takakuni
0
310
Classmethod AI Talks #13
takakuni
0
440
About Extended Threat Detection in Amazon GuardDuty
takakuni
0
420
SageMaker Hyperpod 101 #regrowth_sapporo
takakuni
1
440
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
takakuni
0
790
Other Decks in Technology
See All in Technology
Agile and AI Redmine Japan 2026
hiranabe
4
550
「勝手に広まる」人気 AI エージェントを爆速で作ろう!(AWS Summit Japan 2026講演資料)
minorun365
PRO
10
2.7k
打造你的 AI 工作流:Agent Skill + MCP 實戰工作坊
appleboy
0
250
感情と身体を置き去りにしない、エンジニアの生きのこり方 ──いまから、ここから「自分の状態」を扱うという選択
saorimurooka
0
420
AIをフル活用してオンコール機能のプロトタイプを2日で作った話 / Building an AI-Powered On-Call Prototype in Just Two Days
nari_ex
0
160
product engineering with qa
nealle
0
100
AWS PrivateLink × SCIM で実現する セキュアで運⽤負荷の低い Databricks 基盤の構築
tsuda7
0
120
そこにあるから地図ができる~位置を示す"モノ"を愉しむ~ - Interface 2026年6月号GPS特集オフ会 / interface_202606_GPS_offline
sakaik
1
150
製造現場での生成AIの活用、およびエージェントAIの実装のあり方、AVEVAの取り組み
iotcomjpadmin
0
200
アラート調査向けAIエージェントの本番導入とその後/AI Agents for Alert Investigation: Production Deployment and After
taddy_919
1
290
はてなのサービス基盤を支える Kubernetes《足腰》
masayoshimaezawa
0
320
時期が悪い!それでもRaspberry Piを買って遊んで活用するには / 20260627-osc26do-rpi-jikigawarui
akkiesoft
1
940
Featured
See All Featured
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
240
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
23k
Scaling GitHub
holman
464
140k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
For a Future-Friendly Web
brad_frost
183
10k
So, you think you're a good person
axbom
PRO
2
2.1k
Information Architects: The Missing Link in Design Systems
soysaucechin
0
990
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.7k
Producing Creativity
orderedlist
PRO
348
40k
Statistics for Hackers
jakevdp
799
230k
Embracing the Ebb and Flow
colly
88
5.1k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
210
Transcript
5分でわかる!GuardDuty 拡張脅威検出 EKS 編
2 • 部署 ◦ クラウド事業本部コンサルティング部 • 名前(ニックネーム) ◦ たかくに •
ロール ◦ ソリューションアーキテクト ⾃⼰紹介
re:Inforce 2025 どうでしたか?
GuardDuty でしたね。
Extended Threat Detection の話をします。
Extended Threat Detection とは
拡張脅威検出 です!
拡張脅威検出とは
拡張された脅威を検出する機能!
10 今までの GuardDuty Threat Detection 1. EC2 finding types 2.
IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types
11 これからの GuardDuty Threat Detection 1. EC2 finding types 2.
IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types 10. GuardDuty attack sequence finding types(NEW !)
• 複数の脅威が連なった状態を検出 • 普段の検出タイプに加え、弱いシグナルも評価対象 ◦ 弱いシグナル:普段の検出タイプでは表⽰されな い API アクティビティ •
MITRE ATT&CK のステップ別に重要度を表⽰ 12 GuardDuty attack sequence finding types
• Attack sequence ◦ 複数のイベント(シグナル)の相関関係 • Findings ◦ GuardDuty が発⾒した脅威(≒シグナル)
• Signals ◦ GuardDuty が観察した API アクティビティ 13 単語のおさらい
14 図にすると
ここからアップデートの紹介です
• AttackSequence:IAM/CompromisedCredentials ◦ IAM が侵害されている可能性が⾼い場合に検出 • AttackSequence:S3/CompromisedData ◦ S3 が漏洩している可能性が⾼い場合に検出
• AttackSequence:EKS/CompromisedCluster(NEW) ◦ Amazon EKS クラスター内で⼀連の疑わしいアクショ ンがあった場合に検出される 16 GuardDuty attack sequence finding types
17 複数の脅威が連なった状態を検出
18 MITRE ATT&CK のステップ別に重要度を表⽰
• EKS audit log events • AWS CloudTrail data events
for S3 • AWS CloudTrail management events • VPC Flow Logs • Route53 Resolver DNS query logs • Amazon EKS malware detection for Amazon EC2 • Runtime Monitoring for Amazon EKS 19 参照するソース
20 ログを有効化しておく必要があるのか...? https://aws.amazon.com/jp/guardduty/faqs/
以下のどちらかを有効にしておくこと • EKS Protection • EKS Runtime Monitoring 最⼤限活⽤したい場合は、どちらも有効が推奨 21
前提条件
• 拡張脅威検出は⼀連の脅威を連なった形で検出する脅威タイプ ◦ 今回新たに EKS クラスターの脅威タイプが加わった • 複数のデータソースから脅威を検出 ◦ ⼀部のデータソースはユーザー側の設定がなくとも、
GuardDuty 側で独⽴して収集してくれる • EKS Protection または Runtime Monitoring for Amazon EKS のど ちらも有効化して最⼤限機能を活かしましょう! 22 まとめ
None