Upgrade to Pro — share decks privately, control downloads, hide ads and more …

5min GuardDuty Extended Threat Detection EKS

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for takakuni takakuni
June 30, 2025
Technology
370
0

5min GuardDuty Extended Threat Detection EKS

Avatar for takakuni

takakuni

June 30, 2025

More Decks by takakuni

See All by takakuni
ECS Express Mode
Avatar for takakuni takakuni
0
35
AWS WAF Anti-DDoS Protection in 5 Minutes!
Avatar for takakuni takakuni
0
600
AWS Backup Air-Gapped Vaults with Multi-Party Approval Explained in 5 Minutes!
Avatar for takakuni takakuni
0
300
OpenAI models overview 202505
Avatar for takakuni takakuni
0
430
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
Avatar for takakuni takakuni
0
300
Classmethod AI Talks #13
Avatar for takakuni takakuni
0
420
About Extended Threat Detection in Amazon GuardDuty
Avatar for takakuni takakuni
0
390
SageMaker Hyperpod 101 #regrowth_sapporo
Avatar for takakuni takakuni
1
420
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
Avatar for takakuni takakuni
0
760

Other Decks in Technology

See All in Technology
Chart.js が簡単に使えるようになっていたので OGP 画像生成に使った話
Avatar for すずとも kamekyame
0
170
LLMにもCAP定理があるという話
Avatar for Haruka Sakihara harukasakihara
0
150
noUncheckedIndexedAccess、3時間、1万円。 / noUncheckedIndexedAccess, 3 Hours, 10,000 JPY.
Avatar for 株式会社カオナビ kaonavi
1
330
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
18
420k
非定型業務をAI slackbotで自動化する ~ 社内要望を自動壁打ちするbotを作った ~/automating-ad-hoc-work-with-ai-slackbot
Avatar for shibayu36 shibayu36
0
240
「嘘をつくテスト」の失敗例から学ぶ 良いテストコード #frontend_phpcon_do
Avatar for asumikam asumikam
0
570
Terraformモジュールは、なぜ「魔境」化するのか
Avatar for hayama hayama17
2
220
Rancherの紹介&Update情報(RancherJP Online Meetup #09)
Avatar for Yoshiyuki Kono yoshiyuki_kono
0
130
タクシーアプリ『GO』の実践的データ活用
Avatar for GO Inc. dev mot_techtalk
3
170
Ruby::Boxでできること、Refinementsでできること
Avatar for Tomohiro Hashidate joker1007
3
400
サプライチェーンセキュリティの空白地帯 - 信頼できる”依存性”の未来を考える
Avatar for Hiroki Suezawa (@rung) rung
PRO
2
780
10倍の生産性を実現するAI駆動並列エージェントのすべて
Avatar for 熊井悠 kumaiu
4
980

Featured

See All Featured
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
3
150
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
133
19k
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.3k
New Earth Scene 8
Avatar for Sydney Stone popppiees
3
2.3k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
480
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
130
Visualization
Avatar for Eitan Lees eitanlees
152
17k
BBQ
Avatar for Matthew Crist matthewcrist
89
10k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
950
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
Avatar for Akihiro Kokubo akihiro_kokubo
PRO
71
40k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
Avatar for UX Y'all uxyall
0
1.6k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
Avatar for Kenny Baas-Schwegler baasie
0
400

Transcript

  1. 5分でわかる!GuardDuty 拡張脅威検出 EKS 編

  2. 2 • 部署 ◦ クラウド事業本部コンサルティング部 • 名前(ニックネーム) ◦ たかくに •

    ロール ◦ ソリューションアーキテクト ⾃⼰紹介

  3. re:Inforce 2025 どうでしたか?

  4. GuardDuty でしたね。

  5. Extended Threat Detection の話をします。

  6. Extended Threat Detection とは

  7. 拡張脅威検出 です!

  8. 拡張脅威検出とは

  9. 拡張された脅威を検出する機能!

  10. 10 今までの GuardDuty Threat Detection 1. EC2 finding types 2.

    IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types

  11. 11 これからの GuardDuty Threat Detection 1. EC2 finding types 2.

    IAM finding types 3. S3 Protection finding types 4. EKS Protection finding types 5. GuardDuty Runtime Monitoring finding types 6. Malware Protection for EC2 finding types 7. Malware Protection for S3 finding type 8. RDS Protection finding types 9. Lambda Protection finding types 10. GuardDuty attack sequence finding types(NEW !)

  12. • 複数の脅威が連なった状態を検出 • 普段の検出タイプに加え、弱いシグナルも評価対象 ◦ 弱いシグナル:普段の検出タイプでは表⽰されな い API アクティビティ •

    MITRE ATT&CK のステップ別に重要度を表⽰ 12 GuardDuty attack sequence finding types

  13. • Attack sequence ◦ 複数のイベント(シグナル)の相関関係 • Findings ◦ GuardDuty が発⾒した脅威(≒シグナル)

    • Signals ◦ GuardDuty が観察した API アクティビティ 13 単語のおさらい

  14. 14 図にすると

  15. ここからアップデートの紹介です

  16. • AttackSequence:IAM/CompromisedCredentials ◦ IAM が侵害されている可能性が⾼い場合に検出 • AttackSequence:S3/CompromisedData ◦ S3 が漏洩している可能性が⾼い場合に検出

    • AttackSequence:EKS/CompromisedCluster(NEW) ◦ Amazon EKS クラスター内で⼀連の疑わしいアクショ ンがあった場合に検出される 16 GuardDuty attack sequence finding types

  17. 17 複数の脅威が連なった状態を検出

  18. 18 MITRE ATT&CK のステップ別に重要度を表⽰

  19. • EKS audit log events • AWS CloudTrail data events

    for S3 • AWS CloudTrail management events • VPC Flow Logs • Route53 Resolver DNS query logs • Amazon EKS malware detection for Amazon EC2 • Runtime Monitoring for Amazon EKS 19 参照するソース

  20. 20 ログを有効化しておく必要があるのか...? https://aws.amazon.com/jp/guardduty/faqs/

  21. 以下のどちらかを有効にしておくこと • EKS Protection • EKS Runtime Monitoring 最⼤限活⽤したい場合は、どちらも有効が推奨 21

    前提条件

  22. • 拡張脅威検出は⼀連の脅威を連なった形で検出する脅威タイプ ◦ 今回新たに EKS クラスターの脅威タイプが加わった • 複数のデータソースから脅威を検出 ◦ ⼀部のデータソースはユーザー側の設定がなくとも、

    GuardDuty 側で独⽴して収集してくれる • EKS Protection または Runtime Monitoring for Amazon EKS のど ちらも有効化して最⼤限機能を活かしましょう! 22 まとめ
  23. None