[レポート] Amazon GuardDuty の概説 #AWSSummit

[レポート] Amazon GuardDuty の概説 #AWSSummit

Clock Icon2018.05.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

中山(順)です

こちらはAWS Summit2018で行われたセッション「Amazon GuardDuty の概説」のレポートです。

スピーカーは、Amazon Web Services, Inc. GM, Amazon Guard DutyのTom Stickle氏です(Guard Dutyの担当マネージャーの方)。

レポート

Guard Dutyとは?

Guard Dutyとは、ざっくり説明すると以下のようなサービスです。

  • 脅威検知サービス
    • AWSアカウントとアプリケーションを継続的に監視
    • フルマネージド
    • 既知の脅威だけでなく未知の脅威も検知可能(機械学習を利用)
    • CloudTrail、VPC FlowLogs、Route53クエリログがデータソース

すでに多くのユーザーに利用頂いているとのことです。 その理由の一つが、導入が非常に簡単であることが挙げられます。 ワンクリックで導入できるので是非使ってみてほしい、とのことです。

  • 特徴
    • 他のサービスと同様にAPIおよびSDKが提供されている
    • 多言語サポート(もちろん日本語もサポートしている)
    • CloudFormationでもサポートされている
    • 複数アカウント対応(CloudFormationのStackSetsによるプロビジョニング、検知した結果を管理用アカウントに集約)
    • Eventsのサポート(脅威の検知をトリガーに是正処理を自動実行する(例:クレデンシャルの更新))
    • PagerDuty、JIRA、slackなどのサードパーティーサービスとの連携も可能

また、以下のように既知の脅威だけでなく未知の脅威にも対応しているとのことです。

  • 既知の脅威を検知
    • 様々な脅威インテリジェンスから情報を取得(CloudStrike、ProofPointなど)
    • 匿名プロキシ経由の通信
    • マルウェアサイトとハッキングツール
    • 暗号通貨のマイニング
  • 未知の脅威も検知
    • 悪意のある振る舞いを検知するアルゴリズム
    • シグネチャのシグナルパターン
    • 機械学習
    • 正常値をプロファイリングし、偏差を調べる
    • 研究開発を継続的に実施

どんな攻撃を検知できるのか

攻撃の試行の段階から最終目的の実行まで、各フェーズのイベントを検知できます。 よほど放置していない限り、どこかのタイミングで気がつくことができるのではないでしょうか?

  • RDPブルートフォース攻撃
  • リモートアクセスツールのインストール(RAT)
  • 認証情報の取得
  • 資格情報の検証(APIプルーフ)
  • 不正アクセス(データの送信、不正利用)

検出できる具体的な脅威は以下の通りです。

Amazon GuardDuty Finding Types

イベントの可視化

検知された脅威はFindingとして表示されます。 Findingには以下の情報が含まれます。

  • 影響を受けるリソース
  • 重要度(対応の優先順位)
  • 是正すべき内容

脅威の検知をトリガにEventsで脅威の内容を渡し、Lmabda関数で是正の処理を自動化することも可能です。 例えば、クレデンシャルの変更などが挙げられると思います。

パートナー

トレンドマイクロ社をはじめとしたセキュリティベンダーがパートナーとして連携サービスを提供しているとのことです。

料金

料金はホームページなどで確認頂ければと思いますが、検査するログの量に比例します。 そのため、事前に試算することが困難です。

ただし、無料トライアルがあるので1ヶ月実際に動かしてみて費用を見積もってほしい、とのことです。

今後について

スライドには記載されていませんでしたが、今後の予定についても触れられていました。

(同時通訳の日本語で聞いていたので、正しいかちょっと自信ないです。資料が公開されたら確認します。)

  • Macieとの統合
  • ログのインポート

いずれもなかなかアツい!気がします。

まとめ

各種の脅威は日増しに高度化する傾向にあり、それなりに体制の整った組織であっても対応しきれないのが実情だったりはしないでしょうか。 既存のインフラにおいて仮にネットワーク上の各種イベントを収集できたとしても、検知すべき脅威を定義し、検知の条件などを最適な状態に保つことは容易ではないと思います。

Guard Dutyにより、一部のレイヤではありますがそれが自動化され、比較的低コストで高いレベルの脅威検知を実現できます。 当ブログでもGuardDutyの記事が投稿されていますので、是非ご覧ください!

GuardDuty – 特集カテゴリー –

現場からは以上です。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.