ラスベガスで検証していたらAmazon GuardDutyにバレた件 #reinvent

ラスベガスで検証していたらAmazon GuardDutyにバレた件 #reinvent

re:inventの開催地ラスベガスでAWS検証をしていると、Amazon GuardDutyに不審なアクティビティパターンを検知された件
Clock Icon2018.11.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWS には脅威検出サービス Amazon GuardDuty があります。

AWS アカウントとワークロードを保護するために、悪意のある操作や不正な動作を継続的にモニタリングしてくれます。

re:invent 開催中ということもあり、開催地ラスベガスで AWS 検証をしていると、GuardDuty から久しぶりに通知が飛んできました。

[
  {
    "schemaVersion": "2.0",
    "accountId": "123456789012",
    "region": "eu-central-1",
    "partition": "aws",
    "id": "NNNN",
    "arn": "arn:aws:guardduty:eu-central-1:123456789012:detector/XXX/finding/NNNN",
    "type": "UnauthorizedAccess:IAMUser/UnusualASNCaller",
    "resource": {
      "resourceType": "AccessKey",
      "accessKeyDetails": {
        "accessKeyId": "AAA",
        "principalId": "BBB",
        "userType": "IAMUser",
        "userName": "JANE-DOE"
      }
    },
    "service": {
      "serviceName": "guardduty",
      "detectorId": "XXX",
      "action": {
        "actionType": "AWS_API_CALL",
        "awsApiCallAction": {
          "api": "DescribeVpcs",
          "serviceName": "ec2.amazonaws.com",
          "callerType": "Remote IP",
          "remoteIpDetails": {
            "ipAddressV4": "208.78.238.4",
            "organization": {
              "asn": "11199",
              "asnOrg": "showNets LLC",
              "isp": "showNets LLC",
              "org": "showNets LLC"
            },
            "country": {
              "countryName": "United States"
            },
            "city": {
              "cityName": "Carson"
            },
            "geoLocation": {
              "lat": 33.823,
              "lon": -118.2684
            }
          },
          "affectedResources": {}
        }
      },
      "resourceRole": "TARGET",
      "additionalInfo": {},
      "eventFirstSeen": "2018-11-27T03:19:36Z",
      "eventLastSeen": "2018-11-27T03:19:36Z",
      "archived": false,
      "count": 1
    },
    "severity": 5,
    "createdAt": "2018-11-27T03:34:46.621Z",
    "updatedAt": "2018-11-27T03:34:46.621Z",
    "title": "APIs invoked by JANE-DOE from an unusual network.",
    "description": "APIs invoked by principal JANE-DOE from an IP address that is registered to an unusual organization."
  }
]

finding type"UnauthorizedAccess:IAMUser/UnusualASNCaller" 、つまり、承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します。

検証のために、普段とは大きく異なる拠点から AWS リソースをゴニョゴニョやったのが、不審なアクティビティと判断されたようで、03:19:36(UTC) に初めてイベント観測され、03:34:46(UTC)Severity 5 で通知されました。

発生からわずか 15 分の出来事です。

Amazon GuardDuty のお手軽さ

Amazon GuardDuty は低コストで始めれる、フルマネージドな機械学習ベースの脅威検出サービスです。

今回検知された UnauthorizedAccess 以外にも、様々な種類の脅威または潜在的な攻撃を検出してくれます。

まだAmazon GuardDutyをお試しでない方は、個人・開発用 AWS アカウントあたりから有効にしてみるのはいかがでしょうか。

一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った

それでは。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.