最近携わったプロジェクトにAWS GuardDutyにより脅威検知され、検知した脅威を調べて対応したことがありました。それでGuradDutyがどういったものか、脅威検知したらどう対処するかメモしておきたいと思います。

GuardDutyとは

Amazon GuardDuty は、悪意のあるアクティビティのために AWS アカウントとワークロードを継続的にモニタリングし、可視化と修復のための詳細なセキュリティ調査結果を提供する脅威検出サービスです。

What is Amazon GuardDuty? – Amazon GuardDuty

GuardDutyを有効にする方法

下記のドキュメントを参照し、GuardDutyを簡単に設定できます。

GuardDuty の開始方法 – Amazon GuardDuty

上記の手順ステップ2に書いたように、GuardDutyを有効した後にサンプル結果を生成できます。生成したサンプル結果は以下の感じです。

GuardDutyの結果画面に、どういった脅威が検知されたのか、どこから検知されたのか表示できます。また、検出された脅威をクリックすると、右側のパーネルに検知した詳細情報が表示できます。

脅威検知後の対処

AWS GuardDutyが検知できる脅威タイプは以下にあります。それぞれどういった脅威なのか、お勧めの対処方法も記載しています。

タイプの検索 – Amazon GuardDuty

今回発覚した脅威は以下です。

GuardDuty EC2 – Amazon GuardDuty

CryptoCurrency:EC2/BitcoinTool.B!DNS
EC2 インスタンスが暗号通貨関連のアクティビティに関連付けられているドメイン名をクエリしています

修正の推奨事項:

この EC2 インスタンスを使用して暗号通貨のマイニングや管理を行う場合やこのインスタンスがブロックチェーンのアクティビティに関係している場合、この結果はお使いの環境のアクティビティであると予想される可能性があります。これがあなたのAWS環境では、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:EC2/BitcoinTool.B!DNS という値を使用します。2 つ目のフィルター条件では、ブロックチェーンのアクティビティに関係するインスタンスのインスタンス ID を使用します。抑制ルールの作成の詳細については、「サプレッションルール」を参照してください。

再現にも簡単で、GuardDutyが有効になったリージョンにあるEC2に、暗号通過関連のドメインを名前解決すると、検出されます。

nslookup pool.supportxmr.com

詳細画面にどういったアクションか、どこからアクセスするのかなど分かります。これにより、対象のEC2に対してより詳しい検査ができます。

纏め

以上でGuradDutyの開始方法及び検知した脅威は簡単にご紹介しました。

また、SNSと関連付けでGuardDutyの検知アラートがほぼリアルタイムに通知できます。AWSアカウントを保護するために、GuardDutyを有効にするのはお勧めです。

Last modified: 2021-11-14

Author