![[アップデート]Amazon Detectiveで攻撃シーケンスの検出結果をサポートしました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-61221a9ccf019476e553d2ad553dff40/69cf7b9e68a8154464c2ad2d726d8d6b/amazon-detective)
[アップデート]Amazon Detectiveで攻撃シーケンスの検出結果をサポートしました
2025.04.29こんにちは、臼田です。
みなさん、AWSで脅威の調査してますか?(挨拶
今回はAmazon Detectiveが拡張脅威検出で検出した攻撃シーケンスに対応したので動作を見てみました。
アップデート内容はユーザーガイドのドキュメント履歴に以下のように書かれています。
Amazon GuardDuty 攻撃シーケンスの検出結果のサポートを追加
Detective は、GuardDuty 拡張脅威検出に関連付けられた検出結果タイプのサポートを追加しました。GuardDuty は、API アクティビティや GuardDuty の検出結果など、複数のアクションの特定シーケンスが疑わしいアクティビティと一致する場合に攻撃シーケンスを検出します。拡張脅威検出と攻撃シーケンスの検出タイプの詳細については、Amazon GuardDutyユーザーガイド」の「拡張脅威検出」を参照してください。
概要
Amazon GuardDutyは先日新しく、複数のFindingsを1つにまとめる拡張脅威検出をサポートしました。
これまでAmazon GuardDutyでは様々な脅威をFindingsとして1つ1つ検出していました。しかし、一連の攻撃には複数のFindingsが検出されることが多く、この関連性を見出すのに時間がかかっていました。
その調査にAmazon Detectiveを利用するのが適切なのですが、この拡張脅威検出によりAmazon GuardDutyだけでもFindingsが1つにまとめられて関連するものがわかりやすくなりました。
とはいえ、検出されたイベントの詳細や関連するリソースの情報の紐づけとそのドリルダウンには引き続きAmazon Detectiveに軍配が上がります。
これはサービスの持つデータベースおよびコンセプトの違いによるもので、役割が異なるということです。
拡張脅威検出がリリースされてすぐは、Amazon DetectiveはこのFinding Typesである攻撃シーケンス(Attack Sequence)に対応していなかったのですが、今回対応しました。
やってみた
Amazon Detectiveを利用した調査は、Amazon GuardDutyの検出が起点です。
とりあえずいい感じにAmazon GuardDutyに攻撃シーケンスを検出させます。
一覧画面からFindingを確認しますが、通常このあたりに表示されるAmazon Detectiveへのリンクは表示されていません。
詳細画面も確認してみましたが、同様にリンクはありませんでした。
どうやら現行ではAmazon Detectiveへのリンクは無いため直接アクセスする必要がありそうです。
Amazon Detectiveの画面で「検索」から検出結果のIDを指定してアクセスします。
開くと通常のFindingと同じように、右カラムにGuardDuty Findingを開いたまま、真ん中の画面で関連する各リソースが確認できドリルダウンしていけます。
これまでのFindingの画面と比べて拡張脅威検出の攻撃シーケンスの時系列やMITERの戦術などを維持したまま調査ができるので、より捗りそうですね!
まとめ
Amazon DetectiveがAmazon GuardDutyの拡張脅威検出による攻撃シーケンスの検出結果の調査をサポートしました。
これまで以上に快適に調査できるため活用していきましょう!
