[アップデート]Amazon DetectiveでS3とDNSの検知結果を調査できるようになりました!

Amazon DetectiveでS3とDNSタイプの検知結果を調査出来るようになりました。すべてのFindingsが調査できて捗りますね!
2021.09.30

こんにちは、臼田です。

みなさん、インシデント調査してますか?(挨拶

待望のアップデートです。Amazon Detectiveで調査できるAmazon GuardDutyのFindingsが増えました!

Amazon Detective が S3 と DNS の結果タイプをサポートし、検索結果詳細を追加

概要

GuardDuty Findingsは大きく以下の3種類があります。

  • EC2
  • IAM
  • S3

そしてその中でいくつかのFindings TypeがDNSに関連しているものです。例えばBackdoor:EC2/C&CActivity.B!DNSはC2サーバーと通信していることをDNSログから検知するものです。

これまではDetectiveではS3やDNSのFindings Typeには対応していませんでした。

今回のアップデートでこれらに対応し、つまりすべてのGuardDuty Findingsについて調査できるようになりました!

やってみた

今回はS3の検知結果を見てみます。

GuardDuty画面でS3関連のFindingsを選択して「Detectiveで調査する」から辿れるようになっています。ただ直接Findingsは開けませんでした。時間が解決するのかな?とりあえずIAM Roleからたどっていきます。

S3/DNS対応と同時に来たアップデートにより右側カラムにFindingsの情報が引き継がれています。

右上の「See all related entities」から関連するエンティティを確認できます。

ここからS3バケットを選択することで対象のS3バケットが表示できます。やったね。(検索から直接検索したほうが早いかも)

新しくS3バケットも見れるようになっています。作成者などが確認できます。

そして下の方ではこのバケットに関連するAPIイベントを確認できます。今回は「PUT」イベントを確認することでバケットのアクセス権限を変更しているAPIが確認できました。開くと操作者も確認できます。

まとめ

DetectiveでS3とDNSのFindingsを調査出来るようになりました。

操作性自体も少し変わり、ますます調査しやすくなりましたね。是非活用していきましょう。