「新機能Amazon GuardDuty Extended Threat Detectionはネ申って話」というタイトルでクラスメソッド re:Growth 2024 東京に登壇しました #AWSreInvent #cmregrowth
2024.12.11こんにちは、臼田です。
みなさん、AWS環境上の脅威検出してますか?(挨拶
今回はAWS re:Invent ふりかえり勉強会「クラスメソッド re:Growth 2024 東京」 - クラスメソッド株式会社 | Doorkeeperの解説です。
全人類利用すべきAWSのサービスであるAmazon GuardDutyでネ申アップデート来たよという内容です。
資料
解説
5分間のLTだったので、今回紹介するAmazon GuardDuty Extended Threat Detectionについて3行まとめから開始です。
- 複数のイベントをまとめて調査しやすい
- デフォルト有効で既存環境も既に有効になっている!
- 無料!全員使おう!
Amazon GuardDutyについておさらいしておきましょう。
Amazon GuardDutyは脅威検出のサービスで、AWS上で発生する様々な脅威を検出できます。
ボタン一発で有効化できて、以下のような脅威を検出してくれます。
- EC2上のコインマイニング
- IAMユーザーのアクセスキー漏洩
- S3データ漏えい
詳細は下記記事もご確認ください。
もちろんみなさんはAmazon GuardDutyを利用していますよね?
もし使っていなかったら、今すぐポチッと有効化しましょう。私は常々言っておりますが、すべてのAWSユーザーは、すべてのAWSアカウントの、すべてのリージョンでAmazon GuardDutyを有効化する必要があります!
で、そのAmazon GuardDutyで新しく実装された機能がExtended Threat Detectiveです。日本語だと「拡張脅威検出」です。これまでは脅威の検出1つ1つでイベントが上がっていましたが、複数の関連するイベントをまとめて1つにしてくれる機能です。
まとまった表示は以下のようになっています。
左側にはテキストで、「何件のイベント(Signalsと表現します)が何時から何時の間で発生して…」というまとめや、「該当するMITER ATT&CKの戦略は…」という実施された行為との当てはめや、「関連するIPやユーザーはこれで…」というアクターの情報などがまとめられています。
右側は関連するイベントが時系列に並べられてわかりやすくなっています!すばらっ!
詳細は下記2つの記事で解説しております。
この機能はデフォルトで有効になっていて、既存環境でもすでに有効になっています!
そして追加の料金はかかりません!なんと素晴らしいのでしょうか!ただしS3周りの検出にはS3 Protectionオプションの有効化が必要になるので、有効化しておきましょう。
これまではAmazon DetectiveがAmazon GuardDutyで検出した脅威の分析に活用されていましたが、その位置づけは引き続き変わりません。詳細なログの確認や関連性の解決と可視化はAmazon Detectiveが便利です。一緒に活用しましょう!
まとめ
Amazon GuardDutyの新機能であるExtended Threat Detectionについて紹介しました。
みんなすでに使える状態なので、ガンガン使っていきましょう!
![[レポート][NEW LAUNCH] Respond and recover faster with AWS Security Incident Response に参加しました #AWSreInvent #SEC360-NEW](https://images.ctfassets.net/ct0aopd36mqt/3IQLlbdUkRvu7Q2LupRW2o/edff8982184ea7cc2d5efa2ddd2915f5/reinvent-2024-sessionreport-jp.jpg)
![[アップデート]Amazon GuardDutyが複数のFindingsやシグナルを1つにまとめる拡張脅威検出がリリースされました! #AWSreInvent](https://images.ctfassets.net/ct0aopd36mqt/3nibOl2sZ0LKJueI0FHFi5/14de7bd294f7916a28b789105c60d450/reinvent-2024-newservice-jp.jpg)
