GuardDutyイベントをCloud Optixで管理する

Sophos Cloud OptixのAmazon GuardDutyインテグレーションを紹介します。
2020.07.08

Sophos Cloud Optixをご紹介します。Cloud Optixはパブリッククラウドを対象にしたエージェントレスのSaaS型サービスです。クラウド環境の可視化をできるほか、設定がコンプライアンスに沿っているか確認できます。今回はAmazon GuardDutyインテグレーションを紹介します。

Amazon GuardDutyとは

GuardDutyは、AWSの脅威検出サービスです。VPCフローログ、DNSログ、CloudTrailログをモニタリングし、異常なアクティビティを検出します。例えば、EC2が不正プログラムに感染して、スパムメールを送ってしまったり、DDoS攻撃に加担するといったアクティビティや、IAM認証情報の漏洩が疑われる事象を検知します。実際に検知できる内容はユーザーガイドをご覧ください。

GuardDutyインテグレーション

Cloud Optixには、JIRA、Slackなどのインテグレーションが用意されています。

今回はGuardDuty連携を試します。GuardDutyを連携することで、発生したアラートをCloudOptixで管理できます。Cloud Optixのインテグレーション画面から、GuardDutyのアイコンを選択するとインテグレーションに必要な手順を確認できます。

まず、各リージョンでGuardDutyを有効にします。これから有効にする場合、以下のブログが参考になります。

一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った

AWS CLI 1.11.188以上を設定しておきます。未インストールの場合はユーザーガイドをご覧ください。

curlコマンドで連携用のスクリプトをダウンロードし、実行します。

$ curl -s "https://avidcore.s3-us-west-2.amazonaws.com/aws/configureGuardDutyEvents.sh" -o configureGuardDutyEvents.sh
$ EXTERNAL_ID=xxxxxx-xxxxxx-xxxx-xxx-xxxxxxxxxxxx CUSTOMER_ID=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx DNS_PREFIX_FLOW=3.events.optix.sophos.com REQUEST_ID=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx bash configureGuardDutyEvents.sh

スクリプトの実行にはAdministrartor権限または、以下の権限が必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:PassRole",
                "lambda:CreateFunction",
                "lambda:AddPermission",
                "lambda:GetFunction",
                "lambda:GetPolicy",
                "events:PutTargets",
                "events:PutRule"
            ],
            "Resource": "*"
        }
    ]
}

テストします。東京リージョンのGuardDutyコンソールからサンプルイベントを作成します。

CloudOptixのアラートに表示されます。アラートタイプはGuardDutyとなります。タイプを指定することでGuardDutyだけ表示したり、GuardDutyを除外できます。

アラートを選択し、ベルのアイコンを選択するとアラートを抑制し、アラート画面から消すことができます。GuardDutyのイベントが誤検知なのかインシデントなのかを確認し、誤検知であることを確認したら抑制するイメージです。インシデントの場合は対応を行ってから、抑制します。

先日ご紹介したSlackインテグレーションを有効にしておけば、以下のようにSlack通知できます。

テストのためにシドニーリージョンでもサンプルイベントを実行したところ、東京リージョンと同様に連携されました。

おわりに

Cloud OptixのGuardDutyインテグレーションを紹介しました。複数のAWSアカウント、複数リージョンのGuardDutyイベントをCloud Optixで管理できます。マルチクラウドのセキュリティ管理をお考えのかたは、導入を検討してみてはいかがでしょうか。