GuardDutyの機能強化通知を受け取ろう

こんにちは、臼田です。

皆さん、脅威検知サービスのGuardDutyを使っていますか？

GuardDutyを知らないという方は下記を見てください。

【レポート】自動セキュリティ分析サービスGuardDutyのよくわかる解説 #reinvent # SID218

まだ有効化していないという人は下記で有効化しましょう。

一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った

さて、GuardDutyは機能強化を随時行っており、様々な脅威検知が出来るように進化していますが、つい先日その機能強化の情報を通知してくれるようになりました。

新しい Amazon GuardDuty の結果タイプおよび機能リリースの通知の紹介

設定してみて実際に通知が届いたので、今回は設定方法と具体的な通知内容についてまとめてみたいと思います。

Q. 機能強化の通知を受け取って何が嬉しいの？

A. ワクワクします

それ以外は特にメリットは無いかもしれません。ふーん( ´,_ゝ｀)となるくらいです。

通知設定

設定は簡単で、下記の公開されているSNSトピックを登録するだけです。

Amazon GuardDuty Announcements SNS トピックのサブスクライブ - Amazon GuardDuty

通常自分で利用するSNSトピックは自分で送受信しますが、これは公開されているトピックで通知を受け取ることだけ可能です。

それでは設定していきます。

まずはSNSの「サブスクリプション」ページを開きます。自分のトピックであればトピックのページからサブスクリプションを登録することが多いですが、今回は自分のものではないので「サブスクリプション」ページから行う必要があります。

「サブスクリプションの作成」を押して作成画面を開きます。「トピックARN」に上記リンクにかかれているARN(同一リージョンのもの)を入力し、通知したいメールアドレス等を設定しますして「サブスクリプションの作成」を押します。

あとは通常のサブスクリプションの作成時と同じようにメールでの確認が来るため、リンクをクリックして許可すれば完了です。

実際の通知内容

下記2種類の通知を観測しました。

新しいFindings

{
    "type": "NEW_FINDINGS",
    "version": "1",
    "findingDetails": [
        {
            "description": "New PenTest finding type added.",
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_pentest.html",
            "findingType": "PenTest:IAMUser/ParrotLinux"
        },
        {
            "description": "New PenTest finding type added.",
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_pentest.html",
            "findingType": "PenTest:IAMUser/PentooLinux"
        }
    ]
}

これは新しくPenTestタイプの検知結果が2つ追加されたアナウンスです。詳細はこちらを確認すればわかりますが、これまでKaliLinuxからのAPIコールに対して検知をしていたところを、さらにParrotLinuxやPentooLinuxも検知するようになったようです。

既存のFindingsのアップデート

{
    "type": "UPDATED_FINDINGS",
    "version": "1",
    "findingDetails": [
        {
            "description": "Increased severity from Medium/5 to High/8.",
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_unauthorized.html",
            "findingType": "UnauthorizedAccess:EC2/TorClient"
        },
        {
            "description": "Increased severity from Medium/5 to High/8.",
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_unauthorized.html",
            "findingType": "UnauthorizedAccess:EC2/TorRelay"
        },
        {
            "description": "Increased severity from Medium/5 to High/8.",
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_crypto.html",
            "findingType": "CryptoCurrency:EC2/BitcoinTool.B"
        },
        {
            "description": "Increased severity from Medium/5 to High/8.",
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_crypto.html",
            "findingType": "CryptoCurrency:EC2/BitcoinTool.B!DNS"
        },
        {
            "description": "Finding type retired.",
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html",
            "findingType": "UnauthorizedAccess:IAMUser/UnusualASNCaller"
        }
    ]
}

これは既存のFindingsの状態の更新通知です。上記4件はseverityが5から8(MidからHigh)に変更されています。これは完全に推測ですが、Torやコインマイナーを利用する脅威が深刻な状況なのかもしれません。

一番下のアップデートは、Findingsの廃止の通知です。UnauthorizedAccess:IAMUser/UnusualASNCallerは一度もアクセスしたことがないネットワークからのリクエストを検知するもので、良さはあるものの、正常利用においても利用方法によっては頻繁に通知され、オオカミ少年になりがちなFindingsでした。より現実的な検知は他の「IAMUser」系のFindingsで補うことが可能なため、廃止となったようです。詳細はこちらで確認できます。

まとめ

GuardDutyの新しいFindingsや機能アップデートの通知を受け取る設定をしてみました。

こんなに簡単に利用できる脅威検知サービスのGuardDutyが、日々いろいろなアップデートをしてくれていることがわかると、より胸熱ですよね！

通知を受け取って、最新の脅威の動向を妄想するのもいいかもしれません。

おまけ

余談ですが他にも下記のような公開されているトピックがあります。

【小ネタ】AWS公開情報を取得できるSNS Topic一覧