【アップデート】セキュリティGuardDutyで検出できる項目（Finding Type）が12個追加されました！

森永です。

GuardDutyで検出できる項目（Finding Type）が増えたようなのでまとめます。

How we reduce complexity and rapidly iterate on Amazon GuardDuty: twelve new detections added | AWS Security Blog

GuardDutyってなに？という方はこちら、以前からあったルールについてはこちらを御覧ください。

追加されたFinding Type

GuardDutyはCloudTrail、VPC Flow Logs、DNSログなどと脅威情報を元に監視、検出を行っています。

CloudTrailベースの異常値検知

• Recon:IAMUser/NetworkPermissions
  • ユーザがセキュリティグループやNACL、ルートテーブルなどの情報を取得している（ネットワーク設定のスキャンをしている）
• Recon:IAMUser/ResourcePermissions
  • ユーザがAWSのリソースの情報を取得している（情報取得や攻撃者が取得したクレデンシャルの有用性確認をしている）
• Recon:IAMUser/UserPermissions
  • ユーザがIAMユーザ、グループ、ポリシーなどの情報を取得している（攻撃者が取得したクレデンシャルの有用性確認やより権限のあるクレデンシャルを探している）
• Persistence:IAMUser/NetworkPermissions
  • ユーザがセキュリティグループやNACL、ルートテーブルなどの設定変更をしている
• Persistence:IAMUser/ResourcePermissions
  • ユーザがリソースの権限などの設定変更をしている（S3のバケットポリシーなど）
• Persistence:IAMUser/UserPermissions
  • ユーザがIAMユーザ、グループ、ポリシーなどの設定変更をしている
• ResourceConsumption:IAMUser/ComputeResources
  • ユーザがコンピュートリソースの起動をしている（マイニングやパスワードクラッキングなどに使用される可能性あり）
• Stealth:IAMUser/LoggingConfigurationModified
  • ユーザがCloudTrailのロギングを停止したり、ログを削除したりしている
• UnauthorizedAccess:IAMUser/ConsoleLogin
  • 使用していないユーザでマネジメントコンソールへのログインをしている

どの行為も攻撃者でない正当なユーザがやっておかしくない行為（CloudTrailのログ削除などは流石にしないですが…）です。
GuardDutyではこれらを単純に検出するのではなく、該当ユーザで一度もその操作をしたことがないなどの怪しい状況ではないかを分析してから警告をしてくれます。

脅威情報ベースの検知

• Trojan:EC2/PhishingDomainRequest!DNS
  • EC2がフィッシング攻撃に使用されているドメインにクエリをかけている
• Trojan:EC2/BlackholeTraffic!DNS
  • EC2がブラックホールドメイン（リクエストを受けてトラフィックを返さないドメイン）へアクセスしている
• Trojan:EC2/DGADomainRequest.C!DNS
  • EC2がアルゴリズム的に生成されたドメインにクエリをかけている（そのようなドメインはマルウェアが使う事が多い）

AWSが収集している脅威情報を手軽に使えるのは非常にいいですね。

最後に

GuardDuty使うだけであれば有効化するだけの簡単操作です。

どれくらいコストが掛かるかが、導入の一番の課題になるかと思います。
分析したイベント数やログの量に応じて課金が発生しますので、数日試してコスト感を見積もってみてください。
コストに見合うのであればぜひ有効にしていただきたいサービスです。