ラスベガスで検証していたらAmazon GuardDutyにバレた件 #reinvent

AWS には脅威検出サービス Amazon GuardDuty があります。

AWS アカウントとワークロードを保護するために、悪意のある操作や不正な動作を継続的にモニタリングしてくれます。

re:invent 開催中ということもあり、開催地ラスベガスで AWS 検証をしていると、GuardDuty から久しぶりに通知が飛んできました。

finding

[
  {
    "schemaVersion": "2.0",
    "accountId": "123456789012",
    "region": "eu-central-1",
    "partition": "aws",
    "id": "NNNN",
    "arn": "arn:aws:guardduty:eu-central-1:123456789012:detector/XXX/finding/NNNN",
    "type": "UnauthorizedAccess:IAMUser/UnusualASNCaller",
    "resource": {
      "resourceType": "AccessKey",
      "accessKeyDetails": {
        "accessKeyId": "AAA",
        "principalId": "BBB",
        "userType": "IAMUser",
        "userName": "JANE-DOE"
      }
    },
    "service": {
      "serviceName": "guardduty",
      "detectorId": "XXX",
      "action": {
        "actionType": "AWS_API_CALL",
        "awsApiCallAction": {
          "api": "DescribeVpcs",
          "serviceName": "ec2.amazonaws.com",
          "callerType": "Remote IP",
          "remoteIpDetails": {
            "ipAddressV4": "208.78.238.4",
            "organization": {
              "asn": "11199",
              "asnOrg": "showNets LLC",
              "isp": "showNets LLC",
              "org": "showNets LLC"
            },
            "country": {
              "countryName": "United States"
            },
            "city": {
              "cityName": "Carson"
            },
            "geoLocation": {
              "lat": 33.823,
              "lon": -118.2684
            }
          },
          "affectedResources": {}
        }
      },
      "resourceRole": "TARGET",
      "additionalInfo": {},
      "eventFirstSeen": "2018-11-27T03:19:36Z",
      "eventLastSeen": "2018-11-27T03:19:36Z",
      "archived": false,
      "count": 1
    },
    "severity": 5,
    "createdAt": "2018-11-27T03:34:46.621Z",
    "updatedAt": "2018-11-27T03:34:46.621Z",
    "title": "APIs invoked by JANE-DOE from an unusual network.",
    "description": "APIs invoked by principal JANE-DOE from an IP address that is registered to an unusual organization."
  }
]

finding type は "UnauthorizedAccess:IAMUser/UnusualASNCaller" 、つまり、承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します。

検証のために、普段とは大きく異なる拠点から AWS リソースをゴニョゴニョやったのが、不審なアクティビティと判断されたようで、03:19:36(UTC) に初めてイベント観測され、03:34:46(UTC) に Severity 5 で通知されました。

発生からわずか 15 分の出来事です。

Amazon GuardDuty のお手軽さ

Amazon GuardDuty は低コストで始めれる、フルマネージドな機械学習ベースの脅威検出サービスです。

今回検知された UnauthorizedAccess 以外にも、様々な種類の脅威または潜在的な攻撃を検出してくれます。

まだAmazon GuardDutyをお試しでない方は、個人・開発用 AWS アカウントあたりから有効にしてみるのはいかがでしょうか。

一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った

それでは。