GuardDutyが新しくDoS攻撃に加担しているEC2を検知できるようになりました
GuardDutyが新しくDoS攻撃に加担しているEC2を検知できるようになりました。もしこれを検知した際にどのように対処したらいいのかも合わせて解説します。
こんにちは、臼田です。
GuardDutyは脅威検知のサービスですが、AWSが自動的に新しい脅威検知ルールをサポートしてくれます。
その新しいルールは下記の仕組みでSNSから受信することが可能です。
今回も新しいルールが追加されたので紹介します。
DoS攻撃に使われている可能性を検知
DoSを受けている方ではなく、攻撃している時に検知するルールが追加されました。ちなみに受けている場合にはAWS Shield等で防いでくれるでしょう。
下記5つが追加されました。
- Backdoor:EC2/DenialOfService.Tcp
- Backdoor:EC2/DenialOfService.Udp
- Backdoor:EC2/DenialOfService.Dns
- Backdoor:EC2/DenialOfService.UdpOnTcpPorts
- Backdoor:EC2/DenialOfService.UnusualProtocol
詳細はこちらにありますが、簡単に説明するとEC2インスタンスがTCP、UDP、DNS、TCPポート上でのUDP、異常なプロトコルで大量のアウトバウンド通信をしているときに検知するようです。
もしこの内容を検知した場合の対策はこちらに詳細があり、インスタンスの調査や削除、新しいインスタンスでのセキュリティ強化が推奨されています。
調査の際にはssm-aquire等のツールを利用するといいでしょう。
まとめ
今回はGuardDutyが新しく対応したルールについて紹介しました。
自動的にどんどん強くなる脅威検知サービスであるGuardDutyはとても頼もしいですね。
是非活用していくと共に、何かあった際の対処方法や参照先のドキュメントはきちんと抑えておきましょう!
![[小ネタ] Windows AMIの更新通知の購読をAWS CLIから行う](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-daa54df39308ec469607d6a913b81811/3c36486880ec490db06f2c3f36080c43/amazon-sns)
