Amazon GuardDutyでセキュリティ分析したらどんな結果が返ってくるのかまとめてみた #reinvent

森永です。

GuardDutyが発表されテンションが上がっていたのですが、どんなことを教えてくれるのか分からないのでまとめてみました。

Finding Type

GuardDutyではセキュリティ分析の結果を「Finding Type」という形式で返します。
「Finding Type」は以下のような形式になっています。

脅威の目的:対象のリソースタイプ/脅威の説明.脅威の種類!脅威に関連するリソース

• 脅威の目的
  • 脅威や攻撃の目的を表します
  • 現在(2017/11/29)は以下の値を使用できます
    • Backdoor：AWSリソースが攻撃を受けている
    • Behavior：怪しい振る舞いをしている
    • Cryptocurrency：ビットコインなどの暗号通貨関連の挙動がある
    • Pentest：脆弱性診断をうけている（意図したものか攻撃かは分からない）
    • Recon：ポートスキャンなど脆弱性を探されている
    • Stealth：攻撃を隠そうとしている
    • Trojan：トロイの木馬が動いている
    • UnauthorizedAccess：承認されていないユーザによる不審な挙動がある
• 対象のAWSリソースタイプ
  • 脅威に晒されているAWSリソースを表します
  • 現在(2017/11/29)は以下のAWSリソースのみ対応しています
    • EC2
    • IAM
• 脅威の説明
  • どのような脅威や攻撃なのかを表します
• 脅威の種類
  • 脅威や攻撃の種類を表します
  • 同じような攻撃でも対象などを変えている際にこの値が変わります
• 脅威に関連するリソース
  • 脅威に関連しているリソースを表します
  • 例えば、ビットコインの既知のドメインと通信していることから検知した場合はDNSとなります

詳細

以下が現在対応しているFinding Typeの一覧です。

• Backdoor:EC2/XORDDOS
  • EC2インスタンスが通信しようとしているIPアドレスにXor DDoSマルウェアが関連付けられている
• Backdoor:EC2/Spambot
  • EC2インスタンスがポート25(SMTP)でリモートホストと通信して怪しい挙動をしている
• Backdoor:EC2/C&CActivity.B!DNS
  • EC2インスタンスが既知のC&Cサーバーと通信している
• Behavior:IAMUser/InstanceLaunchUnusual
  • IAMユーザーが起動したEC2インスタンスタイプが通常と異なる
• Behavior:EC2/NetworkPortUnusual
  • EC2インスタンスが通常と異なるポートで通信している
• Behavior:EC2/TrafficVolumeUnusual
  • EC2インスタンスが通常よりも大量の通信している
• CryptoCurrency:EC2/BitcoinTool.A
  • EC2インスタンスがビットコインマイニングプールと通信している
• CryptoCurrency:EC2/BitcoinTool.B!DNS
  • EC2インスタンスがビットコインに関連する既知のドメインと通信している
• PenTest:IAMUser/KaliLinux
  • AWSのAPIがKali Linux（侵入テスト用のOS）から呼び出されている
• Recon:EC2/PortProbeUnprotectedPort
  • EC2インスタンスがポートスキャンを受けている
• Recon:IAMUser/TorIPCaller
  • AWSのAPIがTor（匿名通信のソフトウェア）のIPアドレスから呼び出されている
• Recon:IAMUser/MaliciousIPCaller.Custom
  • AWSのAPIがユーザが定義したカスタム脅威リストにあるIPアドレスから呼び出されている
• Recon:IAMUser/MaliciousIPCaller
  • AWSのAPIが既知の悪意のあるIPアドレスから呼び出されている
• Recon:EC2/Portscan
  • EC2インスタンスがリモートホストにポートスキャンを実行している
• Stealth:IAMUser/PasswordPolicyChange
  • パスワードポリシーが弱化されている
• Stealth:IAMUser/CloudTrailLoggingDisabled
  • AWS CloudTrailが無効化されている
• Trojan:EC2/BlackholeTraffic
  • EC2インスタンスがブラックホールIPアドレスに接続しようとしている
• Trojan:EC2/DropPoint
  • EC2インスタンスがデータをマルウェアによって盗用されたIPアドレスと通信している
• Trojan:EC2/BlackholeTraffic!DNS
  • EC2インスタンスがブラックホールDNSと通信している
• Trojan:EC2/DriveBySourceTraffic!DNS
  • EC2インスタンスがドライブバイダウンロードを利用したマルウェア配信ホストと通信している
• Trojan:EC2/DropPoint!DNS
  • EC2インスタンスがデータをマルウェアによって盗用されたドメインと通信している
• Trojan:EC2/DGADomainRequest.B
  • EC2インスタンスがDGAドメインをクエリしようとしている
• Trojan:EC2/DNSDataExfiltration
  • EC2インスタンスがDNSクエリを通じてデータを密かに抽出しようとしている
• UnauthorizedAccess:IAMUser/TorIPCaller
  • AWSのAPIがTor（匿名通信のソフトウェア）のIPアドレスから呼び出されている
• UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
  • AWSのAPIがユーザが定義したカスタム脅威リストにあるIPアドレスから呼び出されている
• UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
  • 世界中でマネジメントコンソールに対する複数の正常なログインが確認された
• UnauthorizedAccess:IAMUser/MaliciousIPCaller
  • AWSのAPIが既知の悪意のあるIPアドレスから呼び出されている
• UnauthorizedAccess:IAMUser/UnusualISPCaller
  • AWSのAPIが通常とは異なるISPのIPアドレスから呼び出された
• UnauthorizedAccess:EC2/TorIPCaller
  • EC2インスタンスがTorネットワーク上のIPアドレスと通信している
• UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
  • EC2インスタンスがユーザが定義したカスタム脅威リスト内のIPアドレスと通信している
• UnauthorizedAccess:EC2/SSHBruteForce
  • EC2インスタンスがSSHブルートフォース攻撃に関与している
• UnauthorizedAccess:EC2/RDPBruteForce
  • EC2インスタンスがRDPブルートフォース攻撃に関与している
• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration
  • インスタンス起動ロールを通じてEC2インスタンス専用に作成された認証情報が外部IPアドレスから使用されている

詳しくはドキュメントをご覧ください。
Amazon GuardDuty の結果タイプ - Amazon GuardDuty

最後に

ただ、設定値を確認するのではないのがキモですね。
既知の問題があるドメインとの通信を検知するレピュテーション機能がついているだけでなく、ユーザの行動や通信を分析し、ベースラインを作成してそこから逸脱する行動、通信を検知するなど高度なセキュリティ製品で実現していた内容が安価に実現できるようになっています！ ぜひお試しください。