【試してみた】 Amazon GuardDutyで脅威リストに登録されたIPからのAPI実行を検知してみた #reinvent

はじめに

re:Invent2017で発表されたAmazon GuardDutyを試してみました。 脅威リストに登録されたIPアドレスからのAPI実行を検知しました。

試してみた

Amazon GuardDutyは東京リージョンでも利用可能です。 https://ap-northeast-1.console.aws.amazon.com/guardduty/home?region=ap-northeast-1#/ に接続します。 Get startedを選択します。

GuardDutyの有効化を選択します。

脅威リストを作成します。 テキストファイルにIPアドレスを記載します。 ファイル名はUnTrust IP.txtとしました。 IPアドレスはEC2のPublic IPを記載しました。

作成したファイルをS3にアップロードします。

脅威リストの追加を選択します。

ファイルの場所はhttps://s3.amazonaws.com/bucket_name/file_name.txtの形式で指定します。

リストが追加されました。 アクティブにチェックすると、有効化されます。

リストの反映には最大5分かかるようです。

EC2でdescribeコマンドを実行します。 信頼できないIPアドレスからのAPIコールを意図しています。

結果タイプUnauthorizedAccess:IAMUser/MaliciousIPCaller.Customが作成されました。 API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が、アップロードした脅威リストに含まれているIPアドレスから呼び出されたことを示します。

Actionを見ると、SSMのAPIが実行された事がわかります。

しばらくすると、Recon:IAMUser/MaliciousIPCaller.Customが作成されました。 AWSリソースをlistまたはdescribeするAPIが、アップロードした脅威リストに含まれているIPアドレスから呼び出されたことを示します。

アーカイブすると、アーカイブ済み結果に移動します。 問題ない結果や対応が終わった結果については、アーカイブすると良さそうです。

さいごに

Amazon GuardDutyを使って、脅威リストに登録されたIPアドレスからのAPI実行を検知しました。

参考

• Amazon Guard Duty ユーザーガイド