[アップデート]Security HubでGuardDutyのマルウェアスキャン結果を取り込めるようになりました

[アップデート]Security HubでGuardDutyのマルウェアスキャン結果を取り込めるようになりました

AWS Security HubがAmazon GuardDutyのマルウェアスキャン結果を取り込むことができるようになりました
#AWS Security Hub
#AWS
#Amazon GuardDuty
#セキュリティ
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2022.08.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、マルウェア対策してますか?(挨拶

先日GuardDutyがマルウェアをスキャンする機能がリリースされました。

これに合わせてSecurity Hubでも、この結果を取り込めるようになりました。

AWS Security Hub が Amazon GuardDuty のマルウェア対策の検出結果の受け取りを開始

概要

GuardDutyではマルウェアの疑いがある検知が発生した際に、対象EC2インスタンスのEBSをスナップショットしてマルウェアスキャンを行い、マルウェアが発見されると新しい検知が上がります。

検知されるFinding Typesは下記の通り。

  • Execution:EC2/MaliciousFile
  • Execution:ECS/MaliciousFile
  • Execution:Kubernetes/MaliciousFile
  • Execution:Container/MaliciousFile
  • Execution:EC2/SuspiciousFile
  • Execution:ECS/SuspiciousFile
  • Execution:Kubernetes/SuspiciousFile
  • Execution:Container/SuspiciousFile

今回のSecurity Hubの更新ではこれらのFindingsが扱えるようになりました。これをサポートするためにスキーマが追加されています。

ASFFの更新箇所

Security HubのFindingsのフォーマットはAWS Security Finding Format(ASFF)というもので、下記に説明があります。

AWS Security Finding 形式 - AWS Security Hub

今回は検知したマルウェアのファイルを扱うためにThreatsという項目が追加されていますので、これを見ていきましょう。

フォーマットはこんな感じになっています。

"Threats": [{
    "FilePaths": [{
        "FileName": "string",
        "FilePath": "string",
        "Hash": "string",
        "ResourceId": "string",
    }],
    "ItemCount": "number",
    "Name": "string",
    "Severity": "string"
}],

実際に値が入るとこんな感じです。

"Threats": [
  {
    "Name": "Gen:Variant.Application.Linux.Miner.3",
    "Severity": "HIGH",
    "ItemCount": 2,
    "FilePaths": [
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4-linux-x64.tar.gz=>xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      },
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      }
    ]
  }
],

検知したファイルの数だけFilePathsのリストが増えます。

ファイル名やファイルパスなどが出てくるので、最終判断や対応にすぐ役立てることができます。

これらThreatsの値は、マルウェア検知時などSecurity HubのFindingsの中でも一部のものにだけ入る形ですので、現状マネジメントコンソール上でこれらの値を直接表示したりはしません。

そのため、GuardDuty側で確認したり、受け取ったjsonをどこかで処理して利用する感じになるでしょう。今回のSecurity Hubでの対応は、あくまでこれを扱えるようになっただけだと考えるといいでしょう。

まとめ

Security HubがGuardDutyのマルウェアスキャンに対応したのでその内容を確認しました。

まずはそのフォーマットを扱えるようになっただけですが、使いみちは色々あると思いますので、是非活用してみてください。

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

User avatar
吉田 岳史
2024.11.07
[小ネタ]Security Hubの重要度の基準を調べてみた

[小ネタ]Security Hubの重要度の基準を調べてみた

User avatar
和田響
2024.11.05
(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.