[アップデート]Security HubでGuardDutyのマルウェアスキャン結果を取り込めるようになりました

[アップデート]Security HubでGuardDutyのマルウェアスキャン結果を取り込めるようになりました

AWS Security HubがAmazon GuardDutyのマルウェアスキャン結果を取り込むことができるようになりました
#AWS Security Hub
#AWS
#Amazon GuardDuty
#セキュリティ
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2022.08.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、マルウェア対策してますか?(挨拶

先日GuardDutyがマルウェアをスキャンする機能がリリースされました。

これに合わせてSecurity Hubでも、この結果を取り込めるようになりました。

AWS Security Hub が Amazon GuardDuty のマルウェア対策の検出結果の受け取りを開始

概要

GuardDutyではマルウェアの疑いがある検知が発生した際に、対象EC2インスタンスのEBSをスナップショットしてマルウェアスキャンを行い、マルウェアが発見されると新しい検知が上がります。

検知されるFinding Typesは下記の通り。

  • Execution:EC2/MaliciousFile
  • Execution:ECS/MaliciousFile
  • Execution:Kubernetes/MaliciousFile
  • Execution:Container/MaliciousFile
  • Execution:EC2/SuspiciousFile
  • Execution:ECS/SuspiciousFile
  • Execution:Kubernetes/SuspiciousFile
  • Execution:Container/SuspiciousFile

今回のSecurity Hubの更新ではこれらのFindingsが扱えるようになりました。これをサポートするためにスキーマが追加されています。

ASFFの更新箇所

Security HubのFindingsのフォーマットはAWS Security Finding Format(ASFF)というもので、下記に説明があります。

AWS Security Finding 形式 - AWS Security Hub

今回は検知したマルウェアのファイルを扱うためにThreatsという項目が追加されていますので、これを見ていきましょう。

フォーマットはこんな感じになっています。

"Threats": [{
    "FilePaths": [{
        "FileName": "string",
        "FilePath": "string",
        "Hash": "string",
        "ResourceId": "string",
    }],
    "ItemCount": "number",
    "Name": "string",
    "Severity": "string"
}],

実際に値が入るとこんな感じです。

"Threats": [
  {
    "Name": "Gen:Variant.Application.Linux.Miner.3",
    "Severity": "HIGH",
    "ItemCount": 2,
    "FilePaths": [
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4-linux-x64.tar.gz=>xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      },
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      }
    ]
  }
],

検知したファイルの数だけFilePathsのリストが増えます。

ファイル名やファイルパスなどが出てくるので、最終判断や対応にすぐ役立てることができます。

これらThreatsの値は、マルウェア検知時などSecurity HubのFindingsの中でも一部のものにだけ入る形ですので、現状マネジメントコンソール上でこれらの値を直接表示したりはしません。

そのため、GuardDuty側で確認したり、受け取ったjsonをどこかで処理して利用する感じになるでしょう。今回のSecurity Hubでの対応は、あくまでこれを扱えるようになっただけだと考えるといいでしょう。

まとめ

Security HubがGuardDutyのマルウェアスキャンに対応したのでその内容を確認しました。

まずはそのフォーマットを扱えるようになっただけですが、使いみちは色々あると思いますので、是非活用してみてください。

Share this article

facebook logohatena logotwitter logo

関連記事

GuardDuty の検出結果を Security Hub および EventBridge 経由で通知する構成を AWS CDK で実装する

GuardDuty の検出結果を Security Hub および EventBridge 経由で通知する構成を AWS CDK で実装する

User avatar
若槻龍太
2025.05.22
【Security Hub修復手順】[APIGateway.4] API Gatewayは、AWS WAFのweb ACLと関連付ける必要があります

【Security Hub修復手順】[APIGateway.4] API Gatewayは、AWS WAFのweb ACLと関連付ける必要があります

User avatar
くろすけ
2025.05.22
【Security Hub修復手順】[WorkSpaces.2] WorkSpacesルートボリュームは保管時に暗号化する必要があります

【Security Hub修復手順】[WorkSpaces.2] WorkSpacesルートボリュームは保管時に暗号化する必要があります

User avatar
吉田 岳史
2025.05.12
【Security Hub修復手順】[WorkSpaces.1] WorkSpacesユーザーボリュームは保管時に暗号化する必要があります

【Security Hub修復手順】[WorkSpaces.1] WorkSpacesユーザーボリュームは保管時に暗号化する必要があります

User avatar
吉田 岳史
2025.05.12
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.