[アップデート]Security HubでGuardDutyのマルウェアスキャン結果を取り込めるようになりました

AWS Security HubがAmazon GuardDutyのマルウェアスキャン結果を取り込むことができるようになりました

臼田佳祐

2022.08.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、マルウェア対策してますか?(挨拶

先日GuardDutyがマルウェアをスキャンする機能がリリースされました。

これに合わせてSecurity Hubでも、この結果を取り込めるようになりました。

AWS Security Hub が Amazon GuardDuty のマルウェア対策の検出結果の受け取りを開始

概要

GuardDutyではマルウェアの疑いがある検知が発生した際に、対象EC2インスタンスのEBSをスナップショットしてマルウェアスキャンを行い、マルウェアが発見されると新しい検知が上がります。

検知されるFinding Typesは下記の通り。

  • Execution:EC2/MaliciousFile
  • Execution:ECS/MaliciousFile
  • Execution:Kubernetes/MaliciousFile
  • Execution:Container/MaliciousFile
  • Execution:EC2/SuspiciousFile
  • Execution:ECS/SuspiciousFile
  • Execution:Kubernetes/SuspiciousFile
  • Execution:Container/SuspiciousFile

今回のSecurity Hubの更新ではこれらのFindingsが扱えるようになりました。これをサポートするためにスキーマが追加されています。

ASFFの更新箇所

Security HubのFindingsのフォーマットはAWS Security Finding Format(ASFF)というもので、下記に説明があります。

AWS Security Finding 形式 - AWS Security Hub

今回は検知したマルウェアのファイルを扱うためにThreatsという項目が追加されていますので、これを見ていきましょう。

フォーマットはこんな感じになっています。

"Threats": [{
    "FilePaths": [{
        "FileName": "string",
        "FilePath": "string",
        "Hash": "string",
        "ResourceId": "string",
    }],
    "ItemCount": "number",
    "Name": "string",
    "Severity": "string"
}],

実際に値が入るとこんな感じです。

"Threats": [
  {
    "Name": "Gen:Variant.Application.Linux.Miner.3",
    "Severity": "HIGH",
    "ItemCount": 2,
    "FilePaths": [
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4-linux-x64.tar.gz=>xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      },
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      }
    ]
  }
],

検知したファイルの数だけFilePathsのリストが増えます。

ファイル名やファイルパスなどが出てくるので、最終判断や対応にすぐ役立てることができます。

これらThreatsの値は、マルウェア検知時などSecurity HubのFindingsの中でも一部のものにだけ入る形ですので、現状マネジメントコンソール上でこれらの値を直接表示したりはしません。

そのため、GuardDuty側で確認したり、受け取ったjsonをどこかで処理して利用する感じになるでしょう。今回のSecurity Hubでの対応は、あくまでこれを扱えるようになっただけだと考えるといいでしょう。

まとめ

Security HubがGuardDutyのマルウェアスキャンに対応したのでその内容を確認しました。

まずはそのフォーマットを扱えるようになっただけですが、使いみちは色々あると思いますので、是非活用してみてください。

AWS

関連記事

[アップデート] AWS Security Hub の新しいセキュリティスタンダード「AWS Resource Tagging Standard v1.0.0」を使って組織に必要なタグキーがリソースに設定されているか検出出来るようになりました

いわさ

2024.05.02

Security Hubで知る、AWSアカウント開設後に対応したいセキュリティ項目を確認しよう

こーへい

2024.04.30

[アップデート] AWS Chatbotを使ったSecurity Hubの検知通知に検知を抑制するボタンが自動設定されるようになりました

のんピ

2024.04.30

[小ネタ] CSVダウンロードしたAWS Security Hub検出結果のファイル構造が変わっていました

あしざわ

2024.04.29