こんにちは、臼田です。
みなさん、マルウェア対策してますか?(挨拶
先日GuardDutyがマルウェアをスキャンする機能がリリースされました。
これに合わせてSecurity Hubでも、この結果を取り込めるようになりました。
AWS Security Hub が Amazon GuardDuty のマルウェア対策の検出結果の受け取りを開始
概要
GuardDutyではマルウェアの疑いがある検知が発生した際に、対象EC2インスタンスのEBSをスナップショットしてマルウェアスキャンを行い、マルウェアが発見されると新しい検知が上がります。
検知されるFinding Typesは下記の通り。
- Execution:EC2/MaliciousFile
- Execution:ECS/MaliciousFile
- Execution:Kubernetes/MaliciousFile
- Execution:Container/MaliciousFile
- Execution:EC2/SuspiciousFile
- Execution:ECS/SuspiciousFile
- Execution:Kubernetes/SuspiciousFile
- Execution:Container/SuspiciousFile
今回のSecurity Hubの更新ではこれらのFindingsが扱えるようになりました。これをサポートするためにスキーマが追加されています。
ASFFの更新箇所
Security HubのFindingsのフォーマットはAWS Security Finding Format(ASFF)というもので、下記に説明があります。
AWS Security Finding 形式 - AWS Security Hub
今回は検知したマルウェアのファイルを扱うためにThreats
という項目が追加されていますので、これを見ていきましょう。
フォーマットはこんな感じになっています。
"Threats": [{
"FilePaths": [{
"FileName": "string",
"FilePath": "string",
"Hash": "string",
"ResourceId": "string",
}],
"ItemCount": "number",
"Name": "string",
"Severity": "string"
}],
実際に値が入るとこんな感じです。
"Threats": [
{
"Name": "Gen:Variant.Application.Linux.Miner.3",
"Severity": "HIGH",
"ItemCount": 2,
"FilePaths": [
{
"FilePath": "/home/ec2-user/xmrig-6.3.4-linux-x64.tar.gz=>xmrig-6.3.4/xmrig",
"FileName": "xmrig",
"ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
"Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
},
{
"FilePath": "/home/ec2-user/xmrig-6.3.4/xmrig",
"FileName": "xmrig",
"ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
"Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
}
]
}
],
検知したファイルの数だけFilePaths
のリストが増えます。
ファイル名やファイルパスなどが出てくるので、最終判断や対応にすぐ役立てることができます。
これらThreatsの値は、マルウェア検知時などSecurity HubのFindingsの中でも一部のものにだけ入る形ですので、現状マネジメントコンソール上でこれらの値を直接表示したりはしません。
そのため、GuardDuty側で確認したり、受け取ったjsonをどこかで処理して利用する感じになるでしょう。今回のSecurity Hubでの対応は、あくまでこれを扱えるようになっただけだと考えるといいでしょう。
まとめ
Security HubがGuardDutyのマルウェアスキャンに対応したのでその内容を確認しました。
まずはそのフォーマットを扱えるようになっただけですが、使いみちは色々あると思いますので、是非活用してみてください。