[アップデート]Security HubでGuardDutyのマルウェアスキャン結果を取り込めるようになりました

AWS Security HubがAmazon GuardDutyのマルウェアスキャン結果を取り込むことができるようになりました

臼田佳祐

2022.08.31

こんにちは、臼田です。

みなさん、マルウェア対策してますか?(挨拶

先日GuardDutyがマルウェアをスキャンする機能がリリースされました。

これに合わせてSecurity Hubでも、この結果を取り込めるようになりました。

AWS Security Hub が Amazon GuardDuty のマルウェア対策の検出結果の受け取りを開始

概要

GuardDutyではマルウェアの疑いがある検知が発生した際に、対象EC2インスタンスのEBSをスナップショットしてマルウェアスキャンを行い、マルウェアが発見されると新しい検知が上がります。

検知されるFinding Typesは下記の通り。

  • Execution:EC2/MaliciousFile
  • Execution:ECS/MaliciousFile
  • Execution:Kubernetes/MaliciousFile
  • Execution:Container/MaliciousFile
  • Execution:EC2/SuspiciousFile
  • Execution:ECS/SuspiciousFile
  • Execution:Kubernetes/SuspiciousFile
  • Execution:Container/SuspiciousFile

今回のSecurity Hubの更新ではこれらのFindingsが扱えるようになりました。これをサポートするためにスキーマが追加されています。

ASFFの更新箇所

Security HubのFindingsのフォーマットはAWS Security Finding Format(ASFF)というもので、下記に説明があります。

AWS Security Finding 形式 - AWS Security Hub

今回は検知したマルウェアのファイルを扱うためにThreatsという項目が追加されていますので、これを見ていきましょう。

フォーマットはこんな感じになっています。

"Threats": [{
    "FilePaths": [{
        "FileName": "string",
        "FilePath": "string",
        "Hash": "string",
        "ResourceId": "string",
    }],
    "ItemCount": "number",
    "Name": "string",
    "Severity": "string"
}],

実際に値が入るとこんな感じです。

"Threats": [
  {
    "Name": "Gen:Variant.Application.Linux.Miner.3",
    "Severity": "HIGH",
    "ItemCount": 2,
    "FilePaths": [
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4-linux-x64.tar.gz=>xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      },
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      }
    ]
  }
],

検知したファイルの数だけFilePathsのリストが増えます。

ファイル名やファイルパスなどが出てくるので、最終判断や対応にすぐ役立てることができます。

これらThreatsの値は、マルウェア検知時などSecurity HubのFindingsの中でも一部のものにだけ入る形ですので、現状マネジメントコンソール上でこれらの値を直接表示したりはしません。

そのため、GuardDuty側で確認したり、受け取ったjsonをどこかで処理して利用する感じになるでしょう。今回のSecurity Hubでの対応は、あくまでこれを扱えるようになっただけだと考えるといいでしょう。

まとめ

Security HubがGuardDutyのマルウェアスキャンに対応したのでその内容を確認しました。

まずはそのフォーマットを扱えるようになっただけですが、使いみちは色々あると思いますので、是非活用してみてください。

AWS

関連記事

【Security Hub修復手順】[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

おつまみ

2023.03.30

【アップデート】Security Hub 修復ソリューションが v2.0.0 に更新!統合コントロールに対応しました

川原征大

2023.03.27

[レポート] #COP209 すべてを自動化する: 選択肢とベストプラクティス #reinvent

川崎照夫

2023.03.26

【Security Hub修復手順】[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります。

みなみ

2023.03.25