[アップデート]Security HubでGuardDutyのマルウェアスキャン結果を取り込めるようになりました

[アップデート]Security HubでGuardDutyのマルウェアスキャン結果を取り込めるようになりました

AWS Security HubがAmazon GuardDutyのマルウェアスキャン結果を取り込むことができるようになりました
Clock Icon2022.08.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、マルウェア対策してますか?(挨拶

先日GuardDutyがマルウェアをスキャンする機能がリリースされました。

これに合わせてSecurity Hubでも、この結果を取り込めるようになりました。

AWS Security Hub が Amazon GuardDuty のマルウェア対策の検出結果の受け取りを開始

概要

GuardDutyではマルウェアの疑いがある検知が発生した際に、対象EC2インスタンスのEBSをスナップショットしてマルウェアスキャンを行い、マルウェアが発見されると新しい検知が上がります。

検知されるFinding Typesは下記の通り。

  • Execution:EC2/MaliciousFile
  • Execution:ECS/MaliciousFile
  • Execution:Kubernetes/MaliciousFile
  • Execution:Container/MaliciousFile
  • Execution:EC2/SuspiciousFile
  • Execution:ECS/SuspiciousFile
  • Execution:Kubernetes/SuspiciousFile
  • Execution:Container/SuspiciousFile

今回のSecurity Hubの更新ではこれらのFindingsが扱えるようになりました。これをサポートするためにスキーマが追加されています。

ASFFの更新箇所

Security HubのFindingsのフォーマットはAWS Security Finding Format(ASFF)というもので、下記に説明があります。

AWS Security Finding 形式 - AWS Security Hub

今回は検知したマルウェアのファイルを扱うためにThreatsという項目が追加されていますので、これを見ていきましょう。

フォーマットはこんな感じになっています。

"Threats": [{
    "FilePaths": [{
        "FileName": "string",
        "FilePath": "string",
        "Hash": "string",
        "ResourceId": "string",
    }],
    "ItemCount": "number",
    "Name": "string",
    "Severity": "string"
}],

実際に値が入るとこんな感じです。

"Threats": [
  {
    "Name": "Gen:Variant.Application.Linux.Miner.3",
    "Severity": "HIGH",
    "ItemCount": 2,
    "FilePaths": [
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4-linux-x64.tar.gz=>xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      },
      {
        "FilePath": "/home/ec2-user/xmrig-6.3.4/xmrig",
        "FileName": "xmrig",
        "ResourceId": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-0d61fffffffffffff",
        "Hash": "3f15872a524e9e7bc12d1b8b4ace00ef40b14c466af86185dd9b9f6514567cf8"
      }
    ]
  }
],

検知したファイルの数だけFilePathsのリストが増えます。

ファイル名やファイルパスなどが出てくるので、最終判断や対応にすぐ役立てることができます。

これらThreatsの値は、マルウェア検知時などSecurity HubのFindingsの中でも一部のものにだけ入る形ですので、現状マネジメントコンソール上でこれらの値を直接表示したりはしません。

そのため、GuardDuty側で確認したり、受け取ったjsonをどこかで処理して利用する感じになるでしょう。今回のSecurity Hubでの対応は、あくまでこれを扱えるようになっただけだと考えるといいでしょう。

まとめ

Security HubがGuardDutyのマルウェアスキャンに対応したのでその内容を確認しました。

まずはそのフォーマットを扱えるようになっただけですが、使いみちは色々あると思いますので、是非活用してみてください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.