Amazon GuardDuty が S3 保護の設定が有効化ではない状態でも、一部の S3 finding を検知するのは何故ですか?

テクニカルサポートノート。サービス名: Amazon GuardDuty
2021.01.04

困っていた内容

Amazon GuardDuty の S3 保護の有効化を検討しています。 しかし、S3 保護の設定が有効化ではない状態でも、一部の S3 の finding を検知しています。 全ての S3 の finding を検知したい場合、S3 保護の設定が有効化は必要でしょうか。

どう対応すればいいの?

はい、全ての S3 の finding を検知したい場合は、S3 保護の設定が有効化は必要です。 S3 保護を有効化することで、データソースとして CloudTrail S3 データイベントを使用するようになる為、無効化時と比べ検出可能な脅威が広がります。

以下、詳細な説明を記載します。

一部の S3 finding を検知する理由

S3 の結果タイプは分析時に、以下のイベントソースを利用しています。

  • AWS CloudTrail 管理イベント(デフォルトでオン)
  • CloudTrail S3 データイベント(S3 の保護を有効化することで追加)

S3 保護 | AWS

GuardDuty monitors threats against your Amazon S3 resources by analyzing AWS CloudTrail management events and CloudTrail S3 data events. {中略} If the feature is disabled, GuardDuty is unable to fully monitor, and generate findings for, suspicious access to data stored in your S3 buckets.

AWS CloudTrail S3データイベント | AWS

データ・イベント(データ・プレーン・オペレーションとも呼ばれる)は、リソース上またはリソース内で実行されるリソース・オペレーションに関する洞察を提供します。多くの場合、大量の活動です。 以下は、 CloudTrail S3データイベント GuardDuty 以下を監視できます。 GetObject、ListObjects、DeleteObject、および PutObject API 操作。

例えば、Policy:S3/BucketAnonymousAccessGranted は S3 バケットに対する設定変更に起因して検出されるもので、S3 保護を有効化していない状態でも検出されました。

現状、どの S3 の finding が S3 保護を有効化時にのみ検出されるかについてまとめられた情報は見受けられません。 しかし、S3 保護設定を有効化することで、CloudTrail S3 データイベント(GetObject、ListObjects などの操作)をソースに使用した結果タイプも検知が可能になる為、検出可能な脅威が広がります。

GuardDuty S3 finding types

テクニカルサポートノートとは?

クラスメソッドのカルチャー(CLP) の「情報発信を通じて、全ての人々の創造活動に貢献し続ける」という考えから、クラスメソッド メンバーズをご利用のお客様よりいただいたお問い合わせより、他の AWS ユーザーにとっても 有益な情報を一般的な TIPS としてご紹介しています。