Amazon GuardDuty が S3 保護の設定が有効化ではない状態でも、一部の S3 finding を検知するのは何故ですか?
困っていた内容
Amazon GuardDuty の S3 保護の有効化を検討しています。 しかし、S3 保護の設定が有効化ではない状態でも、一部の S3 の finding を検知しています。 全ての S3 の finding を検知したい場合、S3 保護の設定が有効化は必要でしょうか。
どう対応すればいいの?
はい、全ての S3 の finding を検知したい場合は、S3 保護の設定が有効化は必要です。 S3 保護を有効化することで、データソースとして CloudTrail S3 データイベントを使用するようになる為、無効化時と比べ検出可能な脅威が広がります。
以下、詳細な説明を記載します。
一部の S3 finding を検知する理由
S3 の結果タイプは分析時に、以下のイベントソースを利用しています。
- AWS CloudTrail 管理イベント(デフォルトでオン)
- CloudTrail S3 データイベント(S3 の保護を有効化することで追加)
GuardDuty monitors threats against your Amazon S3 resources by analyzing AWS CloudTrail management events and CloudTrail S3 data events. {中略} If the feature is disabled, GuardDuty is unable to fully monitor, and generate findings for, suspicious access to data stored in your S3 buckets.
AWS CloudTrail S3データイベント | AWS
データ・イベント(データ・プレーン・オペレーションとも呼ばれる)は、リソース上またはリソース内で実行されるリソース・オペレーションに関する洞察を提供します。多くの場合、大量の活動です。 以下は、 CloudTrail S3データイベント GuardDuty 以下を監視できます。 GetObject、ListObjects、DeleteObject、および PutObject API 操作。
例えば、Policy:S3/BucketAnonymousAccessGranted は S3 バケットに対する設定変更に起因して検出されるもので、S3 保護を有効化していない状態でも検出されました。
現状、どの S3 の finding が S3 保護を有効化時にのみ検出されるかについてまとめられた情報は見受けられません。 しかし、S3 保護設定を有効化することで、CloudTrail S3 データイベント(GetObject、ListObjects などの操作)をソースに使用した結果タイプも検知が可能になる為、検出可能な脅威が広がります。