GuardDutyで悪意のあるホストからの通信を検知してみた #reinvent

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

GuardDutyで悪意のあるホストからの通信を検知してみました。
検証用のWebサーバーを作成し、インターネットからHTTPSアクセス出来る状態にしました。
検証サーバーを用意してから、半日程度で既知の悪意のあるホストからの通信を検知しました。

検証環境の作成

HTTPSでListenするWebサーバーを作成します。
セキュリティグループやNetworkACLの受信ルールで"0.0.0.0/0"を許可します。

GuardDutyを有効化します。
有効化については、こちらをご覧ください。

結果 "Recon:EC2/PortProbeUnprotectedPort"が作成された

検証環境を作成後半日で、"Recon:EC2/PortProbeUnprotectedPort"が作成されました。
EC2の保護されていないポートを既知の悪意のあるホストが探している事を示します。
詳細はAmazon Guard Duty User Guideをご覧ください。

影響を受けるリソースを見ると、影響を受けたEC2とポートを確認できます。

Actorでは、通信の送信元IPを確認できます。
Country: Seychelles(セーシェル共和国)のIPアドレスによって、スキャンが行なわれた事がわかります。

おわりに

GuardDutyで悪意のあるホストからの通信を検知してみました。
検知状況によって、セキュリティグループを見直したり、AWS WAFを導入するなど対応を検討できればと思います。

参考