この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
GuardDutyで悪意のあるホストからの通信を検知してみました。
検証用のWebサーバーを作成し、インターネットからHTTPSアクセス出来る状態にしました。
検証サーバーを用意してから、半日程度で既知の悪意のあるホストからの通信を検知しました。
検証環境の作成
HTTPSでListenするWebサーバーを作成します。
セキュリティグループやNetworkACLの受信ルールで"0.0.0.0/0"を許可します。
GuardDutyを有効化します。
有効化については、こちらをご覧ください。
結果 "Recon:EC2/PortProbeUnprotectedPort"が作成された
検証環境を作成後半日で、"Recon:EC2/PortProbeUnprotectedPort"が作成されました。
EC2の保護されていないポートを既知の悪意のあるホストが探している事を示します。
詳細はAmazon Guard Duty User Guideをご覧ください。
影響を受けるリソースを見ると、影響を受けたEC2とポートを確認できます。
Actorでは、通信の送信元IPを確認できます。
Country: Seychelles(セーシェル共和国)のIPアドレスによって、スキャンが行なわれた事がわかります。
おわりに
GuardDutyで悪意のあるホストからの通信を検知してみました。
検知状況によって、セキュリティグループを見直したり、AWS WAFを導入するなど対応を検討できればと思います。
12
