【試してみた】 Amazon GuardDutyで脅威リストに登録されたIPからのAPI実行を検知してみた #reinvent

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

re:Invent2017で発表されたAmazon GuardDutyを試してみました。
脅威リストに登録されたIPアドレスからのAPI実行を検知しました。

試してみた

Amazon GuardDutyは東京リージョンでも利用可能です。
https://ap-northeast-1.console.aws.amazon.com/guardduty/home?region=ap-northeast-1#/ に接続します。
Get startedを選択します。

GuardDutyの有効化を選択します。

脅威リストを作成します。
テキストファイルにIPアドレスを記載します。
ファイル名はUnTrust IP.txtとしました。
IPアドレスはEC2のPublic IPを記載しました。

作成したファイルをS3にアップロードします。

脅威リストの追加を選択します。

ファイルの場所はhttps://s3.amazonaws.com/bucket_name/file_name.txtの形式で指定します。

リストが追加されました。
アクティブにチェックすると、有効化されます。

リストの反映には最大5分かかるようです。

EC2でdescribeコマンドを実行します。
信頼できないIPアドレスからのAPIコールを意図しています。

結果タイプUnauthorizedAccess:IAMUser/MaliciousIPCaller.Customが作成されました。
API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が、アップロードした脅威リストに含まれているIPアドレスから呼び出されたことを示します。

Actionを見ると、SSMのAPIが実行された事がわかります。

しばらくすると、Recon:IAMUser/MaliciousIPCaller.Customが作成されました。
AWSリソースをlistまたはdescribeするAPIが、アップロードした脅威リストに含まれているIPアドレスから呼び出されたことを示します。

アーカイブすると、アーカイブ済み結果に移動します。
問題ない結果や対応が終わった結果については、アーカイブすると良さそうです。

さいごに

Amazon GuardDutyを使って、脅威リストに登録されたIPアドレスからのAPI実行を検知しました。

参考