この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
re:Invent2017で発表されたAmazon GuardDutyを試してみました。 脅威リストに登録されたIPアドレスからのAPI実行を検知しました。
試してみた
Amazon GuardDutyは東京リージョンでも利用可能です。 https://ap-northeast-1.console.aws.amazon.com/guardduty/home?region=ap-northeast-1#/ に接続します。 Get startedを選択します。
GuardDutyの有効化を選択します。
脅威リストを作成します。 テキストファイルにIPアドレスを記載します。 ファイル名はUnTrust IP.txtとしました。 IPアドレスはEC2のPublic IPを記載しました。
作成したファイルをS3にアップロードします。
脅威リストの追加を選択します。
ファイルの場所はhttps://s3.amazonaws.com/bucket_name/file_name.txtの形式で指定します。
リストが追加されました。 アクティブにチェックすると、有効化されます。
リストの反映には最大5分かかるようです。
EC2でdescribeコマンドを実行します。 信頼できないIPアドレスからのAPIコールを意図しています。
結果タイプUnauthorizedAccess:IAMUser/MaliciousIPCaller.Customが作成されました。
API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が、アップロードした脅威リストに含まれているIPアドレスから呼び出されたことを示します。
Actionを見ると、SSMのAPIが実行された事がわかります。
しばらくすると、Recon:IAMUser/MaliciousIPCaller.Customが作成されました。
AWSリソースをlistまたはdescribeするAPIが、アップロードした脅威リストに含まれているIPアドレスから呼び出されたことを示します。
アーカイブすると、アーカイブ済み結果に移動します。 問題ない結果や対応が終わった結果については、アーカイブすると良さそうです。
さいごに
Amazon GuardDutyを使って、脅威リストに登録されたIPアドレスからのAPI実行を検知しました。
12
