-
[アップデート]GuardDutyでCloudTrailベースのFindingsの送信元IPv4をCIDRでフィルターと抑制ルールが指定できるようになりました
GuardDutyのFindingsをフィルター/抑制するときにCloudTrailタイプの送信元IPv4アドレスもCIDR指定できるようになりました。地味にいいやつ。
-
複数のリージョンで GuardDuty を設定した環境で、コンソールログインの検知通知を抑止する方法
困っていた内容 GuardDuty がコンソールログインのイベント、結果タイプ UnauthorizedAccess:IAMUser/ConsoleLogin を複数のリージョンで検知しました。 GuardDuty は複 […]
-
GuardDutyとその結果をFirehose経由でDatadogに連携するCloudFormationテンプレートを作ってみた
GuardDutyと、Datadog Logs 連携した Firehose の設定をCloudFormationテンプレート化、StackSetで全リージョン一括展開してみました。
-
GuardDutyの検出結果をFirehose経由でDatadogに転送してみた
GuardDutyの検知ログ、Datadog Logsへの集約を サードパーティへのデータ配信をサポートしたFirehose で設定してみました。
-
rootユーザーでAWSを利用した際に出たことのあるGuardDuty Findingsを共有します
rootユーザーで作業したときに実際に出たGuardDuty Findingsをまとめました。知見としてお使いください。
-
「クラウドシフトにあわせたAWSセキュリティ強化のはじめ方」というタイトルで登壇しました
「クラウドシフトにあわせたAWSセキュリティ強化のはじめ方」というタイトルで登壇しました。クラウドジャーニーの状況に合わせてできることから攻めのセキュリティを実施していきましょう。
-
[アップデート]DetectiveでVPCフローログの可視化が強化されたから見てみた
Amazon DetectiveのVPCフローログの可視化が強化されたので見てみました。追加費用無しでフローが見れるようになって更に調査が捗りますね。
-
111件のシェア(ちょっぴり話題の記事)
AWSセキュリティの無料Eラーニングで初心者向けのコース「AWS のセキュリティ、アイデンティティ、コンプライアンス」がリリースされたのでやってみた
初心者からAWSセキュリティを無料で学べるEラーニングコンテンツが公開されたので特徴と使い方を解説します。体系的に学びたかったり資格を取りたい場合、社内の教育などに活用できます!
-
83件のシェア(ちょっぴり話題の記事)
「ついに来た!Amazon Detectiveでセキュリティインシデントの調査がちょー捗るからまずやってみよう」という内容で動画投稿しました #devio2020
リリースされたばかりのAmazon Detectiveでちょー捗るインシデントの調査をやってみる時に参考になるデモ動画を公開しました!ガッツリデモを行っているので見応えあります!
-
簡単にGuardDutyの検知をテストするためにIAMの権限昇格をするスクリプト書いてみた
GuardDutyの検知テストを環境影響少なく簡単に実行するためにスクリプトを作りました。Finding type: PrivilegeEscalation:IAMUser/AdministrativePermissionsを検知できるはず!
-
Sumo LogicにGuardDutyのログをS3から取り込む方法
通常Sumo LogicにGuardDutyのログを取り込む場合には、CloudWatch Logsからログを送信するためのAWS Lambdaを建てないとなりません。ですがS3バケットからログを収集させる方法もあります。これについて手順をご説明します。
-
GuardDutyで新たにCloudTrail無効化通知をバイパスする攻撃を検知できるようになったので試してみた
攻撃者がCloudTrailを単純無効化せずに記録するリソースをなくすことによってGuardDutyの検知をバイパスするような巧妙な攻撃を、GuardDutyが検知できるようになったので検証してみました!
-
通知テストのためのGuardDuty Findingsのjsonサンプル置いておきます
GuardDuty Findingsの通知で飛ぶjsonサンプルを公開します。
-
新しくリリースされたAWS Chatbotを使ってGuardDutyのSlack通知をするといいよって話
GuardDutyの通知はAWS ChatbotのSlack通知機能で受け取るときれいでめちゃくちゃ見やすいです!これがオススメ!
-
194件のシェア(すこし話題の記事)
[神ツール]セキュリティインシデントの調査が捗るAmazon DetectiveがGAしたのでメリットとオススメの使い方を紹介します
インシデントの調査がとっても捗るAmazon Detectiveについて、どのような役割とメリットがあるのか、使い方の勘所、そのコスパについてまとめました。これも全アカウント必須ですよ!
-
GuardDutyの検出結果をエクスポートするためのKMSキーとS3バケットをCloudFormationで作った
GuardDutyの検出結果をS3にエクスポートすることが可能ですが、いくつか事前準備が必要です。そこをちょっと楽にするCloudFormationテンプレートを作成しました。
-
[アップデート] GuardDuty で新たなボリュームディスカウントが追加されました
大規模な環境向けのディスカウントプランの追加ですね!
-
GuardDutyでDNS Rebindingを検知できるようになったので試してみた
GuardDutyがサポートした新しいFindings Typeで検知できるDNS Rebindingを実際に試してみました。クレデンシャルが抜かれてしまう攻撃なので適切に対処できるように、また予防できるようにしましょう。
-
GuardDutyの通知が重要度でフィルター可能になりました
GuardDutyの通知レベルがフィルター可能になりました
-
GuardDutyのC&CActivity.B!DNSをテストする
GuardDutyのFinding Typeによっては、個別のテスト方法が用意されています。Backdoor:EC2/C&CActivity.B!DNSをテストしてみました。
-
100件のシェア(ちょっぴり話題の記事)
Amazon GuardDutyを導入する前に知っておきたいこと
Amazon GuardDutyは、悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービスです。AWS CloudTrail、Amazon VPC フローログ、DNS ログをデータソースに利用します。Gu […]
-
109件のシェア(ちょっぴり話題の記事)
[新機能] 異常な API アクティビティを自動検出!CloudTrail Insights がリリースされました!
CloudTrailの証跡情報を機械学習で分析し、異常APIコールとして検出してくれる新機能「CloudTrail Insights」のご紹介です!
-
[アップデート] GuardDuty の検出結果を S3 にエクスポート出来るようになりました
GuardDutyの検出結果を簡単にS3に保管出来るようになりました!
-
AWS上に構築し数年経過したシステムの見直しポイント Developers.IO 2019 in SAPPORO #cmdevio
AWSは数年経つと日々アップデートしているため、色々変わってしまいます。 数年経過したシステムへ追加・変更しておくポイントについて大きく4つに分けてお話ししました。
-
CloudFormation一撃でGuardDutyを有効にして、通知をLambdaでイイ感じに編集してSNSへ通知するテンプレート作った
GuardDutyまじ優秀を定期的につぶやいているAWS事業本部 梶原@新福岡オフィスです。 完全に 「一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った」 一発でGuardDutyを全リージ […]
-
Amazon GuardDutyをbacklogに連携する
Amazon GuardDutyの通知をみなさんはどうされていますか?色々な通知方法がある中から、Backlogに通知する方法をご紹介します。Backlogへの通知はAWS Lambdaを使い、LambdaのデプロイにはServerless Frameworkを使います。
-
GuardDutyでルートアカウントの利用を検知する
AWSアカウントを作成すると、ユーザー名がメールアドレスのルートアカウントが作成されます。ルートアカウントは権限が強力なので、普段は利用せずに適切な権限のIAMユーザーの利用することが推奨されます。GuardDutyにはPolicy:IAMUser/RootCredentialUsageというイベントがあり、AWS API がルート認証情報を使用して呼び出されたことを検知できます。本当に呼び出せるのか、呼び出された場合にどのような調査ができるのかご紹介します。本検証はプライベートで利用しているAWSアカウントを利用しました。
-
GuardDutyでSSHスキャナーを検知する
GuardDutyにはRecon:EC2/PortProbeUnprotectedPortというイベントがあります。既知のスキャナーがSSHやRDP接続を試みていることを知らせるイベントです。このイベントが本当に発動するのかSSHを0.0.0.0/0で許可したEC2を立てて確認しました。
-
GuardDutyが新しくIAMの権限昇格を検知できるようになったので試してみた
GuardDutyで新しくIAMの権限昇格を検知できるようになりました。まだGuardDutyを有効化していないアカウントは即刻有効化してください。早速検知出来ることを試してみました。
-
GuardDutyが新しくDoS攻撃に加担しているEC2を検知できるようになりました
GuardDutyが新しくDoS攻撃に加担しているEC2を検知できるようになりました。もしこれを検知した際にどのように対処したらいいのかも合わせて解説します。