「GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう!」というタイトルでDevelopersIO 2023に登壇しました #DevIO2023
こんにちは、臼田です。
みなさん、GuardDutyと戯れてますか?(挨拶
今回は弊社年1の一大イベントであるDevelopersIO 2023で登壇した内容の共有です。
スライド
解説
大前提
今回のセッションの概要は以下のとおりです。
GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう!
クラスメソッドではAmazon GuardDutyを利用したセキュアアカウント インシデント自動調査機能を提供しています。日頃からGuardDutyを嗜んでいる立場から、みなさんに普段知る必要がないくらい深いGuardDutyの情報を提供します。念の為最新のGuardDutyのアップデートも織り交ぜつつ、みなさんがGuardDutyマスターになるために、GuardDutyの検知内容(Findings)のフォーマットがどの様になっているのかディープダイブして解説します。
というわけで、今回の内容はすごくコアです。本当に大丈夫ですか?
このセッションの楽しみ方としては、GuardDutyマニアの方は問題なく楽しめると思います。そうじゃない人でも、「とりあえずなんだかよくわからないけどニッチなことを話しているのを聞くのが好き」というスタンスであれば楽しめると思います。
いちおうおまけとして、最近のアップデートについてもまとめています。
ついでにですが、もっと汎用的なAWSセキュリティの話は以下で語っていますので、そちらも合わせて確認してください。
まだ前置き
今回なんでそんなコアなテーマを扱ったのか、ですが、いきなり宣伝で申し訳ないですが、実は弊社は最近セキュアアカウント インシデント自動調査機能を提供開始しております(オープンベータ)。
このサービスはAmazon GuardDutyが検知したイベントをトリガーに、AWS環境を自動的に調査します。影響を受けているリソースの状態や、CloudTralの実行履歴を調査し、迅速に報告します。
つまり今回のセッションは、このサービス提供のためにやっているGuardDuty基礎研究の成果報告です。
もちろん私だけでなく、チームのメンバーにも手伝ってもらっています。マジ感謝。
今回のアジェンダは以下のとおりです。
- GuardDutyのおさらい(必要ないかもしれませんが)
- 最近のアップデート(本当におまけ程度)
- Findingsの話(メイン
GuardDutyのおさらい
一応念のため、このブログを見ている方で知らない方はいないと思いますが、おさらいです。
Amazon GuardDutyはAWS上の様々な脅威を検知してくれるサービスです。脅威を検知するためには従来様々な仕組みが必要で、ログを出す仕組みをすべての箇所に仕込み、ログが通るネットワークの経路と帯域を確保し(たくさん流れるので土管の性能も大事)、ログを保存するストレージを確保しうまくローテーションし(容量は有限)、保存されているログをリアルタイムやニアリアルタイム・バッチで処理して検知をします。そんな中GuardDutyはこれらの設定や管理を一切することなく、ユーザーがポチッと有効化するだけで利用できます。すばらしい!
IAM / EC2 / S3などのインシデントを検知してくれて、AWSが持っている、あるいはサードパーティの脅威インテリジェンスを活用して検知をしたり、機械学習による異常検知ができます。
ところで、みなさんは当然GuardDutyを使っていますよね?
ではどのくらいの利用レベルでしょうか?有効化しているだけ?検知したものの対応をしている?JSONの生データを見ながら調査している?あるいは処理を自動化している?
もし自動化までできているなら、ぜひ私の仕事を手伝っていただきたいですね。
ちなみに一般のGuardDuty利用率を以前調査したことがあり、企業規模で見ると一番多い301-500人規模のところで86.67%と高く、全体でも約60%と様々あるAWSのサービスとしては高めです。
この結果は下記のレポートにあります。自分たちのセキュリティを客観的に評価する指標になりますので参考にしてください。
あと、最近リリースされた下記の本、「AWSではじめるクラウドセキュリティ」はGuardDutyに限らずセキュリティの原理原則に寄り添った本になっていて、セキュリティの概念を理解することを助けてくれます。ぜひまだ読んでない方は読んでください。
GuardDutyの関連サービスも少し紹介します。
- Amazon Detective
- GuardDutyで検知した内容の相関分析
- AWS Security Hub
- 連携したりしなかったり
- セキュリティチェックの機能が強い
- AWS Organizations
- 連携してGuardDutyなどのマルチアカウント展開
最近のアップデート(おまけ)
あとは後ほど書きます。