GuardDuty 結果形式 - Amazon GuardDuty

GuardDuty 結果形式

GuardDuty は、AWS 環境内で不審な動作や予期しない動作を検出すると、結果を生成します。結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。結果の詳細 には、発生した結果、不審な動作に関与している AWS リソース、このアクティビティの発生日時やその他の情報が含まれます。

結果の詳細で最も役立つ情報の 1 つは、結果タイプです。結果タイプの目的は、潜在的なセキュリティ問題について簡潔でわかりやすい説明を提供することです。たとえば、GuardDuty の Recon:EC2/PortProbeUnprotectedPort 結果タイプは、AWS 環境の EC2 インスタンスに保護されていないポートがあり、これを攻撃者が見つけようとしていることを迅速に知らせます。

GuardDuty では、次の形式が生成するさまざまな結果タイプが使用されます。

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.ThreatFamilyVariant!Artifact

形式の各部分について以下に説明します。

  • ThreatPurpose は、脅威または潜在的な攻撃の主な目的についての説明です。現行リリースの GuardDuty では、ThreatPurpose を以下の値に設定できます。

    • Backdoor – この値では、AWS リソースが攻撃を受けていることを知らせます。また、ホームのコマンドアンドコントロール (C&C) サーバーに連絡し、悪意のあるアクティビティに対処する詳細な手順を受け取ることができます。

    • Behavior – この値は、特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンが GuardDuty で検出されたことを示します。

    • Cryptocurrency – この値は、ビットコインなどの暗号通貨に関連付けられたソフトウェアが GuardDuty で検出されたことを示します。

    • Pentest - AWS リソースの所有者や承認された担当者は、オープンなセキュリティグループや制限が低すぎるアクセスキーなどの脆弱性を見つけるために、AWS アプリケーションに対して意図的にテストを実行する場合があります。これらのペンテストは、攻撃者が気づく前に脆弱なリソースを特定してロックダウンする目的で実行されます。ただし、承認済みペンテスターが使用する一部のツールは一般的なものであるため、不正なユーザーや攻撃者がこのテストに便乗して利用する場合があります。GuardDuty では、このようなアクティビティの真の意図は特定できませんが、この Pentest 値により、このようなアクティビティが GuardDuty で検出されたこと、および既知のペンテストツールで生成されたアクティビティと類似していることを示します。したがって、これは攻撃の可能性があります。

    • Persistence - この値は、AWS 環境のプリンシパルが、確立されたベースラインとは異なる動作を行っていることを示します。たとえば、このプリンシパルにはネットワーク設定の更新履歴あるいは AWS ユーザーまたはリソースにアタッチされたポリシーやアクセス権限を更新した履歴がない場合などです。

    • Policy - この値は、AWS アカウントがセキュリティに関して推奨されたベストプラクティスに反する動作を行っていることを示します。

    • PrivilegeEscalation - この値は、AWS 環境の特定のプリンシパルが特権エスカレーション攻撃を示す可能性のある動作をしていることを示します。

    • Recon - この値は、偵察攻撃が進行中であり、ポートを調査したり、ユーザーやデータベーステーブルなどをリストアップすることで、AWS 環境の脆弱性を探そうとしていることを示します。

    • ResourceConsumption - この値は、AWS 環境のプリンシパルが、確立されたベースラインとは異なる動作を行っていることを示します。たとえば、このプリンシパルには EC2 インスタンスを起動した履歴がないなどの場合です。

    • Stealth - この値は、攻撃のアクションや形跡を巧みに隠そうとしていることを示します。たとえば、攻撃者が匿名化したプロキシサーバーを使用し、アクティビティの真の意図をほぼ判断不能にしている場合があります。

    • Trojan – この値は、悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示します。この種のソフトウェアは合法的なプログラムを装う場合があり、ユーザーが誤って実行することがあります。脆弱性を特定して自動的に実行されることもあります。

    • UnauthorizedAccess – この値は、承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します。

  • ResourceTypeAffected – この結果では、攻撃対象の候補として特定された AWS リソースを示します。現行リリースの GuardDuty では、EC2 インスタンスとプリンシパル (およびその認証情報) のみが、影響を受けるリソースとして GuardDuty の結果で識別できます。

  • ThreatFamilyName – GuardDuty で検出された全体的な脅威または潜在的な悪意のあるアクティビティの説明です。たとえば、NetworkPortUnusual の値は、GuardDuty の結果で識別された EC2 インスタンスに、同じ結果で識別された特定のリモートポートでの通信履歴がないことを示します。

  • ThreatFamilyVariant – GuardDuty で検出された ThreatFamily の特定のバリアントを記述します。通常、攻撃者は攻撃の機能をわずかに変更して新しいバリアントを作成します。

  • Artifact – 攻撃で使用されているツールが所有する特定のリソースを示します。たとえば、結果タイプ CryptoCurrency:EC2/BitcoinTool.B!DNS の「DNS」は、EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを示します。