攻撃シーケンスの脅威シナリオの例拡張脅威検出の仕組み脅威検出を最大化するための保護プランの有効化 GuardDuty コンソールでの拡張脅威検出攻撃シーケンスの検出結果の理解と管理追加リソース

GuardDuty 拡張脅威検出

GuardDuty 拡張脅威検出は、内のデータソース、複数のタイプの AWS リソース、および時間にわたるマルチステージ攻撃を自動的に検出します AWS アカウント。この機能を使用すると、GuardDuty はさまざまなタイプのデータソースをモニタリングすることで観察する複数のイベントのシーケンスに焦点を当てます。拡張脅威検出は、これらのイベントを相関させて AWS 、環境に対する潜在的な脅威として存在するシナリオを特定し、攻撃シーケンスの検出結果を生成します。

攻撃シーケンスの脅威シナリオの例

拡張脅威検出は、 AWS 認証情報の悪用、Amazon S3 バケットでのデータ侵害の試み、Amazon EKS クラスターでのコンテナと Kubernetes リソースの侵害に関連する脅威シナリオを対象としています。1 つの検出結果には、攻撃シーケンス全体を含めることができます。たとえば、次のリストは、GuardDuty が検出する可能性のあるシナリオを示しています。

例 1 - AWS 認証情報と Amazon S3 バケットデータの侵害

コンピューティングワークロードへの不正アクセスを取得する脅威アクター。
次に、アクターは権限のエスカレーションや永続化の確立などの一連のアクションを実行します。
最後に、アクターは Amazon S3 リソースからデータを抽出します。

例 2 - Amazon EKS クラスターの侵害

脅威アクターは、Amazon EKS クラスター内のコンテナアプリケーションを悪用しようとします。
アクターは、侵害されたコンテナを使用して特権サービスアカウントトークンを取得します。
次に、アクターはこれらの昇格された権限を活用して、ポッド ID を介して機密性の高い Kubernetes シークレットまたは AWS リソースにアクセスします。

関連する脅威シナリオの性質上、GuardDuty はすべてを重大攻撃シーケンスの検出結果タイプと見なします。

次の動画では、Extended Threat Detection の使用方法を示します。

仕組み

特定ののアカウントで Amazon GuardDuty を有効にすると AWS リージョン、拡張脅威検出もデフォルトで有効になります。拡張脅威検出の使用に関連する追加コストはありません。デフォルトでは、すべてののイベントを関連付けます基本データソース。ただし、S3 Protection、EKS Protection、Runtime Monitoring など、より多くの GuardDuty 保護プランを有効にすると、イベントソースの範囲を広げることで、追加のタイプの攻撃シーケンス検出が開きます。これは、より包括的な脅威分析と攻撃シーケンスの検出の向上に役立つ可能性があります。詳細については、「脅威検出を最大化するための保護プランの有効化」を参照してください。

GuardDuty は、API アクティビティや GuardDuty の検出結果など、複数のイベントを関連付けます。これらのイベントは Signals と呼ばれます。環境内で、単独では明確な潜在的な脅威とならないイベントが発生する場合があります。GuardDuty はそれらを弱いシグナルと呼んでいます。拡張脅威検出を使用すると、GuardDuty は複数のアクションのシーケンスが疑わしいアクティビティと一致するタイミングを特定し、アカウントに攻撃シーケンスの検出結果を生成します。これらの複数のアクションには、弱いシグナルや、アカウントで既に特定された GuardDuty の検出結果が含まれる場合があります。

注記

攻撃シーケンスのイベントを相関させる場合、Extended Threat Detection は、のために自動的にアーカイブされる検出結果を含め、アーカイブされた検出結果を考慮しません抑制ルール。この動作により、アクティブで関連するシグナルのみが攻撃シーケンスの検出に寄与します。この影響を受けないようにするには、アカウントの既存の抑制ルールを確認してください。詳細については、「拡張脅威検出での抑制ルールの使用」を参照してください。

GuardDuty は、アカウントで進行中の潜在的な動作または最近の攻撃動作 (24 時間のローリング時間枠内) を特定するように設計されています。たとえば、攻撃者がコンピューティングワークロードへの意図しないアクセスを取得すると、攻撃が開始される可能性があります。次に、アクターは列挙、権限のエスカレーション、 AWS 認証情報の流出など、一連のステップを実行します。これらの認証情報は、さらなる侵害やデータへの悪意のあるアクセスに使用される可能性があります。

リージョン内の GuardDuty アカウントでは、拡張脅威検出機能が自動的に有効になります。デフォルトでは、この機能はすべてので複数のイベントを考慮します基本データソース。この機能を活用するには、ユースケースに焦点を当てたすべての GuardDuty 保護プランを有効にする必要はありません。例えば、基本的な脅威検出を使用すると、GuardDuty は Amazon S3 APIs での IAM 権限検出アクティビティから潜在的な攻撃シーケンスを特定し、バケットリソースポリシーをより寛容にする変更など、その後の S3 コントロールプレーンの変更を検出できます。

拡張脅威検出は、より多くの保護プランを有効にすると、GuardDuty が複数のデータソース間でより多様なシグナルを相関させるのに役立つように設計されています。これにより、包括的な脅威分析と攻撃シーケンスのカバレッジのための幅広いセキュリティシグナルが強化される可能性があります。攻撃シーケンスの複数のステージの 1 つである可能性のある検出結果を特定するため、GuardDuty では、S3 Protection、EKS Protection、Runtime Monitoring (EKS アドオンを使用) などの特定の保護プランを有効にすることをお勧めします。

トピック

Amazon EKS クラスターでの攻撃シーケンスの検出
Amazon S3 バケット内の攻撃シーケンスの検出

Amazon EKS クラスターでの攻撃シーケンスの検出

GuardDuty は、EKS 監査ログ、プロセスのランタイム動作、 AWS API アクティビティにわたって複数のセキュリティシグナルを相関させて、高度な攻撃パターンを検出しました。EKS の拡張脅威検出を活用するには、EKS Protection または Runtime Monitoring (EKS アドオンを使用) の少なくとも 1 つの機能を有効にする必要があります。EKS Protection は監査ログを通じてコントロールプレーンのアクティビティをモニタリングし、Runtime Monitoring はコンテナ内の動作を監視します。

最大カバレッジと包括的な脅威検出のために、GuardDuty では両方の保護プランを有効にすることをお勧めします。これらを組み合わせることで、EKS クラスターの完全なビューが作成され、GuardDuty が複雑な攻撃パターンを検出できるようになります。たとえば、特権コンテナの異常なデプロイ (EKS Protection で検出) を識別し、その後、そのコンテナ内で永続化の試行、暗号化マイニング、リバースシェルの作成 (Runtime Monitoring で検出) を行うことができます。GuardDuty は、これらの関連イベントをと呼ばれる単一の重大度の検出結果として表しますAttackSequence:EKS/CompromisedCluster。両方の保護プランを有効にすると、攻撃シーケンスの検出結果は次の脅威シナリオをカバーします。

脆弱なウェブアプリケーションを実行しているコンテナの侵害
認証情報の設定ミスによる不正アクセス
権限をエスカレートしようとする
疑わしい API リクエスト
データに悪意を持ってアクセスしようとする

次のリストは、これらの専用保護プランが個別に有効になっている場合の詳細を示しています。

EKS Protection: EKS Protection を有効にすると、GuardDuty は Amazon EKS クラスターコントロールプレーンアクティビティを含む攻撃シーケンスを検出できます。これにより、GuardDuty は EKS 監査ログと AWS API アクティビティを関連付けることができます。たとえば、GuardDuty は、アクターがクラスターシークレットへの不正アクセスを試み、Kubernetes ロールベースのアクセスコントロール (RBAC) アクセス許可を変更し、特権ポッドを作成する攻撃シーケンスを検出できます。この保護プランを有効にする方法の詳細については、「」を参照してくださいEKS Protection。
Amazon EKS のランタイムモニタリング: Amazon EKS クラスターのランタイムモニタリングを有効にすると、GuardDuty はコンテナレベルの可視性で EKS 攻撃シーケンス検出を強化できます。これにより、GuardDuty は潜在的な悪意のあるプロセス、疑わしいランタイム動作、および潜在的なマルウェア実行を検出するのに役立ちます。たとえば、GuardDuty は、コンテナがプロセスの暗号化や既知の悪意のあるエンドポイントへの接続の確立など、疑わしい動作を示す攻撃シーケンスを検出できます。この保護プランを有効にする方法の詳細については、「」を参照してくださいRuntime Monitoring。

EKS Protection または Runtime Monitoring を有効にしない場合、GuardDuty は個々の EKS Protection の検出結果タイプまたはを生成できませんRuntime Monitoring の検出結果タイプ。したがって、GuardDuty は関連する検出結果を含むマルチステージ攻撃シーケンスを検出できません。

Amazon S3 バケット内の攻撃シーケンスの検出

S3 Protection を有効にすると、GuardDuty は Amazon S3 バケット内のデータ侵害の試みを含む攻撃シーケンスを検出できます。S3 Protection を使用しない場合、GuardDuty は S3 バケットリソースポリシーが過度に許容されているタイミングを検出できます。S3 Protection を有効にすると、GuardDuty は、S3 バケットが過度に許容された後に発生する可能性のあるデータ流出アクティビティを検出できるようになります。

S3 Protection が有効になっていない場合、GuardDuty は個々のを生成できませんS3 Protection の検出結果タイプ。したがって、GuardDuty は関連する検出結果を含むマルチステージ攻撃シーケンスを検出できません。この保護プランの有効化の詳細については、「」を参照してくださいS3 Protection。

GuardDuty コンソールでの拡張脅威検出

デフォルトでは、GuardDuty コンソールの拡張脅威検出ページにステータスが有効と表示されます。基本的な脅威検出では、ステータスは、GuardDuty が Amazon S3 APIsし、その後の S3 コントロールプレーンの変更を検出できることを示します。

GuardDuty コンソールで拡張脅威検出ページにアクセスするには、次の手順に従います。

GuardDuty コンソールは、https://console.aws.amazon.com/guardduty/ で開くことができます。
左側のナビゲーションペインで、拡張脅威検出を選択します。

このページでは、拡張脅威検出の対象となる脅威シナリオについて詳しく説明します。
拡張脅威検出ページで、関連する保護プランセクションを表示します。専用保護プランを有効にしてアカウントの脅威検出カバレッジを強化する場合は、その保護プランの設定オプションを選択します。

攻撃シーケンスの検出結果の理解と管理

攻撃シーケンスの検出結果は、アカウント内の他の GuardDuty の検出結果と同じです。GuardDuty コンソールの検出結果ページで表示できます。結果の表示については、「」を参照してくださいGuardDuty コンソールの検出結果ページ。

他の GuardDuty の検出結果と同様に、攻撃シーケンスの検出結果も Amazon EventBridge に自動的に送信されます。設定に基づいて、攻撃シーケンスの検出結果は発行先 (Amazon S3 バケット) にもエクスポートされます。新しい発行先を設定するか、既存の発行先を更新するには、「」を参照してください生成された検出結果を Amazon S3 にエクスポートする。

追加リソース

攻撃シーケンスの詳細については、以下のセクションを参照してください。

拡張脅威検出と攻撃シーケンスについて学習したら、「」の手順に従って、サンプル攻撃シーケンスの検出結果タイプを生成できますサンプルの検出結果。
攻撃シーケンスの検出結果タイプ　についてはこちら。
結果を確認し、に関連する結果の詳細を調べます攻撃シーケンスの検出結果の詳細。
の関連する影響を受けるリソースの手順に従って、攻撃シーケンスの検出結果タイプに優先順位を付け、対処します検出結果の修復。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

基本データソース

EKS Protection