GuardDuty Extended Threat Detection - Amazon GuardDuty
攻撃シーケンスの脅威シナリオの例Extended Threat Detection の仕組み脅威検出を最大化するための保護プランの有効化GuardDuty コンソールの Extended Threat Detection攻撃シーケンスの検出結果の理解と管理その他のリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty Extended Threat Detection

GuardDuty 拡張脅威検出は、 内のデータソース、複数のタイプの AWS リソース、および時間にわたるマルチステージ攻撃を自動的に検出します AWS アカウント。この機能を使用すると、GuardDuty はさまざまなタイプのデータソースをモニタリングして観察する複数のイベントのシーケンスに焦点を当てます。拡張脅威検出は、これらのイベントを相関させて AWS 、環境に対する潜在的な脅威として存在するシナリオを特定し、攻撃シーケンスの検出結果を生成します。

攻撃シーケンスの脅威シナリオの例

拡張脅威検出は、 AWS 認証情報の悪用、Amazon S3 バケットにおけるデータ侵害の試み、Amazon EKS クラスターにおけるコンテナと Kubernetes リソースの侵害に関連する脅威シナリオを対象としています。1 つの検出結果には、攻撃シーケンス全体を含めることができます。例えば、次のリストは、GuardDuty が検出する可能性のあるシナリオを示しています。

例 1 - AWS 認証情報と Amazon S3 バケットデータの侵害

  • コンピューティングワークロードへの不正アクセスを取得する脅威アクター。

  • 次に、アクターは権限の昇格や永続化の確立などの一連のアクションを実行します。

  • 最後に、アクターは Amazon S3 リソースからデータを抽出します。

例 2 - Amazon EKS クラスターの侵害

  • 脅威アクターは、Amazon EKS クラスター内のコンテナアプリケーションを悪用しようとします。

  • アクターは、侵害されたコンテナを使用して特権サービスアカウントトークンを取得します。

  • 次に、アクターはこれらの昇格された権限を活用して、ポッドアイデンティティを介して機密性の高い Kubernetes シークレットまたは AWS リソースにアクセスします。

関連する脅威シナリオの性質上、GuardDuty はすべての 攻撃シーケンスの検出結果タイプ重大と見なします。

以下の動画では、Extended Threat Detection の使用方法を示します。

仕組み

特定の のアカウントで Amazon GuardDuty を有効にすると AWS リージョン、拡張脅威検出もデフォルトで有効になります。Extended Threat Detection の使用に関連する追加コストはありません。デフォルトでは、すべての 基礎データソース のイベントを関連付けます。ただし、S3 Protection、EKS Protection、Runtime Monitoring など、より多くの GuardDuty 保護プランを有効にすると、イベントソースの範囲を広げることで、追加のタイプの攻撃シーケンス検出が可能になります。これは、より包括的な脅威分析と攻撃シーケンスの検出の向上に役立つ可能性があります。詳細については、「脅威検出を最大化するための保護プランの有効化」を参照してください。

GuardDuty は、API アクティビティや GuardDuty の検出結果など、複数のイベントを関連付けます。これらのイベントは シグナル と呼ばれます。環境内で、単独では明確な潜在的な脅威とならないイベントが発生する場合があります。GuardDuty はそれらを弱いシグナルと呼んでいます。Extended Threat Detection を使用すると、GuardDuty は複数のアクションのシーケンスが疑わしいアクティビティと一致するタイミングを特定し、アカウントに攻撃シーケンスの検出結果を生成します。これらの複数のアクションには、弱いシグナルやアカウント内で既に特定された GuardDuty の検出結果が含まれる場合があります。

注記

攻撃シーケンスのイベントを相関させる場合、Extended Threat Detection は、抑制ルール のために自動的にアーカイブされる検出結果を含め、アーカイブされた検出結果を考慮しません。この動作により、アクティブで関連するシグナルのみが攻撃シーケンスの検出に寄与します。この影響を受けないようにするには、アカウントの既存の抑制ルールを確認してください。詳細については、「Extended Threat Detection での抑制ルールの使用」を参照してください。

GuardDuty は、アカウントで進行中の潜在的な動作または最近の攻撃動作 (24 時間のローリング時間枠内) を特定するように設計されています。例えば、攻撃者がコンピューティングワークロードへの意図しないアクセスを取得すると、攻撃が開始される可能性があります。次に、アクターは列挙、権限のエスカレーション、 AWS 認証情報の流出など、一連のステップを実行します。これらの認証情報は、さらなる侵害やデータへの悪意のあるアクセスに使用される可能性があります。

拡張脅威検出は、すべての GuardDuty アカウントで自動的に有効になり、アカウントで有効になっているすべての保護プランからのデフォルトでシグナルを評価します。GuardDuty Foundational データソースは、複数の攻撃シーケンス検出に重要なシグナルを提供します。例えば、基本的な脅威検知機能により、GuardDuty は Amazon S3 API における IAM 特権発見活動から始まる潜在的な攻撃シーケンスを特定し、バケットリソースポリシーをより許可的なものに変更するといった、その後の S3 コントロールプレーンの変更を検知できます。ただし、他の攻撃シーケンスでは、ランタイムモニタリング、S3 保護、EKS 監査ログモニタリングなどの高度な保護プランでのみ利用可能な高度なシグナルが必要です。

Amazon EKS クラスターでの攻撃シーケンスの検出

GuardDuty は、EKS 監査ログ、プロセスのランタイム動作、 AWS API アクティビティにわたって複数のセキュリティシグナルを相関させて、高度な攻撃パターンを検出しました。EKS の Extended Threat Detection を活用するには、EKS Protection または Runtime Monitoring (EKS アドオンを使用) の少なくとも 1 つの機能を有効にする必要があります。EKS Protection は監査ログを通じてコントロールプレーンのアクティビティをモニタリングし、Runtime Monitoring はコンテナ内の動作を監視します。

最大カバレッジと包括的な脅威検出のために、GuardDuty では両方の保護プランを有効にすることをお勧めします。これらを組み合わせることで、EKS クラスターの完全なビューが作成され、GuardDuty が複雑な攻撃パターンを検出できるようになります。例えば、特権コンテナの異常なデプロイ (EKS Protection で検出) を識別し、その後、そのコンテナ内で永続化の試行、クリプトマイニング、リバースシェルの作成 (Runtime Monitoring で検出) を行うことができます。GuardDuty は、これらの関連イベントを AttackSequence:EKS/CompromisedCluster と呼ばれる単一の「重大」な検出結果として表します。両方の保護プランを有効にすると、攻撃シーケンスの検出結果は以下の脅威シナリオをカバーします。

  • 脆弱なウェブアプリケーションを実行しているコンテナの侵害

  • 認証情報の設定ミスによる不正アクセス

  • 権限昇格の試み

  • 疑わしい API リクエスト

  • データに悪意を持ってアクセスしようとする

以下のリストは、これらの専用保護プランが個別に有効になっている場合の詳細を示しています。

EKS Protection

EKS Protection を有効にすると、GuardDuty は Amazon EKS クラスターコントロールプレーンアクティビティを含む攻撃シーケンスを検出できます。これにより、GuardDuty は EKS 監査ログと AWS API アクティビティを関連付けることができます。例えば、GuardDuty は、アクターがクラスターシークレットへの不正アクセスを試み、Kubernetes ロールベースのアクセスコントロール (RBAC) アクセス許可を変更し、特権ポッドを作成する攻撃シーケンスを検出できます。この保護プランを有効にする方法については、「EKS Protection」を参照してください。

Amazon EKS の Runtime Monitoring

Amazon EKS クラスターの Runtime Monitoring を有効にすると、GuardDuty はコンテナレベルの可視性で EKS 攻撃シーケンス検出を強化できます。これにより、GuardDuty は潜在的な悪意のあるプロセス、疑わしいランタイム動作、および潜在的なマルウェア実行を検出するのに役立ちます。例えば、GuardDuty は、コンテナがクリプトマイニングプロセや既知の悪意のあるエンドポイントへの接続の確立など、疑わしい動作をし始める攻撃シーケンスを検出できます。この保護プランを有効にする方法については、「Runtime Monitoring」を参照してください。

EKS Protection または Runtime Monitoring を有効にしない場合、GuardDuty は個々の EKS Protection の検出結果タイプ または Runtime Monitoring の検出結果タイプ を生成できません。したがって、GuardDuty は関連する検出結果を含む複数ステージの攻撃シーケンスを検出できません。

Amazon S3 バケット内の攻撃シーケンスの検出

S3 Protection を有効にすると、GuardDuty は Amazon S3 バケット内のデータ侵害の試みを含む攻撃シーケンスを検出できます。S3 Protection を使用しない場合、GuardDuty は S3 バケットリソースポリシーが過度に寛容になったことを検出できます。S3 Protection を有効にすると、GuardDuty は S3 バケットが過度に寛容になった後に発生する可能性のあるデータ流出アクティビティを検出できるようになります。

S3 Protection が有効になっていない場合、GuardDuty は個々の S3 Protection の検出結果タイプ を生成できません。したがって、GuardDuty は関連する検出結果を含む複数ステージの攻撃シーケンスを検出できません。この保護プランを有効にする方法については、「S3 Protection」を参照してください。

Amazon ECS クラスターでの攻撃シーケンスの検出

GuardDuty は、悪意のあるプロセス、悪意のあるエンドポイントへの接続、ECS コンテナ内の暗号マイニング動作などの攻撃シーケンスを特定できます。GuardDuty は、ネットワークアクティビティ、プロセスランタイム動作、 AWS API アクティビティ間で多様なシグナルを関連付けることで、個々の検出で見逃される可能性のある複雑な攻撃パターンを特定し、完全な攻撃ベクトルをマッピングできます。

GuardDuty は、これらの関連イベントを AttackSequence:ECS/CompromisedCluster と呼ばれる単一の「重大」な検出結果として表します。攻撃シーケンスの検出結果は、次の脅威シナリオを対象としています。

  • 脆弱なサービスを実行しているコンテナの侵害

  • 疑わしいツール、マルウェア、または暗号化プロセスの不正な実行

  • 権限昇格の試み

  • 疑わしいエンドポイントとの通信

重要

ECS の拡張脅威検出には、ECS インフラストラクチャタイプに応じて Fargate または EC2 のランタイムモニタリングが必要です。Runtime Monitoring は、Fargate インスタンスと EC2 インスタンスの両方で実行されている ECS コンテナ内の動作を監視します。マネージド EC2 インスタンスの ECS はサポートされていません。

Amazon EC2 インスタンスグループの攻撃シーケンスの検出

GuardDuty は、Auto Scaling グループ、IAM インスタンスプロファイル、起動テンプレート、CloudFormation スタック、AMIs、VPC IDs などの一般的な属性を共有する個々のインスタンスまたはインスタンスのグループに影響を与える攻撃シーケンスを特定できます。これらのインスタンスは、悪意のあるプロセス、悪意のあるエンドポイントへの接続、暗号マイニング、EC2 インスタンス認証情報の異常な使用などの疑わしい動作を示す可能性があります。

攻撃シーケンスの検出結果は、次の脅威シナリオを検出します。

  • 脆弱なサービスを実行しているインスタンスの侵害

  • 認証情報が発行された AWS アカウントの外部から IMDS 経由で取得した Amazon EC2 インスタンス認証情報の使用

  • プロキシ、スキャン、サービス拒否などの攻撃のインフラストラクチャとして使用する

  • 疑わしいツール、マルウェア、または暗号化プロセスの不正な実行

  • 疑わしいエンドポイントとの通信

拡張脅威検出は、これらの脅威を特定するのに役立ちます。GuardDuty は、これらの関連イベントを AttackSequence:EC2/CompromisedInstanceGroup と呼ばれる単一の「重大」な検出結果として表します。

EC2 検出機能の延長脅威検出機能を強化するには、Runtime Monitoring を有効にします。CloudTrail とネットワークアクティビティをモニタリングする基本的な GuardDuty と、インスタンス内のプロセス動作とシステム呼び出しを監視する Runtime Monitoring の組み合わせにより、より包括的な脅威検出が可能になります。この統合モニタリングにより、GuardDuty は、誤って設定された認証情報による不正アクセス、特権エスカレーションの試行、機密データへの不正アクセスなどの高度な攻撃シーケンスを検出できます。これらの多様なシグナルを相関させることで、GuardDuty は個々の検出で見逃される可能性のある複雑な攻撃パターンを特定し、完全な攻撃ベクトルをマッピングできます。

GuardDuty コンソールの Extended Threat Detection

デフォルトでは、GuardDuty コンソールの Extended Threat Detection ページに ステータス有効 と表示されます。基礎的な脅威検出では、このステータスは GuardDuty が Amazon S3 API での IAM 権限検出活動を含む潜在的な攻撃シーケンスを検出し、その後の S3 コントロールプレーンの変更を検出できることを示しています。

GuardDuty コンソールで Extended Threat Detection ページにアクセスするには、次の手順に従います。

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開くことができます。

  2. 左のナビゲーションペインで [Extended Threat Detection] を選択します。

    このページでは、Extended Threat Detection の対象となる脅威シナリオについて詳しく説明します。

  3. [Extended Threat Detection] ページで、[関連する保護プラン] セクションを表示します。専用保護プランを有効にしてアカウントの脅威検出カバレッジを強化する場合は、その保護プランの設定オプションを選択します。

攻撃シーケンスの検出結果の理解と管理

攻撃シーケンスの検出結果は、アカウント内の他の GuardDuty の検出結果と同じです。[検出結果] ページは GuardDuty コンソールに表示できます。検出結果の表示と対処については、「GuardDuty コンソールの検出結果ページ」を参照してください。

他の GuardDuty の検出結果と同様に、攻撃シーケンスの検出結果も自動的に Amazon EventBridge に送信されます。設定に基づいて、攻撃シーケンスの検出結果は発行先 (Amazon S3 バケット) にもエクスポートされます。新しい発行先を設定するか、既存の発行先を更新するには、「生成された検出結果を Amazon S3 にエクスポートする」を参照してください。

その他のリソース

攻撃シーケンスの詳細については、以下のセクションを参照してください。