AWS GuardDuty Black Belt Online Seminar参加メモ(をただ貼るだけ

[AWS Black Belt Online Seminar] Amazon GuardDuty
に参加した時のメモ書き。を単に貼るだけだけど上げておく。

==========
AWS GuardDuty Black Belt Online Seminar
==========

VPC flow logs
DNS Logs
CloudTrail

GuardDutyではOS上にIDS/IPSを入れていても検知できないアカウントの不正使用などAWS内部の脅威も検知できる。
GuardDutyからのHighのアラートに対してのアクションをCloudWatch Event -> Lambdaと渡すことも可能。

GuardDuty用のIAMロールが自動作成される

デモは、amazon-guardduty-tester (github を使う
GuardDutyのテストはちゃんと侵入テスト申請をしてからやること

有効化は1クリックだけ

アタックの結果がGuardDutyに表示されるには少し時間がかかる


■検知の仕組み

Threat Detection Types
シグネチャベースではマッチングしたら閉じる
ビヘイビアベースではアノマリーを検知する

■Data Sourcesは以下の3つ
VPC flow logs
DNS Logs
CloudTrail

VPC flow logsやCloudTrailを有効化していなくてもGDで勝手に取れる

■脅威インテリジェンス=脅威と判断する定義
攻撃者のIPアドレスドメインで構成
パートナーと協力して得たノウハウとAWSセキュリティのノウハウを併せてIPアドレスドメインを判断してる

ホワイトリストブラックリスト

Findings(=脅威)
マネジメントコンソールでの確認
・重要度、頻度、リージョン、国、脅威タイプ、影響範囲、攻撃元情報
API/JSONフォーマット
getfindingsで叩く
・SIEM連携、データ活用

Finding Purpose
backdoor, behavior, crypto currency, pentest, recon, stealth, trojan, unauthorized access

Findings(脅威リスク)はどんどん自動的に追加される

■severity levels for GD Findings
High : 7.0 - 8.9
Medium : 4.0-6.9
Low : 01.-3.9

検出時のアクション
通知をトリガーにしてやりたいこと
・cloudwatch eventsからlambdaを呼び出す
severityに応じてアクションを定義できる

amazon-guardduty-to-slack (github

■Pricing
・CloudTrail Events:イベントの数
VPC Flog Logs/DNS Logs:ログの量

30日無料利用期間がある
current chargeが確認できるので、◯日経過したら30日を予測できる

■Region, multiaccount
リージョンごとに有効にしないと駄目

マルチアカウント時のGDは?
1つのアカウントで検知した脅威を他のアカウントに転送できる
アドミンアカウントに子アカウントを紐付けることができる

cloudformation (stacksets)を使うと1個のアカウントでマルチリージョンでGDを有効化するとかできる

デモは1アカウントでのマルチリージョンを実施

GDを有効化した後にログを集約する
→ログを集約管理するアカウントとログを収集されるアカウント

amazon-guardduty-multiaccount-scripts (github

■パートナー
アクセンチュア
デロイト
RedLock
alertlgic
rapid7
paloalto
evident.io
IBM
proofpoint
trend micro
logicworks
splunk
sumologic
書けないところもある感じ


脅威の検知はなかなかコストや工数もかかるので導入が難しい
→マネージド・サービスで提供されるメリット
→エージェント不要、既存環境に影響を与えない
→cloudwatch eventsの合わせ技で検知からの対応の自動化


GD Lab
http://lab.gregmcconnel.net/
Click here to download the zip file for the lab. Then unzip the file to get all of the contents of the lab.
ってzipファイルが落とせる画面が

■Q&A
環境に別のクレデンシャルを持ち込むとどうなる?
→持ち込んで試してみて

テスト実行のコマンドはgithubのテスターに含まれてるか?
→含まれてる。試してみて

レポート機能は?
→今はない
→findingsのエクスポートで今は対応。JSONで出る
→90日以上ログを保持したければ、S3に吐くなどするように


サーバレスだけ使ってる環境でのGDのメリットは?
→IAMとEC2のfindingsが多い
→サーバレスだけでもAWSプラットフォームの管理(IAMとか)ができるのでメリットある


残りのQAはブログで回答します
→質問がかなり来てるらしい。ブログに期待