adtech studio

AWS Guard Dutyをさっそく活用

hajime By hajime

AWS セキュリティ 検証

はじめに

こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。

先日、「AWS re:Invent」が開催されましたね。AWSの機能がどんどん増えていきますね。

*参考: https://reinvent.awsevents.com/

 

その中で、セキュリティ関連で大きな機能追加がされました。

「re:InventのTuesday Night Live」というセッションで、「Amazon GuardDuty」が公開されました。

*参考: https://aws.amazon.com/jp/blogs/news/amazon-guarduty-continuous-security-monitoring-threat-detection/

 

Amazon GuardDutyとは

Amazon GuardDuty は、VPC フローログおよび AWS CloudTrail イベントログを分析および処理する継続的なセキュリティモニタリングサービスです。GuardDuty は、セキュリティロジックと AWS の使用統計を使用して、AWS 環境内の予期しない、未承認および悪意のあるアクティビティの可能性を特定します。

参考: http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/what-is-guardduty.html

 

簡単に言うと、AWS内のセキュリティ問題点をピックアップしてくれるようです。

 

「これは、便利!!!」と、思ったので早速、利用してみたいと思います。

 

と、その前に、、、料金表のチェックを忘れずに!!

 

[利用料金]

Amazon GuardDuty is priced along two dimensions. The dimensions are based on the quantity of AWS CloudTrail Events analyzed (per 1,000,000 events) and the volume of Amazon VPC Flow Log and DNS Log data analyzed (per GB).

イベント件数とデータ量により、費用が変わるようですね。

*30日間は無料のようです。

参考: https://aws.amazon.com/jp/guardduty/pricing/

 

無料期間もあるということで、早速利用してみました。

 

[Amazon GuardDutyの有効の仕方]

AWSマネジメントコンソールにログインし、「セキュリティ、 アイデンティティ、 コンプライアンス 」>「GuardDuty」を選択します。

あとは、「GuardDutyの有効化」をクリックするだけです。

*「GuardDutyの有効化」しますと、「AWSServiceRoleForAmazonGuardDuty」というロールが自動で作成されます。

「AWSServiceRoleForAmazonGuardDuty」にアタッチされたポリシー

 

有効にし、数分すると、、、早速、予め仕込んでおいたEC2の問題点が表示されました。

 

「ポート22がインターネットに公開されている」と指摘を受けました。

 

 

結果を活用

結果は、AWS CLIでも取得できるので、JSON形式で取得したデータを分析・加工して表示が簡単に行なえます。

結果取得のために必要なコマンドをいくつか紹介します。

 

1,AWSアクセスキーを発行し、「AmazonGuardDutyReadOnlyAccess 」を付与します。

「AmazonGuardDutyReadOnlyAccess 」のポリシー

 

2,「aws guardduty」コマンドを利用するためにawscliのアップデート

 

3,「aws guardduty」の確認

参考: http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_api_ref.html

 

4,詳細を取得する

[aws guardduty list-detectors]

Detector IDを取得します。

 

[aws guardduty list-findings]

上記のDetector IDを利用し、Finding IDを取得します。

*Finding IDが「GuardDuty」の結果で表示された項目になります。

 

[aws guardduty get-findings]

Findingの詳細を取得

 

[aws guardduty get-findings-statistics]

重大度の取得

上記の場合は、「2.0(低)が4件」存在することがわかります。

参考: http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_findings.html#guardduty_findings-severity

 

 

おわりに

今まで、さまざまなツールを利用し、AWSのセキュリティ情報を収集してきましたが、「AWS GuardDuty」を利用することにより、さらにAWSのセキュリティ強化ができそうです。

CloudWatchとも連携できるので、今後はそちらも試していこうと思ってます。

 

今後もAWSの追加機能が楽しみですね。