AWS GuardDuty検出タイプと脅威分析 - 具体的な脅威シナリオへの対応
AWS GuardDutyの効果的な運用には、各検出タイプの理解と適切な対応戦略が重要です。この記事では、GuardDutyが検出する具体的な脅威カテゴリーと、それぞれに対する効果的な分析・対応方法を詳しく解説します。実際のセキュリティインシデントシナリオを通じて、実用的な知識を身につけましょう。
検出カテゴリーの概要
GuardDutyの検出は、データソースと攻撃の性質に基づいて体系的に分類されています。各カテゴリーには固有の特徴と対応要件があり、理解することで効果的なセキュリティ運用が可能になります。
検出タイプの命名規則
GuardDutyの検出タイプは、以下の形式で命名されています: ThreatPurpose:ResourceTypeOrAffectedService/ThreatFamilyName.ThreatFamilyVariant!Artifact
例:Trojan:EC2/DropPoint!DNS - EC2インスタンスでトロイの木馬によるDNSドロップポイント通信が検出された場合
この命名規則により、脅威の性質、影響を受けるリソース、攻撃手法を即座に理解できます。
ネットワーク脅威の検出と分析
悪意のある通信の検出
GuardDutyは、VPCフローログを分析して異常なネットワーク通信を検出します。既知の悪意のあるIPアドレス、ボットネット、マルウェアC&Cサーバーとの通信が主な対象です。
主要な検出タイプ
Trojan:EC2/BlackholeTraffic- ブラックホールIPアドレスとの通信Backdoor:EC2/C&CActivity.B!DNS- マルウェアC&Cサーバーとの通信Trojan:EC2/DropPoint- データ抽出先との通信
対応戦略 通信先のIPアドレスとポート番号を確認し、正当な業務目的かを検証します。疑わしい場合は、該当するインスタンスのネットワークアクセスを制限し、詳細なフォレンジック分析を実行します。
暗号通貨マイニングの検出
クラウド環境における暗号通貨マイニングは、コストの観点から重要な脅威です。GuardDutyは、マイニングプールとの通信パターンを検出します。
対応における重点項目
- 異常なCPU使用率の確認
- マイニングソフトウェアの特定
- 侵入経路の調査
- 影響を受けた他のリソースの確認
IAM関連の異常検出
認証情報の不正使用
IAMクレデンシャルの不正使用は、最も深刻なセキュリティ脅威の一つです。GuardDutyは、地理的位置、時間帯、API呼び出しパターンの分析により異常を検出します。
主要な検出タイプ
UnauthorizedAPICall:IAMUser/MaliciousIPCaller.Custom- 悪意のあるIPからのAPI呼び出しStealth:IAMUser/CloudTrailLoggingDisabled- ログ記録の無効化試行PenTest:IAMUser/KaliLinux- ペネトレーションテストツールの使用
異常活動の分析手法
- ユーザーの通常のアクセスパターンとの比較
- 地理的位置の妥当性確認
- API呼び出しの業務目的との整合性
- 同時間帯の他の不審な活動の有無
権限昇格と横展開の検出
攻撃者は、初期侵入後に権限昇格や横展開を試みます。GuardDutyは、これらの活動パターンを検出し、攻撃の拡大を防止します。
検出される活動例
- 通常とは異なるIAMポリシーの変更
- 新しいIAMユーザーやロールの作成
- 異常なリソースアクセスパターン
- セキュリティグループの変更
DNS関連の脅威検出
マルウェア通信の検出
DNSクエリログの分析により、マルウェアの指令制御通信、データ抽出、フィッシングサイトへのアクセスを検出します。
DNS脅威の特徴
- DGA(Domain Generation Algorithm)による動的ドメイン生成
- DNSトンネリングによるデータ抽出
- 高頻度のDNSクエリによるC&C通信
- 短期間で変更される悪意のあるドメイン
対応時の分析ポイント
- クエリされたドメインの評判確認
- DNS解決パターンの分析
- 通信頻度と時間帯の確認
- 他のセキュリティログとの相関分析
実際のインシデント対応フロー
初期対応の標準化
GuardDutyアラートが発生した際の初期対応を標準化することで、効率的かつ一貫性のある対応が可能になります。
標準対応フロー
- トリアージ - アラートの重要度と緊急度の評価
- 初期封じ込め - 影響拡大の防止
- 詳細分析 - ログ分析とフォレンジック調査
- 根絶 - 脅威の完全除去
- 復旧 - サービスの正常化
- 事後分析 - 再発防止策の検討
アラート優先度の判定基準
すべてのアラートに同じ優先度で対応することは現実的ではありません。リスクベースの優先度付けが重要です。
優先度判定要素
- 影響範囲 - 重要システムへの影響度
- 機密性レベル - 扱うデータの重要度
- 悪用可能性 - 攻撃の成功確率
- ビジネス影響 - サービス停止時の損失
自動化可能な対応アクション
一部の定型的な対応は自動化により効率化できます。ただし、誤検知による業務影響を考慮した設計が重要です。
自動化対象の活動
- 悪意のあるIPアドレスの自動ブロック
- 疑わしいインスタンスの一時隔離
- セキュリティチームへの即座通知
- 関連ログの自動収集
高度な分析技術
コンテキスト分析の活用
単一のアラートだけでなく、時系列での活動パターンや他のセキュリティイベントとの相関を分析することで、より精度の高い脅威評価が可能です。
分析の観点
- 攻撃キルチェーンでの位置づけ
- MITRE ATT&CKフレームワークとの対応
- 過去の類似インシデントとの比較
- 地理的・時間的パターンの分析
機械学習による誤検知削減
GuardDutyの機械学習機能を活用して、組織固有の正常パターンを学習し、誤検知を削減します。
調整可能な要素
- 信頼できるIPアドレスリストの活用
- 抑制ルールの適切な設定
- カスタム脅威インテリジェンスの統合
- 環境固有のベースライン調整
まとめ
GuardDutyの効果的な活用には、各検出タイプの特徴を理解し、適切な対応戦略を準備することが重要です。標準化された対応フローと継続的な改善により、セキュリティ運用の効率と効果を両立できます。
次のステップでは、GuardDutyと他のAWSサービスとの統合による、より包括的なセキュリティ運用について学習しましょう。