re:Invent 2024 が始まり、新たな発表がたくさん出てきました。
今回は、Amazon GuardDuty Extended Threat Detection(拡張脅威検出)がリリースされたので、早速検証してみました。
アップデート概要
複数のイベントを攻撃シーケンスとして、時系列にまとめてくれる
インシデントの概要、詳細なイベントタイムライン、MITRE ATT&CK の戦術と手法へのマッピング、および修復の推奨事項が提供される
GuardDutyを利用すると既定で有効化されており、無料で利用できる
攻撃イベントを発生させてみる
GuardDutyの画面から「拡張脅威検出」を選択します。
既に有効化されています。
2つの新しい検出結果タイプが確認できます。
AttackSequence:IAM/CompromisedCredentials → 侵害された可能性のある AWS 認証情報を使用して呼び出された一連の API リクエスト
AttackSequence:S3/CompromisedData → Amazon S3 のデータを盗み出したり破壊したりしようとする可能性のある一連の API リクエスト
「検出結果サンプルの生成」から攻撃イベントを発生させてみます。
結果を確認してみる
サマリ画面で、「攻撃シーケンス」が2件上がっています。
ちょうど新しい検出タイプ2つが用意されていたみたいです。
この検出タイプで上がると、先頭に剣のマークが表示されます。
AttackSequence:IAM/CompromisedCredentials の結果
冒頭に詳細な解説が表示されています。
A sequence of actions involving 4 signals indicating a possible credential compromise was observed for IAMUser/john_doe with principalId AIDA3UBBJ2K3TVEXAMPLE in account 111122223333 between eventFirstSeen and eventLastSeen with the following behaviors: - 5 MITRE ATT&CK tactics observed: Persistence, Privilege Escalation, Defense Evasion, Discovery, Initial Access - 5 MITRE ATT&CK techniques observed: T1562.008 - Impair Defenses: Disable or Modify Cloud Logs, T1098.003 - Account Manipulation: Additional Cloud Roles, T1078.004 - Valid Accounts: Cloud Accounts, T1087.004 - Account Discovery: Cloud Account, T1098 - Account Manipulation - Connected from a known Tor Exit Node: 10.0.0.1 - 4 sensitive APIs called: cloudtrail:DeleteTrail, iam:AttachRolePolicy, iam:CreateRole, iam:ListUsers
認証情報の侵害の可能性を示す 4 つのシグナルを含む一連のアクションが、eventFirstSeen と eventLastSeen の間に、アカウント 111122223333 のプリンシパル ID AIDA3UBBJ2K3TVEXAMPLE を持つ IAMUser/john_doe に対して確認され、次の動作が行われました: - 5 つの MITRE ATT&CK 戦術が確認されました: 永続性、権限昇格、防御回避、検出、初期アクセス - 5 つの MITRE ATT&CK 手法が確認されました: T1562.008 - 防御の無効化: クラウド ログの無効化または変更、T1098.003 - アカウント操作: 追加のクラウド ロール、T1078.004 - 有効なアカウント: クラウド アカウント、T1087.004 - アカウント検出: クラウド アカウント、T1098 - アカウント操作 - 既知の Tor 出口ノードから接続: 10.0.0.1 - 4 つの機密 API が呼び出されます:cloudtrail:DeleteTrail、iam:AttachRolePolicy、iam:CreateRole、iam:ListUsers
「概要」タブには、攻撃シーケンスやMITRE ATT&CKの戦術、インジケーターやアクターなど、調査に有力な情報がまとまっています。
「シグナル」タブには時系列が表示されています。
「リソース」タブには関連リソースが表示されています。
「詳細を表示」ボタンを押すと画面が切り替わりますが、書かれていることは同じようです。
AttackSequence:S3/CompromisedData の結果
冒頭に詳細な解説が表示されています。
A sequence of actions involving 14 signals indicating a possible credential compromise one or more S3 bucket(s) was observed for IAMUser/john_doe with principalId AIDA3UBBJ2K3TVEXAMPLE in account 111122223333 between eventFirstSeen and eventLastSeen with the following behaviors: - 5 MITRE ATT&CK tactics observed: Exfiltration, Impact, Persistence, Defense Evasion, Discovery - 5 MITRE ATT&CK techniques observed: T1526 - Cloud Service Discovery, T1098 - Account Manipulation, T1078.004 - Valid Accounts: Cloud Accounts, T1485 - Data Destruction, T1530 - Data from Cloud Storage - Connected from a known Tor Exit Node: 10.0.0.1 - 7 sensitive APIs called: s3:DeleteObject, s3:GetObject, s3:PutBucketPublicAccessBlock, cloudtrail:DeleteTrail, iam:AttachUserPolicy, s3:ListObjects, s3:ListBuckets
1 つ以上の S3 バケットの認証情報が侵害される可能性があることを示す 14 のシグナルを含むアクションのシーケンスが、アカウント 111122223333 のプリンシパル ID AIDA3UBBJ2K3TVEXAMPLE を持つ IAMUser/john_doe に対して、eventFirstSeen と eventLastSeen の間に次の動作で観測されました: - 観測された 5 つの MITRE ATT&CK 戦術: 流出、影響、持続性、防御回避、検出 - 観測された 5 つの MITRE ATT&CK 手法: T1526 - クラウド サービスの検出、T1098 - アカウント操作、T1078.004 - 有効なアカウント: クラウド アカウント、T1485 - データ破壊、T1530 - クラウド ストレージからのデータ - 既知の Tor 出口ノードから接続: 10.0.0.1 - 呼び出された 7 つの機密 API: s3:DeleteObject、s3:GetObject、 s3:PutBucketPublicAccessBlock、cloudtrail:DeleteTrail、iam:AttachUserPolicy、s3:ListObjects、s3:ListBuckets
「概要」タブには、攻撃シーケンスやMITRE ATT&CKの戦術、インジケーターやアクターなど、調査に有力な情報がまとまっています。
「シグナル」タブには時系列が表示されています。
「リソース」タブには関連リソースが表示されています。
「詳細を表示」ボタンを押すと画面が切り替わりますが、書かれていることは同じようです。
まとめ
攻撃シーケンスやMITRE ATT&CK戦術をベースにした洞察をしてくれるのは非常にありがたい機能です。
GuardDuty単体で分析できることが増えているので、インシデント対応にぜひ活用してみてください。
