Amazon GuardDuty のユースケース

更新

AmazonGuardDuty の注目画像.png

はじめに

このドキュメントでは、Amazon GuardDuty にThreat Intelligence警戒情報源としてRecorded Future統合することでサポートされる、すぐに使用できるユースについて説明します。この統合により、Amazon GuardDuty ユーザーはRecorded Future以下に組み込むことができます。

  • テレメトリデータと相関関係にあるネットワーク内の潜在的な脅威や悪意のあるトラフィックを、影響が出る前に検出します。
  • 判定までの時間と組織へのリスクを削減します。
  • 生成された検出結果を AWS CloudWatch イベントと AWS Lambda に渡して自動化された予防アクションを設定することで、効率を高めます。

統合のインストールおよび構成方法の詳細については、ここにあるインストール ガイドを参照してください

こちらを クリックして 、「Recorded Future Cloud Formation」テンプレートを入手してください。これは、「Recorded Future for Guard Duty」のインストールを完了するために必要です(インストールガイドの3ページを参照)。

Recorded Future データとの統合を確認するには、ここをクリックすると、Recorded Future University が開きます。

 

侵害侵害ユースケース

COVID-19(新型コロナウイルス感染症

AWS 環境内で悪用されていると特定された IP を識別するには、Amazon GuardDuty 内で次のリスクリストを有効にしてください。

    • covid_ 解決済み_ips

IP セットは、COVID-19 関連ドメイン ルアー: 悪意のあるものから派生したものです。当社のセキュリティ インテリジェンス プラットフォームは、これらのドメインを許可リストと自動的に照合し、悪意の技術的証拠についてドメインを評価し、ルアーとして有罪判決を受けたこれらのドメインのごく一部を明確にします。IP は、悪意のあるドメインが解決される IP を、「非常に悪質」、「悪質」、「疑わしい」に分類されるリスク リストと相互参照することによって生成されます。これらの IP の検出は、COVID-19 に関連する潜在的な悪意のあるアクティビティを示しています。

 

高忠実度の悪意のあるIP

AWS 環境内の高忠実度の悪意のある IP を特定するには、Amazon GuardDuty 内で次のリスクリストを有効にしてください。

  •  
    • 最近のグループリスクルール
    • 最近の侵入方法リスクルール
    • c2_通信_scf_ips

上記の 3 つのリスク リストには、さまざまな観点から確認された攻撃に関連する高精度の指標が含まれています。最近のInsikt Groupリスク ルールは、 Recorded Future研究チームである Insikt によって発行されたアナリスト ノートに関連付けられている人間による検証済みの指標を提供しました。 最近の侵入方法リスク ルールは、実行に関連付けられていると判断された IP を提供します。これには、マルウェア ファミリ、脆弱性、または攻撃ベクトルに直接関連付けられることも含まれます。最後に、 「最近アクティブなC&Cサーバーセキュリティ制御フィード」は、 Recorded Future Network Traffic Analysisによって、感染マシンまたは脅威アクター/敵対者制御下にあるマシンとの最近確認されたC&C通信を提供します。これら3つのリストは厳重に審査されており、あらゆる環境において高リスクと見なされています。

 

フィッシング

AWS 環境内の既知のフィッシングホストへの接続を識別するには、Amazon GuardDuty 内で次のリスクリストを有効にしてください。

  •  
    • フィッシングホストリスクルール

このリストには、既知のフィッシング サイトをホストしていることが確認された IP が含まれています。これらの IP に対して警告を発することで、フィッシング活動を積極的に検知することができます。

 

インサイダーThreat / ポリシー違反 / 高度な視覚アクター / 敵対者

AWS 環境内の既知の TOR ノードおよびオープンプロキシへの接続を識別するには、Amazon GuardDuty 内で次のリスクリストを有効にしてください。

    • tor_node_riskrule
    • オープンプロキシリスクルール
    • aptリスクルールにリンク

これを使用して、ポリシー違反、インサイダーThreat 、および高度な視覚アクター / 敵対者という 3 つの主要なタイプのアクティビティを識別できます。 これらのリスク リストで特定される最も一般的なタイプのアクティビティは、従業員によるポリシー違反です。悪意のある内部者がデータを盗み出そうとしている場合、TOR ネットワーク経由でデータを移動することで痕跡を隠そうとする可能性があります。さらに、高度な視覚アクター/敵対者は、同じロジックを使用して自身の活動を隠す可能性があります。 ポリシー違反が重要でない場合は、誤検出率が高くなる可能性があります。オープン プロキシへの接続は、エンタープライズ環境では一般的ではありません。オープン プロキシは、情報漏洩 / 侵害後の状況で、悪意のあるアクターが環境内を横方向に移動したり、既存のプロキシ インフラストラクチャを回避して検知せずに環境から抜け出す方法としてよく使用されます。 環境内のAdvanced 視覚アクター / 敵対者を特定するもう 1 つの方法は、Linked to APT Risk List を使用することです。これには、Nation State Sponsored 視覚アクターに最近リンクされた IP が含まれています。 高度な持続的Threatグループは、長期間にわたって同じインフラストラクチャを使用する可能性があります。 APT グループは通常、コアインフラストラクチャを変更する代わりにTTPs変更して検知を回避します。これは通常、グループにとってより安価な代替手段であるためです。

 

スコアベースの犯罪行為

リスクスコアの高い IP への接続を識別するには、 Amazon GuardDuty 内で次のリスクリストを有効にしてください。

    • ip_risklist_gte_90
    • ip_risklist_gt_65

このアプローチはユースケースにはあまり適していませんが、 Threat Intelligenceを初めて使用する人にとっては素晴らしい出発点となります。 GuardDuty 統合では、柔軟なアプローチを可能にする 2 つの異なるスコアベースのリスク リストをサポートしています。

Ip_risklist_gt_65 リストには、リスク スコアが 65 を超える悪意のある、または非常に悪意があると識別されたすべての IP が含まれます。このリスク リストを有効にすると、より多様な脅威がカバーされますが、誤検知率が高くなる可能性があります。時間の経過とともにアラートに対応すると、リスク リストに基づいて、環境内で誤検知である可能性が高いインジケーターの種類があることに気付く場合があります。長期的にはユースケースに基づいたアプローチに進化させる方が有利になる可能性があるため、環境内のインシデントに関連するリスク ルールを追跡することをお勧めします。

Ip_risklist_gte_90 リストには、リスクスコアが90を超え、非常に悪質と判断されたすべてのIPが含まれます。これらの指標は通常、コマンド&コントロール活動との関連性が確認されているため、組織にとって非常に高いリスクとみなされます。このリスクリストは、 Threat Intelligenceにおける最悪のリスクを網羅しています。GuardDutyとの連携を継続的に強化し、リスクリストをさらに追加していくことで、より低いリスクスコアしきい値を持つ特定のユースケースを実現していくことが自然な流れです

*最終的にリスク リストに入力されるリスク ルールの詳細については、こちらをご覧ください。

よくある質問

Q: すべての Recorded Future リスク リストを GuardDuty に取り込むことはできますか?

いいえ。GuardDuty 統合では、専用のリスク リストが使用されます。すべての Recorded Future リスク リストが直接の取り込みに対応しているわけではありません。

Q: どのようなリスク リストが利用可能ですか?

GuardDuty 互換リストの完全なセットは、以下に公開されています。

https://api.recordedfuture.com/v2/fusion/files/public/GuardDuty/(認証が必要です)。

例:

ip_risklist_gt_65.csv
ip_risklist_gte_90.csv
フィッシングホストリスクルール.csv
最近の_insikt_group_riskrule.csv
最近の侵入方法リスクルール.csv
c2_communicating_scf_ips.csv
tor_node_riskrule.csv
(GuardDuty フォルダにリストされているその他のもの)

Q: 私の環境ではこれらのリストがすべて表示されないのはなぜですか?

提供されている CloudFormation テンプレートは、4 つのデフォルト リストをプロビジョニングします。追加のリストは利用可能ですが、AWS コンソール/CLI で手動で追加するか、テンプレートを拡張して追加する必要があります。

Q: リストはいくつ追加できますか?

GuardDuty では、リージョンごとにアカウントごとに最大 6 つの脅威リストが許可されます。テンプレートは 4 つをデプロイするため、必要に応じてさらに 2 つ追加できます。

Q: 追加のリストをプロビジョニングしたい場合は誰がサポートしてくれますか?

ドメイン固有の知識を持つ顧客は、それらを直接プロビジョニングできます。あるいは、プロフェッショナル サービス (クレジット経由) を利用して、追加リストの有効化と構成を支援できます。

Q: GuardDuty の 6 つの脅威リストの制限を回避できますか?

いいえ。6 つのリスト制限は、GuardDuty サービス レベルでアカウントごと、リージョンごとに適用されるため、別の CloudFormation スタックを作成するだけでは制限は増加しません。

Q: 6 つ以上のリストが必要な場合、どのようなオプションがありますか?

いくつかの実用的なアプローチがあります:

リストを 1 つのファイルに結合: 複数の Recorded Future CSV を S3 に保存されている 1 つのファイルに結合し、その結合されたファイルに GuardDuty を指定します。これにより、1 つの ThreatIntelSet スロットで複数のフィードがカバーされます。
複数のリージョンを使用する: リージョンごとに 6 つのリストの割り当てが適用されます。組織が複数の AWS リージョンで GuardDuty を実行している場合、リージョンごとに独自の 6 リストの許可があります。
複数のアカウントを使用する: 複数アカウントの AWS 環境 (AWS Organizations など) では、各アカウントに独自の GuardDuty クォータがあります。セキュリティ チームは、異なるリスト セットを監視するために異なるアカウントを指定したり、GuardDuty のマルチ アカウント サポートを使用して検出結果をマスター アカウントに一元管理したりすることがあります。

Q: どのオプションを選択すればよいですか?

ほとんどのお客様にとって、リストを 1 つのファイルに結合することが、アカウント構造を変更せずに対象範囲を最大化する最も簡単な方法です。すでに複数のリージョンまたはアカウントで GuardDuty を実行している場合は、柔軟性を高めるためにリストをそれらに分散することができます。

 

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
2人中2人がこの記事が役に立ったと言っています

このセクションの記事