[アップデート] Amazon GuardDuty マルウェア保護がオンデマンドスキャンに対応しました | DevelopersIO
Amazon GuardDuty のマルウェア保護がオンデマンドスキャンに対応したため試してみました。 Amazon GuardDuty のマルウェア保護がオンデマンドスキャンに対応しました! これまでは、C&C サーバとの通信検知など、GuardDuty が別のイベントを検知したことをトリガーとしてマルウェアスキャンが開始されていました。今回のアップデートでユーザーの任意のタイミングで Amazon EC2 インスタンス(Amazon EBS)をスキャンできるようになりました。 マルウェア保護のオンデマンドスキャン機能について これまでのマルウェア保護機能については下記ブログにまとまっています。 アップデートされたオンデマンドスキャンに関するユーザーガイドの記載箇所は次のページです。2023/5/3 時点では英語ページのみです。 On-demand malware scan - Amaz
![[アップデート] Amazon GuardDuty マルウェア保護がオンデマンドスキャンに対応しました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/fce12d6b8c3f398a292a5005e239212abe657216/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-guardduty.png)
GuardDutyログをS3クロスアカウントレプリケーションしてみた | DevelopersIO
こんにちは。ネクストモードの倉地です。 業務アプリケーションなどの用途で使用するシステムアカウントのGuardDutyログを、ログ集約アカウントのS3バケットへクロスアカウントレプリケーション設定を実施したのですが、権限周りの理解が難しく実装に苦労しました。今回はこちらを整理しながら技術検証しましたので、内容を共有できればと思います。 やりたいこと GuardDutyからS3バケットへログを出力する (KMS暗号化が必要) システムアカウント側S3バケットからログ集約アカウント側S3バケットへクロスアカウントレプリケーションをする ログ集約アカウント側S3バケットに保存されたGuardDutyログが確認できれば成功 システムアカウント側 GuardDutyのログ出力設定 S3バケット作成 まずシステムアカウント側でGuardDutyログの出力先バケットを作成します。検証のため設定は基本的に
重要度別にGuardDutyをSlackに通知してみた | DevelopersIO
こんにちは。たかやまです。 こちらのブログのようにGuardDutyはSlackに通知することができますが、今回はこのGuardDutyの通知を重要度別にチャンネルへ飛ばす実装をしたいと思います。 構成 構成 Slackイメージ図 設定方法 構築はCDKを利用しています。リポジトリはこちらです。 guardduty-chatbot SNS 2つのSlackチャンネルに連携するために、スタンダードのSNS トピックを2つ用意します。 Severity Highを通知するトピック Severity Middleを通知するトピック サブスクリプションはこのあとのチャットボットとの紐付けで設定されるため、この段階では設定不要です。 cdk(クリックで展開) lib/sns-stack.ts import { Stack, StackProps } from "aws-cdk-lib"; impor
GuardDutyで検出したコインマイナーに対処してみた | DevelopersIO
こんにちは。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 GuardDuty 有効にしてますか~~ (挨拶 GuardDuty はとてもパワフルなサービスで AWS 上で稼働させているシステムの脅威検出に役立つます。 私がアーキテクチャ設計を担当させていただく際には必ず有効にしてします。 というより、AWS アカウントを契約したら無意識に 「GuardDuty ON」 と叫ぶレベルになっています。 担当しているお客様アカウントで GuardDuty を有効にして説明もしますが、 脅威検出してからの行動がわからないというお困りを聞くことがまれにあります。 今回はコインマイナーを GuardDuty で検出してから対処するまでをシミュレーションしてみます。 通知 いきなり脱線します。GuardDuty の検出は通知を設
雑にAmazon GuardDutyのFindingsを全リージョンにまたがって取得してくるPythonスクリプト書いた | DevelopersIO
こんにちは、臼田です。 みなさん、GuardDuty運用してますか?(挨拶 今回はパッと思いついてさっと書いた適当スクリプトを共有します。 コンセプト Amazon GuardDutyをはじめセキュリティ系のサービスを使っているとリージョンをまたがって設定しているので、状態を確認するときにいちいち1つずつ確認するのは面倒ですよね。 というわけでGuardDuty Findingsをバッと全リージョン回して取得したくなりました。 全リージョン回すってシチュエーションはよくあるので昔以下のような記事も書きました。これもよく使うので良かったらどうぞ。 スクリプト こちらです。Python3で実行してください。 import boto3 ec2 = boto3.client('ec2') regions = list(map(lambda x: x['RegionName'], ec2.descr
[CDK]全リージョンのGuardDutyを有効にしてSNS+AWS ChatbotでSlack通知する構成 | DevelopersIO
吉川@広島です。 【初心者向け】AWSの脅威検知サービスAmazon GuardDutyのよく分かる解説と情報まとめ | DevelopersIO 全リージョンのGuardDutyを有効化してSlack通知する構成を作るにあたり、 全リージョンでGuardDuty有効化 全リージョンでSNSを作成し、GuardDutyと紐付ける AWS Chatbotを設定 全リージョンのSNSをChatbotに紐付ける これを手動でやるのはなかなか大変です。 そこでCDKを使って自動化してみました。 環境 npm 8.1.3 node 14.18.1 aws-cdk 1.132.0 CDKプロジェクト構築 mkdir guardduty-alarm cd guardduty-alarm npx aws-cdk init -l typescript npm i @aws-cdk/aws-{chatbot,
Organizations 環境で Amazon GuardDuty を全リージョンへ簡単セットアップしてみる | DevelopersIO
AWS Organizations の連携で Amazon GuardDuty のセットアップが楽ちん実行できます。セットアップ方法を書きました。 以下 GuardDuty のベストプラクティスなセットアップをなるべく楽ちんに行います。 Amazon GuardDutyを Organizations環境内の 全てのアカウントの全てのリージョンで有効化する 『S3 データアクセスイベントの脅威検出』※ も自動有効化する 今後追加されたメンバーアカウントに対して自動で上記の有効化を行う ※参考: 【アップデート】 Amazon GuardDuty で S3 への不審なアクティビティを脅威検出できるようになりました! | DevelopersIO なお GuardDuty の Organizations連携の説明自体は以下を参照ください。 【Organizations】組織内の GuardDut
複数アカウントのGuardDutyの通知を一つのアカウントにまとめる構成を実装してみた | DevelopersIO
こんにちは、臼田です。 前回GuardDutyを全リージョンに展開する方法を紹介しました。 一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った 今回はこれを応用してマルチアカウントに展開して、通知を一つのアカウントで受け取る構成を、同じくCloudFormationでやってみたいと思います。 GuardDutyのマルチアカウントをまとめる手法について GuardDutyでは自身をマスターアカウントに設定し、他のAWSアカウントをメンバーアカウントとして招待することにより通知を1つのアカウントで受け取る機能があります。 詳細は下記をご確認ください。 GuardDutyを設定してメンバーアカウントを招待してみた #reinvent これを利用するためには下記情報が必要になります。 メンバーアカウントにするAWSアカウントのID 上記アカウントのrootユーザのメール
【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた | DevelopersIO
GuardDutyがコスパ最強の脅威検知サービスであることを証明しました。AWS利用者全員刮目してみよ!有効化はボタンポチですぐいけます。無料でトライアルが開始できるので個人でも商用でも必ず有効化しましょう! こんにちは、臼田です。 AWSサービスの中では「これは全員必須」のサービスはいくつかありますが、その中でも2017年のre:Inventで登場したGuardDutyは最強の脅威検知サービスです。(多分な私的見解を含みます) GuardDutyを有効化するだけで、EC2やALBなどの運用しているサービスへの攻撃やAWSアカウント自体への攻撃を検知することができます。手間いらず!具体的には下記のようなものを検知できます。 コインマイニング ssh/RDPブルートフォースアタック IAM Userの不正ログイン C&Cサーバへの通信 ポートスキャン 漏洩したクレデンシャルの利用 通常であれ
[アップデート] GuardDuty の検出結果を S3 にエクスポート出来るようになりました | DevelopersIO
先日のアップデートで GuardDuty の検出結果を直接 S3 に保存することが可能になりました。 Amazon GuardDuty Supports Exporting Findings to an Amazon S3 Bucket なにが嬉しいのか これまで GuardDuty の標準機能としてログを保管する仕組みはありませんでしたので、CloudWatch Events から Lambda や Kinesis Firehose を連携させて S3 にアウトプットする。といった作り込みが必要でした。 これが標準機能として S3 に保存できるようになりますので、ログ保管の実装が非常に簡単になります。 検証環境 今回は以下の環境で検証しています。 GuardDuty、S3、KMS すべて東京リージョン ログ用バケットは同一アカウント内の S3 を指定 すべてのリージョンの GuardDu
GuardDutyのFindingsをテストできるAmazon Guardduty testerを試してみた | DevelopersIO
GuardDutyのFindingsをテストしたいとき、Amazon Guardduty testerというテスターを使ってみるのはいかがでしょう? こんにちは、コンサルティング部の鈴木(純)です。 最近GuardDutyのFindingsを確認したいと思った時に、Amazon Guardduty testerというgithubのawslabsにあるテスターを教えていただいたので利用してみました。 ちゃんと公式から提供されているテスターがあると知らなかったのですが、結構手軽に利用できたので紹介します。 Amazon Guardduty Testerとは? 以下の公式ドキュメントで紹介されているGuardDutyのFindingsをいくつか検知させる方法です。 次のスクリプトを使用して、いくつかの一般的な GuardDuty 結果を自動的に生成できます。guardduty-tester.te
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
