投稿日: Jan 20, 2022
Amazon GuardDuty では、新しい脅威検出機能をご利用いただけるようになりました。この機能は、関連付けられた EC2 インスタンスが実行されているものとは異なる AWS アカウントが所有する IP アドレスから、API を呼び出すために EC2 インスタンスの認証情報が使用されたときに通知します。新しい検出結果タイプは、UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS です。Amazon GuardDuty は EC2 インスタンスの認証情報が AWS の外部から使用されたときに常に通知しますが、この新しい脅威検出は、悪意のあるアクターが、別の AWS アカウントから EC2 インスタンスの認証情報を使用して検出を回避するのを抑制します。
Amazon GuardDuty を既にご利用のお客様は、この新しい脅威検出機能の使用を開始して、AWS CloudTrailでキャプチャされたコントロールプレーンの操作をモニタリングするためにアクションを実行する必要はありません。GuardDuty S3 Protection を併用している場合、この新しい脅威検出は、S3 データプレーンの操作 (LIST/PUT/GET など) を呼び出すために、別の AWS アカウントから EC2 インスタンスの認証情報が使用されたときにさらに通知します。GuardDuty を初めて有効化するときには、S3 保護がデフォルトでオンになっています。既に GuardDuty を使用してアカウントとワークロードを保護しており、まだこの機能を有効にしていない場合は、GuardDuty コンソールまたは API を介して S3 保護を有効にできます。
EC2 インスタンスの認証情報は、AWS Identity and Access Management (IAM) ロールがインスタンスにアタッチされている場合に、EC2 メタデータサービスを介して、そのインスタンスで実行されているすべてのアプリケーションで利用できる一時的な認証情報です。これらの認証情報が漏えいすると、そのインスタンスにアタッチされた IAM ロールで定義された許可に基づいて、API を悪意を持って呼び出すために当該情報が使用される場合があります。アラートが生成される際、Amazon GuardDuty コンソールまたは Finding JSON で、認証情報が使用されたアカウントの AWS アカウント ID も表示されるようになりました。認証情報が使用されているリモート AWS アカウントが AWS アカウントに関連付けられていない場合、つまり、該当のアカウントが GuardDuty マルチアカウント設定の一部ではない場合、検出事項の重要度は高になります。あるいは、リモート AWS アカウントが AWS アカウントに関連付けられている場合、検出事項の重要度は中になります。GuardDuty は、AWS Transit Gateway を使用して 2 つの AWS アカウント間でトラフィックをルーティングする場合など、想定されるユースケースで生成される検出結果の量を減らすために、一般的に使用されるクロスアカウントネットワークトポロジも学習します。
Amazon GuardDuty は世界中で利用可能で、悪意のある動作や不正な動作を継続的にモニタリングして、AWS アカウント、アクセスキー、EC2 インスタンス、S3 に保存されているデータなどの AWS リソースを保護するのをサポートします。脅威を検出するための脅威インテリジェンス、機械学習、および異常検出技術を搭載した GuardDuty は、AWS 環境の保護を支援するために継続的に進化しています。AWS マネジメントコンソールを使用すれば、ワンクリックで Amazon GuardDuty の 30 日間無料トライアルを有効にできます。詳細については、Amazon GuardDuty Findings を参照してください。また、新しい Amazon GuardDuty 機能および脅威検出に関するプログラムによる更新情報を受け取るには、Amazon GuardDuty SNS トピックにサブスクライブしてください。