投稿日: Apr 10, 2023

Amazon GuardDuty に 3 つの新しい脅威検出機能が追加されました。これらの機能は、悪意のあるアクターがデータを盗み出すなどのアクティビティを実行したり、コマンド & コントロールサーバーを使用してマルウェアと通信したりする際に、検出を回避しようとする兆候のある疑わしい DNS トラフィックを検出するのに役立ちます。

次の検出結果タイプが追加されました。

  1. DefenseEvasion:EC2/UnusualDNSResolver
  2. DefenseEvasion:EC2/UnusualDoHActivity
  3. DefenseEvasion:EC2/UnusualDoTActivity

Amazon GuardDuty は、Amazon DNS リゾルバーを使用する EC2 インスタンスからの DNS トラフィックをモニタリングして、潜在的な悪意のあるアクターのアクティビティを検出します。ただし、悪意のあるアクターは、外部の DNS プロバイダーを使用したり、HTTPS (DoH) または TLS (DoT) 経由で DNS トラフィックを送信したりする手法を使用して、アクティビティを隠そうとする可能性があります。新たに追加された GuardDuty 脅威検出は、この種のアクティビティの検出に役立ちます。GuardDuty は、AWS 環境の予想される DNS トラフィックパターンを学習し、アクティビティが疑わしく、潜在的に悪意のあるアクティビティを示唆する場合にのみアラートを出します。

新しい脅威検出は、既存および新規の Amazon GuardDuty のすべてのユーザーに追加費用なしでご利用いただけます。また、アクティブ化するための操作も必要ありません。検出結果タイプ「DefenseEvasion:EC2/UnusualDNSResolver」は、すべての Amazon GuardDuty 対応リージョンで使用できます。また、DefenseEvasion:EC2/Unusual DoHActivityと DefenseEvasion:EC2/UnusualDoTActivity の脅威検出は、後日追加予定のAWS アジアパシフィック (大阪)、AWS アジアパシフィック (ジャカルタ)、AWS アジアパシフィック (ソウル)、中国 (北京、Sinnet 運営)、中国 (寧夏、NWCD 運営) を除くすべての Amazon GuardDuty 対応リージョンで利用できます。

あらゆる業界や地域で、自社の AWS 環境の保護に Amazon GuardDuty が利用されています。大手 2,000 社の AWS ユーザーを見ても、その 90% 以上が利用中です。GuardDuty は継続して悪意のある動作や許可されていない動作をモニタリングし、AWS のリソースを保護します。AWS マネジメントコンソールを使用すれば、ワンクリックで Amazon GuardDuty の 30 日間無料トライアルを開始できます。GuardDuty の機能および脅威検出に関する更新情報を Amazon GuardDuty SNS トピックで配信中です。ぜひサブスクライブしてください。