2018/03/10にJAWS DAYSで話したCommunity-based SecurityとAmazon GuardDutyの資料です。

1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Hayato Kiriyama
March 10, 2018
「みんなでクラウドセキュリティ」

2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
氏名: 桐山隼人
役割:
セキュリティソリューションアーキテクト
好きなサービス:
Amazon Inspector
AWS Shield
Amazon Macie
Amazon GuardDuty
好きな色: 紫
自己紹介

3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
コミュニティと
クラウドセキュリティ

4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Targeted Attack
Attack
(Recon., Exploit, C2, etc.)

5. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Black Ecosystem
Attack
(Recon., Exploit, C2, etc.)
Black
Market
Transaction
(PII, Biz Data
Vulnerability. Data
Tool, Malware, etc.)

6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Community-based Security as White Ecosystem
Attack
(Recon., Exploit, C2, etc.)
Black
Market
Feed
(IP List, Signature,
etc.)
Community
Threat
Intelligence
Transaction
(PII, Biz Data
Vulnerability. Data
Tool, Malware, etc.)

7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Threat Detection Today
Logs
FW/IDPS/SIEM Collector Analyzer
Managed Security Services Provider
Collector Analyzer
Managed Security Services Provider
Notify
Feed
(IP List, Signature,
etc.)

8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Issues on Threat Detection
Logs
FW/IDPS/SIEM Collector Analyzer
Managed Security Services Provider
Collector Analyzer
Managed Security Services Provider
Notify
Feed
(IP List, Signature,
etc.)
1. Lots of Threat
Intelligence
Providers
2. Lots of
Security Devices
to be supported
3. Bring Your
Own
Intelligence

9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
好きなセキュリティデバイス
好きな脅威インテリジェンス
を使いたい！

10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon GuardDuty

11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
How it works

12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Enable GuardDuty

13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Setting Up Amazon GuardDuty

14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Setting Up Amazon GuardDuty

15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Continuously Analyze

16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Continuous Monitoring and Automatic Analysis
Reconnaissance
Instance
Compromise
Account
Compromise
Amazon
GuardDuty
VPC Flow
Logs
DNS Logs
CloudTrail
HIGH
MEDIUM
LOW
FindingsData SourcesThreat Types

17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Threat Detection Types
Reconnaissance Instance Compromise Account Compromise
Instance Recon:
• Port Probe/Accepted Comm
• Port Scan (intra-VPC)
• Brute Force Attack (IP)
• Drop Point (IP)
• Tor Communications
Account Recon:
• Tor API Call (failed)
• C&C Activity
• Malicious Domain Request
• EC2 on Threat List
• Drop Point IP
• Malicious Comms (ASIS)
• Bitcoin Mining
• Outbound DDoS
• Spambot Activity
• Outbound SSH Brute Force
• Unusual Network Port
• Unusual Traffic Volume/Direction
• Unusual DNS Requests
• Domain Generated Algorithms
• Malicious API Call (bad IP)
• Tor API Call (accepted)
• CloudTrail Disabled
• Password Policy Change
• Instance Launch Unusual
• Region Activity Unusual
• Suspicious Console Login
• Unusual ISP Caller
• Mutating API Calls (create,
update, delete)
• High Volume of Describe calls
• Unusual IAM User Added
Signature Based Stateless Findings Behavioral Stateful Findings and Anomaly Detections

18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Intelligently Detect Threats

19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted IP Lists and Threat Lists
• Trusted IP List : 登録されたIPリストはホワイトリストさ
れ、登録IPに対するアクティビティは、GuardDutyは
Findingsとして検知しない
• Threat List : 既知の悪意のあるIPリストを登録可能。登
録したThreat Listに基づき GuardDuty Findings として
通知

20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted IP Lists and Threat Lists の設定

21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon GuardDuty Ecosystem
Add
(STIX, OTX, FireEye
Insight, Proofpoint
ET, AlienVault
Reputation)
Logs
FW/IDPS/SIEM
Managed Security
Services ProviderNotify
Managed Security
Services Provider
Amazon
GuardDuty
Logs
VPC Flow Logs,
CloudTrail, DNS Logs
Notify

22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon GuardDuty Ecosystem
Add
(STIX, OTX, FireEye
Insight, Proofpoint
ET, AlienVault
Reputation)
Logs
FW/IDPS/SIEM
Managed Security
Services ProviderNotify
Managed Security
Services Provider
Amazon
GuardDuty
Logs
VPC Flow Logs,
CloudTrail, DNS Logs
Notify

23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Take Action

24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
• 感染したインスタンスの封じ込め
• 漏洩したAWSクレデンシャルの不正利用防止
例：以下のケースに対して自動的に緩和策を実施
GuardDuty CloudWatch
Events
Lambda
Amazon
GuardDuty
Amazon
CloudWatch
CloudWatch
Event
Lambda
Function
AWS Lambda
Automated Remediation and Protection

25. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
• GuardDutyのFindingsにより感染インスタンスが特定される
• CloudWatch Event のアラームが Lambda 関数を起動
• 該当インスタンスのタグに応じて自動アクションさせる、もしくは重要
な本番サーバーであれば手動対応するなども可能
Lambda
Lambda
Function
AWS Lambda
• Lambda 関数例:
• 該当Security Groupから該当インスタンス
を削除し、新規インスタンス追加
• EBSボリュームのスナップショット取得
• セキュリティチームにメール/Slack通知
Automated Remediation and Protection

26. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
GuardDuty Demo
Amazon GuardDuty Tester
• テスト用のFindingsを生成するためのCloudFormationテンプ
レートとサンプルスクリプト
• https://github.com/awslabs/amazon-guardduty-tester
Amazon GuardDuty Lab
• GuardDutyの基本機能を用いて脅威検知した後、Lambdaに
よる対応までを体験できるラボ
• http://loftlab.gregmcconnel.net/

27. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon GuardDutyを
脅威検知と対応の
プラットフォームにしよう

28. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
さらなる
Community-based Security
に向けて

29. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSセキュリティ認定試験
AWSセキュリティを仕事で使う方は！
AWS Certified Security Specialty
認定資格ができました
ベータ期間終了(3月2日)後、一定
期間のうちに本試験が始まります
受験の前提要件:
• Associate or Cloud Practitioner保持者
https://aws.amazon.com/blogs/architecture/announcing-our-new-beta-for-the-aws-certified-security-specialty-exam/
AWS Certified Security

30. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSセキュリティエンジニアコミュニティ
目的：AWSセキュリティエンジニア
の情報交換プラットフォーム
方針：AWSセキュリティに関するこ
とであれば何でもOK
対象：AWSセキュリティに関して
• 業務や趣味で利用している方
• 優れた設計(Well-Architected)やベストプラク
ティスの情報交換をしたい方
• ブログ等に「やってみた」投稿をする方
• イベント登壇する方
• Security Operation on AWSなどのAWSトレー
ニングを受講する方
• AWS Certified Security 認定取得する方
AWSセキュリティをもっと知りたい方は！(現在、プレ期間中)
AWSセキュリティエンジニア
コミュニティ(仮)
https://www.facebook.com
/groups/2038392602855805/
Hayato Kiriyama まで
名刺交換 or DMください!
グループに追加します
AWS Certified Security Lounge
オフサイトイベント招待
AWS CTF ベータ参加者招待
特典例：

31. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSセキュリティエンジニアコミュニティ
WAF Mania (AWS WAF Managed Rules試して
みた)
フレームワークとアーキテクチャー (Well-
Architected, CIS, NISTなどのアーキテクチャ実装
の検討)
IAM Policy Ninja (IAMポリシーをひたすら作って
検証する会)
仮想通貨とAWS (楕円曲線暗号secp256k1と
CloudHSM、マイニングしてGuardDutyに怒られ
よう、AWSコインはよ作れ、他)
RSA Conference行こうぜ! (行こうよ、みんな。
向こうでワイン飲もう)
BlackHat行こうぜ! (行こうよ、みんな。向こうで
肉食べよう)
サロン・ド・AWS Certified Security (AWSセキュ
リティ認定資格取得のための勉強会・情報交換会)
自分の興味のあるトピックに自由参加できます
おいでよトレンドマイクロの森 (Deep Security
とAWS連携させてみた)
Macieとの戯れ (個人データ分類させてみたら〇
〇に分類されたわ)
AWSセキュリティエンジニア入門編編集室 (これ
さえ読んどけば入門者なれるまとめ)
AWSセキュリティエンジニア中級編編集室
(AWSセキュリティエンジニアとして自慢できる
まとめ)
AWSセキュリティエンジニア上級編編集室 (神に
なりたい人用まとめ)
AWSイベント参加者集会所 (AWS Summit,
AWSome Day, Cloud Roadshowなど行く人、
行った人の掲示板)
その他、自由にトピック追加可能・・

32. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSセキュリティエンジニアコミュニティ
WAF Mania (AWS WAF Managed Rules試して
みた)
フレームワークとアーキテクチャー (Well-
Architected, CIS, NISTなどのアーキテクチャ実装
の検討)
IAM Policy Ninja (IAMポリシーをひたすら作って
検証する会)
仮想通貨とAWS (楕円曲線暗号secp256k1と
CloudHSM、マイニングしてGuardDutyに怒られ
よう、AWSコインはよ作れ、他)
RSA Conference行こうぜ! (行こうよ、みんな。
向こうでワイン飲もう)
BlackHat行こうぜ! (行こうよ、みんな。向こうで
肉食べよう)
サロン・ド・AWS Certified Security (AWSセキュ
リティ認定資格取得のための勉強会・情報交換会)
自分の興味のあるトピックに自由参加できます
おいでよトレンドマイクロの森 (Deep Security
とAWS連携させてみた)
Macieとの戯れ (個人データ分類させてみたら〇
〇に分類されたわ)
AWSセキュリティエンジニア入門編編集室 (これ
さえ読んどけば入門者なれるまとめ)
AWSセキュリティエンジニア中級編編集室
(AWSセキュリティエンジニアとして自慢できる
まとめ)
AWSセキュリティエンジニア上級編編集室 (神に
なりたい人用まとめ)
AWSイベント参加者集会所 (AWS Summit,
AWSome Day, Cloud Roadshowなど行く人、
行った人の掲示板)
その他、自由にトピック追加可能・・
1
2
3

33. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
みんなで
クラウドセキュリティ
を高めていきましょう！

34. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Hayato Kiriyama
March 10, 2018
Thank you!