投稿日: Oct 16, 2019
Amazon GuardDuty に 3 つの新たな脅威検出が追加されました。このうち 2 つは Amazon S3 に関連したもので、もう 1 つは、DNS リバインディングによる EC2 インスタンスメタデータの不正引き出しの可能性に関するものです。
1 つ目の S3 に関する検出は、Policy:IAMUser/S3BlockPublicAccessDisabled です。これは、単一の AWS アカウント (マルチアカウント構成の場合は複数アカウント) の S3 バケットに対して S3 ブロックパブリックアクセスが無効になっていることを通知します。S3 ブロックパブリックアクセスは、バケットに適用されたポリシーまたは ACL をフィルタリングして、不注意によるデータ公開を防ぐために使用されます。この検出は、設定の間違い、または悪意のあるアクティビティを示すものである可能性があります。この脅威検出から生成された結果は、バケットまたはオブジェクトがパブリックに公開されていることを意味するものではありませんが、バケットに適用されたポリシーと ACL を監査して、適切な権限が設定されていることを確認する必要があります。2 つ目の S3 に関する検出は Stealth:IAMUser/S3ServerAccessLoggingDisabled です。これは、以前に有効にしていたバケットの Amazon S3 サーバーアクセスログが無効にされたことを通知します。Amazon S3 サーバーアクセスログが無効にされた場合、設定の間違い、または悪意のあるアクティビティを示すものである可能性があるため、調査する必要があります。これらの検出結果の重要度は高くありません。
3 つ目に当たる新しい脅威検出は、UnauthorizedAccess:EC2/MetaDataDNSRebind です。これは、AWS 環境の EC2 インスタンスが、EC2 メタデータ IP アドレスに解決されるドメインをクエリしていることを通知します。この種類の DNS クエリは、インスタンスに関連付けられた IAM 認証情報を含む EC2 インスタンスからメタデータを取得するために、DNS リバインディングが試みられていることを示すものである可能性があります。DNS リバインディングは、EC2 インスタンスで実行されているアプリケーションまたは、EC2 インスタンスで実行されているウェブブラウザで URL にアクセスしているユーザーの脆弱性を利用します。この検出結果は重要度の高いものです。
これらの新しい結果は Amazon GuardDuty が利用可能なすべてのリージョンで、本日よりご利用いただけます。これらの新しい結果タイプの使用を開始するために必要なアクションはありません。
世界中で利用可能な Amazon GuardDuty では引き続き悪意のある動作や許可されていない動作を監視し、AWS のアカウントやアクセスキーなど、AWS のリソースを保護できます。GuardDuty はクリプト通貨のマイニングや、使用したことのないリージョンでのインフラストラクチャのデプロイなど、異常なアクティビティや許可されていないアクティビティの特定に役立ちます。脅威インテリジェンスと機械学習により、GuardDuty は継続的に進化して AWS 環境を保護するのに役立っています。
AWS マネジメントコンソールを使用すれば、ワンクリックで Amazon GuardDuty の 30 日間無料トライアルを有効にできます。GuardDuty が利用できる全リージョンについて詳しくは、AWS リージョンのページを参照してください。詳細については、Amazon GuardDuty の結果を参照してください。また、30 日間の無料トライアルを開始するには、Amazon GuardDuty 無料トライアルを参照してください。