Amazon Web Services ブログ

Amazon GuardDuty Extended Threat Detection のご紹介: AI/ML 攻撃シーケンスを識別し、クラウドセキュリティを強化

12 月 1 日は、Amazon GuardDuty の高度な AI/ML 脅威検出機能を紹介できることを嬉しく思います。この新機能では、AWS の広範なクラウド可視性とスケールを利用して、アプリケーション、ワークロード、およびデータの脅威検出を強化します。GuardDuty Extended Threat Detection は、高度な AI/ML を使用して既知の攻撃シーケンスと未知の攻撃シーケンスの両方を識別し、クラウドセキュリティへのより包括的でプロアクティブなアプローチを提供します。この強化により、現代のクラウド環境における複雑さの増大と進化するセキュリティ脅威への対応が可能になり、脅威の検出と対応が簡素化されます。

多くの組織は、クラウド環境全体で発生する大量のセキュリティイベントを効率的に分析して対応するという課題に直面しています。セキュリティ脅威の頻度と巧妙さが増すにつれて、経時的に一連のイベントとして発生する攻撃を効果的に検出して対応することがますます困難になっています。セキュリティチームはしばしば大規模な攻撃の一部である可能性のある関連アクティビティをつなぎ合わせるのに苦労し、潜在的に重大な脅威を見逃したり、重大な影響を防ぐには対応が遅すぎたりすることがあります。

これらの課題に対処するために、GuardDuty の脅威検出機能を拡張し、セキュリティシグナルを相互に関連付けて AWS 環境内のアクティブな攻撃シーケンスを特定する新しい AI/ML 機能を追加しました。これらのシーケンスには、権限発見、API 操作、永続アクティビティ、データ漏洩など、攻撃者が実行する複数の手順が含まれる場合があります。これらの検出は、重大度が極めて高い GuardDuty の新しいタイプの攻撃シーケンスの検出結果として表されます。これまで GuardDuty では「クリティカル」な重要度を使用したことはなく、機密で極めて緊急性が高い検出結果のためにこのレベルを保留していました。このような新しい検出結果ではクリティカルな重要度が導入され、脅威の性質と重要性を自然言語で要約したもの、MITRE ATT&CK® フレームワークの戦術と技法にマッピングされた観察されたアクティビティ、AWS のベストプラクティスに基づく規範的な修復のレコメンデーションなどが含まれます。

GuardDuty Extended Threat Detection では、新しい攻撃シーケンスの検出結果が導入され、認証情報の漏洩、権限昇格、データ漏洩などの領域において既存の検出の実用性が向上します。今回の機能強化により、GuardDuty はアカウント内の複数のデータソース、期間、リソースにわたる複合検出が可能になり、高度なクラウド攻撃をより包括的に理解できるようになります。

新しい機能がどのように機能するかをお見せしましょう。

Amazon GuardDuty で新しい AI/ML 脅威検出機能を使用する方法
GuardDuty で新しい AI/ML 脅威検出機能を体験するには、Amazon GuardDuty コンソールにアクセスして、[Summary] (概要) ページの新しいウィジェットを確認してください。概要ウィジェットは、受けている攻撃シーケンスの数を表示し、同攻撃シーケンスの詳細を検討するのに役立ちます。クラウド環境の検出結果から多段階攻撃が明らかになることがよくありますが、これらの高度な攻撃シーケンスは量が少なく、検出結果の総数に占める割合はごくわずかです。この特定のアカウントでは、クラウド環境でさまざまな検出結果を確認できますが、実際の攻撃シーケンスはほんの一握りです。大規模なクラウド環境では、数百または数千の検出結果が表示される場合がありますが、攻撃シーケンスの数は比較的少ないままである可能性があります。

また、検出結果を重要度別に表示できる新しいウィジェットも追加しました。これにより、関心のある特定の検出結果をすばやく絞り込んで調査することが容易になります。検出結果は重要度別にソートされるようになり、追加されたクリティカルの重要度カテゴリーを含む最も重大な問題の概要が明示されるようになりました。これにより、最も緊急な検出結果にすぐに気づくことができます。また、[Top attack sequences only] (トップアタックシーケンスのみ) を選択して、攻撃シーケンスのみをフィルタリングすることもできます。

この新機能はデフォルトで有効になっているため、使用を開始するために追加の手順を実行する必要はありません。この機能には、GuardDuty とそれに関連する保護プランの基本料金以外に追加費用はかかりません。追加の GuardDuty 保護プランを有効にすると、この機能により統合されたセキュリティ価値が高まり、より深いインサイトを得るのに役立ちます。

次の 2 種類の検出結果を確認できます。1 つ目はデータ侵害です。これは、大規模なランサムウェア攻撃の一環で起こる可能性のあるデータ侵害を示しています。データはほとんどのお客様にとって最も重要な組織のアセットであり、重要な懸念事項となっています。2 つ目の検出結果は、侵害された認証情報のタイプです。これは、通常、クラウド環境における攻撃の初期段階で、侵害された認証情報の悪用を検出するのに役立ちます。

データが侵害された検出結果の 1 つについて詳しく見ていきましょう。「アカウント内のユーザーに関連する複数のシグナルに対する一連のアクションを含む、1 つ以上の S3 バケットのデータ侵害の可能性」に焦点を当てます。この検出結果は、複数の関連シグナルにより、複数の Amazon Simple Storage Service (Amazon S3) バケットでデータが侵害されていることを確認したことを示しています。

この検出結果に含まれる概要には、アクションを実行した特定のユーザー (プリンシパル ID で識別)、影響を受けたアカウントとリソース、アクティビティが発生した長期の期間 (ほぼ 1 日) などの重要な詳細が表示されます。この情報は、潜在的な侵害の範囲と重大度をすばやく理解するのに役立ちます。

この検出結果には、ほぼ 24 時間にわたって観察された 8 つの異なるシグナルがあり、MITRE ATT&CK® フレームワークにマッピングされた複数の戦術と手法が使用されていることが示されています。認証情報へのアクセスから、発見、回避、永続性、さらには影響や流出に至るまで、攻撃チェーン全体にわたって広範囲に及んでいることから、これが本当にポジティブなインシデントであった可能性が示されています。この検出結果は、特に憂慮すべきデータ破壊の手法も浮き彫りにしています。

さらに、GuardDuty は、ユーザーが AWS CloudTrail トレイルを削除したときなど、機密性の高い API コールを強調表示することで、セキュリティコンテキストをさらに強化します。このような回避行動は、Amazon S3 オブジェクトを対象とする新しいアクセスキーとアクションの作成と相まって、インシデントの重大度と潜在的な範囲をさらに拡大します。この検出結果で提示された情報に基づいて、このインシデントをさらに徹底的に調査する必要があるでしょう。

検出結果に関連する ATT&CK 戦術を確認することで、それが単一の戦術であろうと複数の戦術であろうと、関連する特定の戦術を把握できます。GuardDuty には、アクティビティに疑わしいというフラグが立てられ、クリティカルの重大度が割り当てられた理由を説明するセキュリティインジケーターも用意されています。これには、呼び出された高リスク API や実行された戦術が含まれます。

さらに深く掘り下げると、責任があるアクターの詳細を確認できます。この情報には、ネットワークの場所など、ユーザーがこれらのアクションにどのように接続して実行したかが含まれます。この追加のコンテキストは、調査と対応に不可欠なインシデントの全範囲と性質をよりよく理解するのに役立ちます。AWS のベストプラクティスに基づいた規範的な是正レコメンデーションに従うことで、特定された検出に迅速に対処して解決するための実用的なインサイトを得ることができます。これらのカスタマイズされたレコメンデーションは、クラウドセキュリティ体制を改善し、セキュリティガイドラインとの整合性を確保するのに役立ちます。

[Signals] (シグナル) タブは、新しい順または古い順に並べ替えることができます。アクティブな攻撃に対応する場合は、状況をすばやく把握して軽減するために、最新のシグナルから始めることをお勧めします。インシデント後のレビューでは、最初のアクティビティから遡ることができます。各アクティビティを詳しく見ると、特定の検出結果に関する詳細情報が得られます。また、インジケーターアクターエンドポイントを通じてすばやく表示して、何が起きて誰がアクションを起こしたかの概要を見ることができます。

詳細を確認するもう 1 つの方法は、[Resources] (リソース) タブにアクセスすることです。このタブでは、関連するさまざまなバケットとアクセスキーを確認できます。リソースごとに、どのような戦術やテクニックが行われたかを確認できます。開いているリソースを選択して、関連するコンソールに直接移動し、詳細を確認できます。

GuardDuty の検出結果の全ページビューが導入され、すべてのコンテキストデータを 1 か所で容易に確認できるようになりました。ただし、特定の検出結果の詳細をすばやく表示するレイアウトを希望する場合は、サイドパネル付きの従来の検出結果ページも引き続き使用できます。

GuardDuty Extended Threat Detection は、リージョン内のすべての GuardDuty アカウントで自動的に有効になり、追加の保護プランを必要とせずに基本的なデータソースを活用できます。追加の保護計画を有効にすると、分析されるセキュリティシグナルの範囲が広がり、複雑な攻撃シーケンスを特定するサービスの能力が向上します。GuardDuty では、Amazon S3 バケット内の潜在的なデータ漏洩を検出するために S3 保護を有効にすることを特に推奨しています。S3 保護を有効にしないと、GuardDuty は S3 固有の検出結果を生成したり、S3 リソースに関連する攻撃シーケンスを特定したりできず、Amazon S3 環境におけるデータ侵害シナリオを検出する能力が制限されます。

GuardDuty Extended Threat Detection は、AWS Security HubAmazon EventBridge、サードパーティーのセキュリティイベント管理システムなど、既存の GuardDuty ワークフローと統合されます。

今すぐご利用いただけます
Amazon GuardDuty Extended Threat Detection は、複雑な攻撃シーケンスの分析を自動化し、実用的なインサイトを提供することでクラウドセキュリティを大幅に強化します。これにより、ユーザーは最も重要な脅威に効率的に対処することに集中でき、手動分析に必要な時間と労力を低減できます。

これらの機能は、GuardDuty がサポートされているすべての商用 AWS リージョンで、GuardDuty の新規および既存のすべてのお客様に追加費用なしで自動的に有効になります。

これらの新機能の詳細を確認し、活用し始めるには、Amazon GuardDuty のドキュメントをご覧ください。

– Esra

原文はこちらです。