異常な動作の判別のためのコンテキストデータが取得可能に「GuardDuty S3 Protection」
次にGuardDuty S3 Protectionのアップデートを紹介します。
GuardDuty S3 ProtectionはS3バケットに保存されているデータへの悪意あるアクティビティを検出する機能です。
本アップデートは、悪意あるアクティビティをより正確に検知する機械学習機能が導入され、異常な地理的位置からのリクエストやデータの不正引き出しと思われるAPIコール、その他既知の攻撃戦術に関連する悪意あるアクティビティの検出精度が向上したというものです。
メインのアップデートは上記でしたが、それ以外に、もう1つアップデートがありました。
それが、異常な操作が検出された際に、検出されたアクティビティの何が異常だったか」、「通常S3バケットはどこからアクセスされているか」、「アクセスしたS3バケットに対するAPIコール数が通常どのくらいか」などのコンテキストデータが取得できるようになったというもので、GuardDuty利用者からするとこちらのアップデートの方が嬉しかったのではないでしょうか。
実際に異常な動作(検知タイプ:S3/AnomalousBehavior)が検知された場合にどのような情報が確認できるかを、GuardDutyのサンプルイベントを発行させる機能を使ってご紹介します。
コンソール上では以下情報を確認することができます。
異常な動作(ユーザID)を詳しくみてみると、APIが1日に20000件呼び出されたことを異常な動作として検知しています。
過去の動作(ユーザID)で、通常どのくらいAPIが呼び出されているかを確認すると、平均150件、最高でも1000件ということがわかります。
この情報をもとに、異常な操作が行われていると判断することができます。
これまでは、異常な操作が検出された際に、本当にそれが異常な操作なのか判別することが難しかったと思いますが、この情報を活用することで判断を容易することが可能になりそうです。