の抑制ルール GuardDuty

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS – 抑制ルールを使用して、インターネットゲートウェイからではなくオンプレミスゲートウェイから出力されるように、インターネットトラフィックをルーティングするようにVPCネットワークが設定されている場合に生成された検出結果を自動的にアーカイブしますVPC。

この検出結果は、インターネットゲートウェイ () からではなく、オンプレミスゲートウェイから出力されるようにVPCインターネットトラフィックをルーティングするようにネットワークが設定されている場合に生成されますIGW。AWS Outpostsや VPCVPN接続を使用するなどの一般的な設定では、このようにトラフィックがルーティングされる可能性があります。これが予想される動作である場合は、抑制ルールを使用し、2 つのフィルター条件で構成されるルールを作成することをお勧めします。1 つ目の条件では、[finding type] (結果タイプ) に UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS を使用します。2 番目のフィルター条件は、オンプレミスインターネットゲートウェイの IP API IPv4 アドレスまたは範囲を持つ発信者アドレスです。 CIDR以下の例は、API発信者 IP アドレスに基づいてこの検出結果タイプを抑制するために使用するフィルターを示しています。

Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6

Recon:EC2/Portscan - 脆弱性評価アプリケーションを使用する場合に、検出結果を自動的にアーカイブするために抑制ルールを使用します。

抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の条件では、[Finding type] (結果タイプ) 属性に Recon:EC2/Portscan という値を使用します。2 番目のフィルター条件は、これらの脆弱性評価ツールをホストする 1 つ以上のインスタンスと一致する必要があります。これらのツールをホストするインスタンスで識別可能な条件に応じて、[Instance image ID] (インスタンスイメージ ID) 属性または [Tag] (タグ) 値の属性のいずれかを使用できます。以下の例は、特定の を持つインスタンスに基づいて、この検出結果タイプを抑制するために使用するフィルターを示していますAMI。

Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

UnauthorizedAccess:EC2/SSHBruteForce - 踏み台インスタンスをターゲットとする場合に、検出結果を自動的にアーカイブするために抑制ルールを使用します。

ブルートフォース試行のターゲットが踏み台ホストである場合、これは AWS 環境に対して予想される動作を表す可能性があります。このような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の条件では、[Finding type] (結果タイプ) 属性に UnauthorizedAccess:EC2/SSHBruteForce という値を使用します。2 番目のフィルター条件は、要塞ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。これらのツールをホストするインスタンスで識別可能な条件に応じて、[Instance image ID] (インスタンスイメージ ID) 属性または [Tag] (タグ) 値の属性のいずれかを使用できます。次の例は、特定のタグ値を持つインスタンスに基づいてこの検出結果タイプを抑制するために使用するフィルターを示しています。

Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

Recon:EC2/PortProbeUnprotectedPort - 意図的に公開しているインスタンスをターゲットとする場合に、検出結果を自動的にアーカイブするために抑制ルールを使用します。

インスタンスがウェブサーバーをホストしている場合など、インスタンスが意図的に公開されている場合があります。 AWS 環境内でこのような場合は、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の条件では、[Finding type] (結果タイプ) 属性に Recon:EC2/PortProbeUnprotectedPort という値を使用します。2 番目のフィルター条件は、要塞ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。これらのツールをホストするインスタンスで識別可能な条件に応じて、[Instance image ID] (インスタンスイメージ ID) 属性または [Tag] (タグ) 値の属性のいずれかを使用できます。次の例は、コンソール内の特定のタグキーを持つインスタンスに基づいてこの検出結果タイプを抑制するために使用するフィルターを示しています。

Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

PrivilegeEscalation:Runtime/DockerSocketAccessed はコンテナ内のプロセスが Docker ソケットと通信するときに生成されます。環境内に、正当な理由で Docker ソケットにアクセスする必要があるコンテナが存在する可能性があります。このようなコンテナからのアクセスにより、 が生成されます。PrivilegeEscalation:Runtime/DockerSocketAccessed 検出結果。 AWS 環境内でこの場合は、この検出結果タイプの抑制ルールを設定することをお勧めします。1 つ目の条件では、値が PrivilegeEscalation:Runtime/DockerSocketAccessed に等しい [検出結果タイプ] フィールドを使用する必要があります。2 番目のフィルター条件は、生成された検出結果のプロセスの executablePath と同じ値を持つ [実行可能ファイルのパス] フィールドです。または、2 番目のフィルター条件では、生成された結果executableSha256のプロセスの に等しい値を持つ Executable SHA-256 フィールドを使用できます。

Kubernetes クラスターは、 などのポッドとして独自のDNSサーバーを実行しますcoredns。したがって、ポッドからのDNSルックアップごとに、 GuardDutyは 2 つのDNSイベントをキャプチャします。1 つはポッドから、もう 1 つはサーバーポッドからキャプチャします。これにより、次のDNS結果に対して重複が発生する可能性があります。

重複する検出結果には、DNSサーバーポッドに対応するポッド、コンテナ、プロセスの詳細が含まれます。これらのフィールドを使用して、重複検出結果を抑制する抑制ルールをセットアップできます。最初のフィルター条件では、このセクションで前述した結果のリストからDNSの結果タイプに等しい値を持つ結果タイプフィールドを使用する必要があります。2 番目のフィルター条件は、サーバーの と等しい値を持つ実行可能なパス、DNSexecutablePathまたは生成された結果executableSHA256のDNSサーバーの と等しい値を持つ実行可能な SHA-256 のいずれかです。オプションの 3 番目のフィルター条件として、生成された結果でDNSサーバーポッドのコンテナイメージと等しい値を持つ Kubernetes コンテナイメージフィールドを使用できます。