はじめに
こんにちは、ヤプリで1ヶ月間SREでインターンをさせていただいた静岡大学の鈴木(@otyamura)と申します。
昨日GuardDutyの通知についての記事を書いたのですが、インターンの業務終了日に書きたい内容があったので全力でこの記事をこしらえています。
行ったこと
DetectiveでDNSの調査を行うために、GuardDutyにDNSの異常を検知させました。
使用技術
本記事で使用した主な技術は以下の通りです。
- Amazon Detective
- Amazon GuardDuty
- Amazon EC2
背景
インシデント調査の際にとても便利なAmazon Detectiveについて、実際どのような機能があり、Cloudtrailなどと比べて調査がどれほど捗るか調べていました。
すると、DetectiveでS3とDNSの結果タイプのサポートがされたとの情報を得て、様々な情報がDetectiveで見れそうだったのでテストで検知させようと思い手段を調べました。
どうやるか?
EC2インスタンス内で行います。
CryptoCurrency:EC2/BitcoinTool.B!DNSを検知させるためには以下のコマンドを打ちます。
$ curl -s http://pool.minergate.com/dkjdjkjdlsajdkljalsskajdksakjdksajkllalkdjsalkjdsalkjdlkasj > /dev/null &
Backdoor:EC2/C&CActivity.B!DNS を検知させるためには以下のコマンドを打ちます。
$ dig GuardDutyC2ActivityB.com any
(上記コマンドはawslabsが公開しているguardduty_tester.shというGuardDutyの検知をテストするスクリプトを参考にしました)
実行後
検知には時間がかかるため30分ほど待ちます。
結果が検出され、Detectiveで調査することができるようになりました。
おわりに
Detectiveで新たに調査可能になったDNSの結果タイプを見るために、GuardDutyでDNSに関する検知をさせてみました。
インシデント調査にとても便利なDetectiveがさらに便利になったので、皆さんもぜひ触ってみてはいかがでしょうか?