【アップデート】Amazon GuardDuty がEC2やECSのマルウェア検知時のスキャンに対応しました

Re:inforce by AWSで発表されたAmazon GuardDuty Malware Protectionによるマルウェア検知機能が利用できるようになりました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/07/malware-protection-feature-amazon-guardduty/

Amazon GuardDutyとは

Amazon GuardDutyは、継続的にお客様のAWSアカウントとワークロードをモニタリングし、悪意のあるアクティビティを検出する、脅威検出サービスです。
セキュリティの可視化と修復に必要な詳細な情報からセキュリティの調査結果を提供してくれます。これには、漏洩した認証情報の使用、簡素化したフォレンジック、AWSの環境で見られるすべてのセキュリティイベントに対する、継続的な監視が含まれます
GuardDuty は、機械学習 (ML)、異常検知、統合された脅威インテリジェンスなどの複数の技術を使用して侵害の指標を特定し、潜在的な脅威を特定して、脅威の優先順位を付けることができます。
分析できるイベントとしては、AWS CloudTrail イベントログ、Amazon Virtual Private Cloud (VPC) フローログ、DNS クエリログなど、複数の AWS データソース全体で何百億件ものイベントを分析することができます。

Amazon GuardDuty Malware Protectionとは

フルマネージド型のマルウェア検知サービスで、エージェントレスでスキャンを行い、マルウェアによる疑わしい活動が発生した際に特定することが可能です。
GuardDutyの既存の知見に基づき悪意のある動作をするEBSボリュームがアタッチされたEC2インスタンスをスキャンし、EC2とEC2上で動作するコンテナECS、EKSで検出されたマルウェアを報告します。
このときは即座にマルウェアの挙動を停止するものではありません。

脅威が検出されると、GuardDuty Malware Protection はセキュリティに関する検出結果を AWS Security Hub、Amazon EventBridge、Amazon Detective に自動で送信します。

本アップデートでのうれしいこと

EC2やECSなどのコンテナでマルウェア感染の挙動が検知されると、GuardDutyがマルウェアスキャンを実施できるようになりました。
実際にマルウェアのリソースのセキュリティ侵害、アクセス許可の変更、データの不正引き出しに使用されたファイルを検知する機能に対応しました！
なんと、マルウェア自体を検出するためだけにスキャンを行うため、不要なコストはかからず、コスト最適化な運用が簡単に行えるようになりました。

Amazon GuardDuty Malware Protectionを有効にするには

既にGuardDutyを利用されている場合、GuardDutyコンソールまたは GuardDuty API を使用して有効化できます。

(1)GuardDutyコンソールへアクセスすると、無料利用の案内が確認できます。
「30日間の無料トライアルを開始」をクリックします。

(2)GuardDuty→設定から「Malware Protection」画面へ遷移します。
「このアカウントでは Malware Protection が有効になっていません」メッセージの横の「有効にする」をクリックします。

(3)確認メッセージが表示されます。詳細情報を確認して「有効にする Malware Protection」をクリックします。

(4) 「アカウントでMalware Protectionが有効になりました」メッセージが表示されます。

追加されたFindings

下記が追加になっています。詳細はこちら。

Execution:EC2/MaliciousFile
Execution:ECS/MaliciousFile
Execution:Kubernetes/MaliciousFile
Execution:Container/MaliciousFile
Execution:EC2/SuspiciousFile
Execution:ECS/SuspiciousFile
Execution:Kubernetes/SuspiciousFile
Execution:Container/SuspiciousFile

対応リージョン

GuardDuty Malware Protection は、AWS GovCloud (米国)、Sinnet が運営する AWS 中国 (北京) リージョン、NWCD が運営する AWS 中国 (寧夏) リージョンを除く、GuardDuty が利用可能なすべての AWS リージョンで利用ができます。

料金

GuardDuty マルウェア保護機能を有効化した場合、マルウェアを示す動作が検出された Amazon Elastic Compute Cloud (EC2) インスタンスまたはコンテナのワークロードには、
マルウェアの可能性がないかスキャンされた、接続された Amazon Elastic Block Store (EBS) ボリュームのレプリカが含まれます。

Malware Protection の料金は、毎月スキャンされた EBS データの合計 GB 量と比例配分された量に基づき、課金されます。なお、1 TB (1,024 GB) を超えるEBS ボリュームはスキャンされない、とのことです。

東京リージョンでは2022年7月のリリース時の料金では、スキャンしたEBSボリューム1GBあたり$0.05です。正式な料金はこちらからご確認ください。なお、有効化後30日間の無料利用枠があります。

まとめ

Amazon GuardDuty Malware Protectionでマルウェアスキャンに対応
Amazon GuardDuty Malware Protection の利用には有効化が必要
※新規で使うときはデフォルトで有効化がされている
ほぼ全リージョン対応で、かかる料金はEBSのスキャン料金だけ