こんにちは、小寺です。
Amazon GuardDutyでAmazon EKSの脅威検出を強化する新しい機械学習機能が開始されました。
https://aws.amazon.com/about-aws/whats-new/2023/11/amazon-guardduty-machine-learning-capability-threat-detection-eks-detections/

GuardDutyで対応できることを振り返る

GuardDutyを使っている方は多いかと思いますが、保護プランについて活用されている方はまだ少ないかもしれないですよね。
GuardDutyの保護プラン(〇〇Protection)機能は追加料金を支払うことにより、GuardDutyの監視対象とするサービスの範囲を追加してくれます。

GuardDutyを有効にしていない場合は、まず有効にしてみましょう。

2023年11月現在でサポートされている保護プランは以下の通りです。

・GuardDuty S3 Protection
・GuardDuty EKS Protection
・GuardDuty Malware Protection
・GuardDuty RDS Protection
・GuardDuty Lambda Protection

アップデート内容

Amazon GuardDutyで、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターに対する異常なアクティビティをより正確に検出するための新しい機械学習技術が追加されました。
Amazon EKS からの Kubernetes 監査ログイベントを継続的にモデル化し、権限の昇格に使用される Kubernetes シークレットへの異常なユーザー アクセスや、クラスターやアカウントで一般的に使用されていないイメージを使用した不審なコンテナのデプロイを検出することができます。
利用する前提条件としては、GuardDuty EKS 監査ログ監視を有効にする必要があります。

本アップデートによる機能は、ポッドまたはコンテナーの構成、ASN、ユーザー エージェントなどの機能に基づいて、動作するようになっています。

EKS Protectionの例を振り返る

GuardDuty の結果 Impact:Kubernetes/SuccessfulAnonymousAccess では、Kubernetes ユーザーの詳細とアクション セクションが表示され、system:anonymous ユーザー名によって ClusterRoleBinding を作成するための Kubernetes API 呼び出しが成功しています。リソースを改ざんする API 書き込み操作が system:anonymous ユーザーによって正常に呼び出されたことを示します。

Figure 4 Example GuardDuty finding for Kubernetes successful credential change by anonymous user
https://aws.amazon.com/jp/blogs/security/how-to-detect-security-issues-in-amazon-eks-clusters-using-amazon-guardduty-part-1/より引用

最後の一例です。悪意のある攻撃者がクラスターへのアクセスを使用して、不正な暗号通貨マイニングを実行します。 GuardDuty は、EKS クラスターのホストに使用される EC2 インスタンスからの DNS リクエストを監視します。GuardDuty は暗号通貨マイニング プールに関連付けられたドメイン名に対して行われた DNS リクエストを識別し、その結果、CryptoCurrency:EC2/BitcoinTool.B!DNSを生成することができます。

Figure 5: Example GuardDuty finding for EC2 instance querying bitcoin domain name
https://aws.amazon.com/jp/blogs/security/how-to-detect-security-issues-in-amazon-eks-clusters-using-amazon-guardduty-part-1/より引用

まとめ

検出、認証情報へのアクセス、権限昇格、実行などの既知の攻撃戦術に関連する Amazon EKS クラスター内の異常なアクティビティをより正確に識別できるようになりました。
EKSを利用されている方は、ぜひ活用してみてはいかがでしょうか。