GuardDutyの抑制ルールを作る

Security Hubになりたい山本拓海です。
GuardDutyの抑制ルールを作ります。

GuardDutyの抑制ルールを作る理由

以下のようなケースで検出の抑制が有効です。

抑制することで結果的にEventBridge経由での通知をしないよう設定が可能です。
なお、GuardDutyの検出結果をEventBridge経由で通知する方法は、以下のブログに詳しく記載があります。ご参照ください。

抑制ルールに該当にする検出結果は、検出され次第自動的にアーカイブされます。アーカイブされた検出結果はGuardDutyの検出結果一覧の画面のステータス「アーカイブ済み」の検出結果一覧に表示されます。

また、上述の通りEventBridge経由で通知されません。EC2マルウェアスキャンを有効にしている場合、アーカイブ済みの検出をトリガーにスキャンは開始しません。

抑制ルールの作成をマネジメントコンソールで行う場合、手順は以下の通りとなります。

このブログでは実際に抑制されていることも確認したいので、最初にサンプル脅威を検出します。
後に抑制ルールを設定後、サンプル脅威も検出されないことを確認します。
また、抑制ルールの削除も併せてご紹介いたします。

※ 抑制ルールの作成を進めたい場合、スキップしてください。

GuardDutyのサンプルの脅威は以下のコマンドで検出できます。

$ aws guardduty create-sample-findings --detector-id ${DETECTOR_ID} --finding-types ${FINDING_TYPE}

オプション detector-id はGuardDutyの設定画面から取得可能です。または以下のコマンドでも取得可能です。
listコマンドなので複数のdetector IDが取得されるはずですが、複数detectorを設定するケースが現状思いつかないので要件は満たせるかと思います。

$ aws guardduty list-detectors

オプション finding-types は以下のページからサンプルで検出したいものを選んでオプションとして渡してください。
例）Discovery:S3/AnomalousBehavior など

現在検出されている脅威は以下の画像の通りです。一番上の脅威がサンプル脅威となります。

サンプル脅威の詳細内容です。長いですが以下の通りとなります。

このサンプル脅威の検出を抑制したい検出に見立てて、プロパティをピックアップしフィルターを作成します。

検出結果一覧の画面でフィルターを作成します。

選択できるフィルターは多数あり、複数のフィルターを組み合わせて利用する事が可能です。複数のフィルターはAND評価されます。詳しいフィルターの内容は以下のリンクを参考にしてください。

これはフィルター適用後の状態です。ここではAMIのIDとVPC IDでフィルターしています。
この状態で右上の「抑制ルールを作成」をクリックします。

ダイアログが表示されるので、入力後に「作成」をクリックします。抑制ルールが作成できました。

このままだと、抑制したい脅威（サンプル脅威）が検出され続けるためアーカイブします。

再度サンプル脅威を検出すると、最初からアーカイブ済みとして検出されます。

「保存済みのルール」から削除したい抑制ルールを選択している状態で、「フィルターをクリア」の右矢印から「現在のフィルターを削除」を選択します。

削除ダイアログの「削除」をクリックします。

以上で削除完了です。

GuardDutyの抑制ルールの作成手順をご紹介しました。
注意点として、フィルターに設定する条件次第で対象となる脅威がもっと幅広くなり意図しない脅威まで抑制されてしまいます。意図しない脅威がフィルターされないようにご注意ください。

公式の紹介ページにもユースケースがありますので、より詳しく確認したい場合以下のページをご参照ください。

この記事がお役に立てれば幸いです。

サーバーワークスはセキュリティ運用を24時間365日自動化するサービスを提供しています。