GuardDutyに信頼されたIPアドレス一覧を追加する

Last updated at 2024-03-01Posted at 2023-10-25

はじめに

ある日、Slackに以下のような通知が来ました。
※GuardDuty、SecurityHub、Config、CloudWatch、CloudTrailなどで、セキュリティや運用上注意が必要そうなイベントが発生した場合、Slackに通知する運用にしています。

AWS上で運用しているEC2インスタンスに対して、外部からポートスキャンがあったようです。

GuardDutyで検知された内容を確認すると、Censysからのポートスキャンのようです。

Censysは、ミシガン大学の研究者らが公開しているサービスで、インターネットに接続している機器の情報を収集し、その情報を検索できるようにしています。

悪意がある攻撃者にとっては、攻撃が可能そうなサイトをチェックする手段にもなりえますが、システム運用する側にとっても、意図しないセキュリティリスクが無いかチェックする用途でも使えるサービスです。

今回、GuardDutyにより検知されたEC2インスタンスでインターネット公開しているポートは意図したもので、IDS/IPS対策もされているため問題はないのですが、そのままにしておくとGuardDutyからの通知がずっと続いてしまいノイズになるため、GuardDutyにCensysのIPアドレスを信頼されたIPアドレスとして登録する事にしました。

GuardDutyに信頼されたIPアドレス一覧を追加する

GuardDutyに信頼されたIPアドレス一覧を追加するまでの流れは以下となります。

信頼されたIPアドレス一覧を格納するS3バケットを作成する
信頼できるIPアドレスの一覧を記載したテキストファイルを作成し、作成したS3バケットにアップロード
GuardDutyの「設定」⇒「リスト管理」で「信頼されているIPリスト」を追加
追加したリストのActivate

信頼されたIPアドレス一覧情報を格納するS3バケットを作成

GuardDutyのサービス内で、信頼されたIPアドレス一覧の情報を設定情報として保持してくれるとよいのですが、信頼されたIPアドレス一覧を保管するS3バケットを別途用意し、そのバケットに信頼されたIPアドレス一覧の情報をアップロードする必要があります。

S3バケットを作成後、セキュリティ的に設定が必要な以下のような設定をしておきます(Security Hubでチェックされるような設定)。

必要に応じて、S3バケット暗号化の為のCMKを作成(GuardDutyが復号できるようキーポリシーを設定)し、サーバーサイド暗号化設定 ※キーポリシーの設定内容注意
必要に応じて、S3バケットに対するサーバーアクセスログの設定
パブリックアクセスをブロック
必要に応じて、バケットポリシーでHTTPS通信のみを許可

など

信頼できるIPアドレスの一覧を記載したテキストファイルを作成し、作成したS3バケットにアップロード

GuardDutyでは信頼できるIPアドレス一覧のフォーマットとして、「プレーンテキスト」、「各種CSV」、「STIX」といったものが使えますが、今回は「プレーンテキスト」で一覧を作成します。

どのIPアドレスからCensysがスキャンしているかは、以下で確認が可能です。

この情報を基に、以下のような信頼できるIPアドレス一覧を記載したテキストファイルを作成し、作成したS3バケットにファイルをアップロードします。

今回はファイル名を「trusted_ipaddress_list.txt」としました。

GuardDutyの「設定」⇒「リスト管理」で「信頼されているIPリスト」を追加

GuardDutyの「設定」⇒「リスト管理」の「信頼されているIPリスト」で、「信頼されているIPリストの追加」をクリックします。

デフォルトでは、追加できる「信頼されているIPリスト」は1つのみで、「脅威IPリスト」は最大6つまでです。

追加ダイアログでは、以下のような情報を入力します。

項目名	入力値
リスト名	信頼されているIPリスト一覧に表示されるリスト名を入力
場所	信頼されているIPアドレス一覧を保管したS3バケットのオブジェクト名のURLを入力
形式	信頼されているIPアドレス一覧のフォーマット(今回はプレーンテキスト)を選択