冬休みの自由研究的な
そんなノリでやってみました。
結果は正直微妙でしたが、個人的にGuardDuty使ったのは初めてだったので、いい勉強になりました。
長くなりそうなのでいくつかの記事に分けて掲載しようかと思いますが、最終的にはこれ↓がたくさん出たよって話です。
よろしければお付き合いください。
AWSでハニーポット用インスタンスを準備する
まずはT-Potを動かすためのインスタンスを作成します。
無料枠にも収まらないので、コストも意識しながら進めていきます。
慣れている方なら、記事は読まずに以下のスペック以上のEC2インスタンスを作成してください。
セキュリティグループでは、現時点では自身のIPのSSH接続(22/TCP)のみ許可します。
- Ubuntu 18.04 LTS x86-64
- t2.large
- 120GB SSD
AWSでハニーポット(T-Pot)用インスタンスを準備する
https://qiita.com/yifey/items/f91d1a02714ba7a563ba
T-potのセットアップ
EC2にハニーポットのT-pot 18.11をインストール
https://qiita.com/yifey/items/757715169b800fce3656
本家T-potのページはこちら。
T-Pot 18.11
https://github.com/dtag-dev-sec/tpotce
GuardDutyのセットアップ
GuaradDutyのセットアップは驚くほど簡単でした。
しかもトライアルで無料でしたし。AWS先生ありがとうございます!
数年前にクラウド上で初めてEC2インスタンス建てたときの手軽さと同じかそれ以上の感動です笑
サンプルログの出力や、CloudWatchとの連携などを確認してみました。
GuardDutyの有効化
https://qiita.com/yifey/items/e260ee318a5cd8f566ce
ロ、ログがでた!が、、
TBH
まとめ
GuardDutyを使い始めるまでの簡単さには驚きました。
IDSとして、ネットワークベースで不審な動作を検出できるのは良いですね。
ただ、ハニーポット上の出力と比べると、情報量がかなり違うので、
これだけに頼るのはちょっと難しいのかなという印象もありました。(もともとそういう意図で設計されてはいないと思いますが。)
GuardDutyのFindingsベースでLambdaの関数を動作させることもできるので、近未来的にはIRの自動化とかもできるのかな。