概要

Guard Dutyなどの脅威検出サービスでEC2が怪しい通信をしてるのを検知したときにやるべき行動をまとめてみた。

状態を保全する

調査やテストを行うなかでプロセス終了、ファイル作成削除などを実施する場合が出てくる。フォレンジック（今回は証拠保全という意味で利用）の観点で、EBSスナップショットを取得しておくのが有効。後でCSIRTに渡してそのまま調査も可能。

通信を遮断する

外部との通信を遮断する。セキュリティグループを外す、もしくは別のセキュリティグループに付け替えることで通信を遮断する。

調査する

調査方法は様々だが例として以下のようなことが考えられる

• OS
  • システムログに変なメッセージはないか or 削除された形跡がないか
  • last , lastlog で不審なログインがないか
  • ps , top で不審なプロセスが起動していないか
  • コマンドログに不審なコマンドはないか or 削除されたような形跡がないか
• AWS
  • Guard Dutyの詳細から宛先サーバを確認する
  • 対象インスタンスの起動履歴などを確認する

まとめ

一番ベストなのは 状態を保全する → 通信を遮断する → 調査する だと思う。ただし、本番稼働していたり、明らかにヤバそうな通信をしてたりとこの通りにいかない場合も多々あるので実際の順序はケースバイケース。