[時間がない人向け] Amazon GuardDuty 機能概要

高橋和也

2024.06.20

アノテーション、テクニカルサポートチームの高橋です。
Amazon GuardDuty のドキュメント等を読む時間がない人向けに、FAQ形式で概要を記述してみました。

概要

なぜ必要なの?

  • クラウド環境は設定ミスなどでインターネット上に公開されやすく攻撃を受けるため
  • AWSアカウントが攻撃を受けるため

何をしてくれるの?

  • 悪意のあるスキャン、インスタンスへの脅威、AWSアカウントへの脅威を検出

どうやって脅威を検出しているの?

  • ログを継続的に分析し機械学習で検出
    • Behavioral Stateful Findings and Anomaly Detections
  • 設定したシグネチャで検出
    • Signature Based Stateless Findings

どのログを分析するの?

  • CloudTrail 管理イベントログ
  • CloudTrail 管理イベント
  • VPC フローログ
  • DNS クエリログ

各ログは有効化が必要なの?

  • 不要
    • 独立したデータストリームを直接取得して分析するため
    • ただし、検出後に自分でログを調査したい場合は有効化が必要

検出されたらどこでわかるの?

  • マネジメントコンソールで一覧表示される
  • 検出時のアクションを指定できる
    • EventBridge を経由して SNS や Lambda で通知などが可能

検出されたら何をすればいいの?

料金は?

  • CloudTrail 管理イベント(100 万イベントあたり)
  • VPC フローログと DNS クエリログ(GB あたり)
  • 30 日間無料でサービスを試用可能

使用方法は?

  • 有効化するだけ
    • 「GuardDuty」画面から「今すぐ始める」を押下し「GuardDuty の有効化」を押下するだけ

上記ログ以外は検出対象にできないの?

  • 保護プランの利用が可能(追加料金が発生)
    • EKS Protection
      • EKS 監査ログをモニタリング
    • Lambda
      • Lambda ネットワークアクティビティログをモニタリング
    • RDS Protection
      • RDS ログインアクティビティをモニタリング
    • ランタイムモニタリング
      • EC2、EC2 で実行されている EKS、EC2 または Fargate で実行されている ECS が対象
      • セキュリティエージェントを使用し、インスタンス、コンテナ、ポッド、プロセスをモニタリング
    • S3 Protection
      • CloudTrail 管理イベントと CloudTrail S3 データイベントをモニタリング
    • S3 Malware Protection
      • 新しくアップロードされたオブジェクトをスキャンしマルウェアを検出
    • EC2 Malware Protection
      • EBS ボリュームをスキャンしマルウェアを検出

推奨事項は?

  • リージョナルサービスのため、AWS アカウント内の全リージョンで有効化すること

マルチアカウント対応は?

  • 管理アカウントを指定し、他の全メンバーアカウントの検出結果を表示・管理が可能
    • Organizations での管理
      • GuardDuty委任管理アカウントからメンバーアカウントを追加する
      • メンバーアカウントの GuardDuty は自動的に有効化できる
    • Organizations 外での管理
      • 管理アカウントからメンバーアカウントを招待する

さいごに

詳細を知りたい項目は適宜参考資料を確認いただければと思います。

参考資料

よくある質問
20180509_AWS-BlackBelt_Amazon-GuardDuty.pdf
Amazon とは GuardDuty
検出結果タイプ
GuardDuty Malware Protection for S3
Amazon での複数のアカウントの管理 GuardDuty
【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた
【初心者向け】AWSの脅威検知サービスAmazon GuardDutyのよく分かる解説と情報まとめ
Amazon GuardDutyを導入する前に知っておきたいこと
[アップデート] Amazon GuardDuty で S3 への不審なアクティビティを脅威検出できるようになりました!
Amazon GuardDutyの保護プランについてざっくり絵で起こしてみた
Amazon GuardDutyによる疑わしいネットワーク通信の検知と初動対応の振り返り
GuardDutyで招待による複数アカウント管理した場合にできることを調べてみた
AWS再入門ブログリレー2022 Amazon GuardDuty 編
AWS入門ブログリレー2024〜Amazon GuardDuty編〜

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。
サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。

AWS

関連記事

Amazon Athena で Amazon S3 のサーバーアクセスログをクエリしてみた

m.hayakawa

2024.07.01

[小ネタ] AWS Batch のコンピューティング環境で使用される AMI ID を確認する方法

hato

2024.07.01

Amazon RDS プレビュー環境で PostgreSQL 17 Beta 2 が使えるようになっていたので修正された ON EMPTY 句デフォルト動作を確認してみた

いわさ

2024.07.01

(小ネタ) Red Hat Linux9でセカンダリプライベートIPアドレスやネットワークインターフェースを追加した際にOS側で設定が必要か試してみた

inomaso

2024.06.30