AWS関連

【AWS】GuardDuty による脅威検出のすすめ

今回は Amazon GuardDuty について情報を整理してみます。

既にご存知の方も多いと思いますが、GuardDuty は「AWS利用するなら黙って今すぐ有効化すべし」 なサービスだと思っているので有効化がまだの方はとりあえず黙って ◎△×$●&%♪¥#…。

機能概要

Amazon GuardDuty はフルマネージド型の脅威検出サービスで、有効化しておくだけでAWS環境のセキュリティを継続的にチェックしてくれます。

Amazon GuardDuty の監視対象は、AWS CloudTrail、VPC フローログ、および DNS ログにある AWS アカウントおよびワークロードのイベントデータとなっており、継続的な監視および分析します。

<参考>
Amazon GuardDuty の特徴

メリット

フルマネージドサービスなので、セキュリティソフトウェアやインフラストラクチャをデプロイして管理する必要がありません。

AWS アカウントをまとめて関連付けることで、アカウント単位で操作しなくても脅威の検出を集約することも可能です。また、複数のアカウントから大量の AWS データを収集、分析、関連付ける必要もありません。

そのため、迅速な対応や組織のセキュリティの確保、継続的な拡張と革新に専念することができます。

開始方法

マネジメントコンソール画面にてGuardDuty を開き、「今すぐ始める」ボタン、「GuardDuty の有効化」ボタンを順番にクリックする。それだけです。

ただし、有効化の設定は「各リージョン」に対して実施する必要があります

サポート対象の全リージョンで有効化することは、強く推奨されています。そうすることにより、能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティの監視が可能となります。

また、異常を検知した際の通知を行うために、CloudWatch との連携が可能です。(CloudWatch の手順は省略)

料金

Amazon GuardDuty の料金は、「AWS CloudTrail イベント」と「Amazon VPC フローログ」の数、「DNS ログデータ」の量に基づいています。

GuardDuty 分析のためにこれらのログソースを有効にする追加料金はありません。

<参考>
Amazon GuardDuty の料金

なお、
GuardDuty には無料トライアル期間が30日間設けられており、コンソール画面から分析したデータ量や1日の平均費用、トライアル期間の残日数が確認できます。

したがって、コストの試算を行うためには数クリックでGuardDuty を有効化してみた方が早いと(個人的には)思います。

使い方(脅威検知時の超概要のみ)

1. 検知された異常は「結果(Findings)」に表示される

2. 詳細情報を確認するためには「Learn More」をクリックする

※ アクション「調査(Detective)」から原因調査を進めることも可能で、通信元IPアドレス別のAPI コール一覧や、利用されたアクセスキーの確認が出来たりします。

<参考>
Amazon Detective の特徴

まとめ

  • GuardDuty は数クリックで有効化できて、継続的な脅威検出を行ってくれる便利機能
  • AWS 利用者はGuardDuty の有効化はマストと言っても過言ではない
  • 検出した脅威について調査をするには、Detective を活用すると捗りそう

ちなみに、
すべてのリージョンで有効化するのが面倒に感じたので、私はシェルスクリプトとCLI を利用して有効化ツールを作成して利用しました。

有効化用のシェルスクリプトについては別記事にまとめてアップしていきたいと思います。

以上です。最後まで読んでいただきありがとうございました。