LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@BeautifulShadow

Amazon GuardDutyの使い道

Posted at

AWS認定試験を受験するエンジニアの皆様に役立つAmazon GuardDutyの概要説明と利用例について解説します。

Amazon GuardDutyの概要

Amazon GuardDutyは、AWS環境における脅威検出サービスです。CloudTrailログ、VPCフローログ、DNSログ、S3データイベント、EKS監査ログなどを継続的にモニタリングし、機械学習、脅威インテリジェンス、異常検知を用いて、不正アクセス、マルウェア感染、データ流出などの疑いのあるアクティビティを検出します。サーバーレスで簡単に利用開始でき、セキュリティ運用の負荷を軽減し、AWS環境のセキュリティ状態を可視化します。

Amazon GuardDutyの利用が適しているケース

Amazon GuardDutyは、以下のような状況で特に役立ちます。
• 不正アクセスの検出:
例えば、「通常とは異なる場所からのAPIコール」や「不審なログイン試行」を検出することで、アカウントの乗っ取りや不正アクセスを早期に発見できます。

• マルウェア感染の検出:
例えば、「既知のマルウェア配布サイトへの通信」や「DNSクエリの異常」を検出することで、EC2インスタンスやコンテナがマルウェアに感染している可能性を特定できます。

• データ流出の検出:
例えば、「通常よりも大幅に多いデータ転送量」や「不審なS3バケットへのアクセス」を検出することで、機密データの流出を早期に発見できます。

• 暗号通貨マイニングの検出:
例えば、「高CPU使用率が継続しているEC2インスタンス」や「マイニングプールへの通信」を検出することで、不正な暗号通貨マイニングが行われている可能性を特定できます。

• 異常なネットワークアクティビティの検出:
例えば、「通常とは異なるポートへの通信」や「大量のポートスキャン」を検出することで、ネットワークへの攻撃や不正なアクティビティを早期に発見できます。

• コンプライアンス要件への対応:
多くのセキュリティコンプライアンス要件では、継続的なセキュリティモニタリングと脅威検出が求められます。GuardDutyを使用することで、これらの要件を満たすための証跡を提供できます。

Amazon Inspectorとの違い

Amazon GuardDutyとAmazon InspectorはどちらもAWSのセキュリティサービスですが、目的と対象が異なります。
• Amazon GuardDuty:
AWS環境全体における脅威の検出に焦点を当てています。不正アクセス、マルウェア感染、データ流出などの疑いのあるアクティビティを検出します。

• Amazon Inspector:
EC2インスタンス、コンテナイメージ、Lambda関数内の脆弱性の検出に焦点を当てています。ソフトウェアの脆弱性を特定します。

GuardDutyは「環境全体で何が起こっているか」を監視し、Inspectorは「個々のリソースに脆弱性がないか」をチェックするという役割分担です。

GuardDutyの仕組み

GuardDutyは、以下のデータソースを分析して脅威を検出します。
• CloudTrailログ:
AWS APIの呼び出し履歴を記録するログ。誰が、いつ、何をしたかを把握できます。

• VPCフローログ:
ネットワークインターフェースとの間のIPトラフィックに関する情報を記録するログ。ネットワーク通信の状況を把握できます。

• DNSログ:
DNSクエリに関する情報を記録するログ。ドメイン名解決の状況を把握できます。

• S3データイベント:
S3バケット内のオブジェクトへのアクセス状況を記録するログ。データへのアクセス状況を把握できます。

• EKS監査ログ:
Amazon EKSクラスター内で行われたAPIコールの記録。Kubernetes環境でのアクティビティを把握できます。

これらのログを機械学習、脅威インテリジェンス、異常検知などの技術を用いて分析し、脅威を検出します。検出された脅威は「検出結果」としてGuardDutyコンソールに表示され、詳細な情報や推奨される対応策を確認できます。また、CloudWatch Eventsと連携することで、検出結果に基づいて自動的に対応を行うことも可能です。

まとめ

Amazon GuardDutyは、AWS環境のセキュリティを維持するために不可欠なサービスです。AWS認定試験においても、GuardDutyの基本的な概念、利用シナリオ、Inspectorとの違い、仕組みなどは頻出するため、しっかりと理解しておくことをお勧めします。特に、以下の点を意識して学習すると良いでしょう。
• 検出対象(不正アクセス、マルウェア、データ流出など)
• データソース(CloudTrail、VPCフローログ、DNSログ、S3データイベント、EKS監査ログ)
• Inspectorとの違い
これらの情報を参考に、AWS環境のセキュリティ向上に役立ててください。

END

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?