はじめに
AWSで、ログやセキュリティ関連のサービスがいっぱいあって、いざというときに何を見たら良いのか?
普段は何を見たら良いのか迷うという声があったので、まとめておこうと思います。
今回ご紹介するサービスは、Trusted Advisor、GuardDuty、Detective、CostExplorer、CloudTrail、Config、SecurityHub、IAM Access Analyzer、Macieです。
各種サービスと確認タイミング
| No | サービス | 概要 | 確認するタイミング | 備考 |
|---|---|---|---|---|
| 1 | Trusted Advisor | コスト、パフォーマンス、セキュリティ、耐障害性、サービスクォータに関して分析を行い、ベストプラクティスに基づいて推奨事項を提案するサービス。 | 定常的に見ることがおすすめ | https://aws.amazon.com/jp/premiumsupport/technology/trusted-advisor/ |
| 2 | GuardDuty | AWS アカウント、インスタンス、コンテナワークロード、ユーザー、ストレージを継続的にモニタリングし、潜在的な脅威を検出することが可能。最近ではEC2のマルウェア検知も可能に。 | 通知を設定しておき検知したタイミングで確認する。 | https://aws.amazon.com/jp/guardduty/ |
| 3 | Detective | セキュリティイベントに対してドリルダウンして調査、分析することが可能。 | 何らかのセキュリティイベントが発生したタイミングで利用する。 | https://aws.amazon.com/jp/detective/ |
| 4 | CostExplorer | AWSの利用料を確認可能。CostAnomalyDetectionを設定しておくことがおすすめ。Budgetとともに利用すると良い。 | 定常的にみることがおすすめ | https://aws.amazon.com/jp/aws-cost-management/aws-cost-explorer/ |
| 5 | CloudTrail | AWS上での操作ログを確認可能。 | インシデント発生時等調査を行う際、もしくは監査目的で利用することがおすすめ | https://aws.amazon.com/jp/cloudtrail/ |
| 6 | Config | リソースの変更履歴をタイムラインで確認可能。また、ルールを設定し、ルールから逸脱した設定がないか確認も可能。 | インシデント発生時等調査を行う際、ルール違反があった場合に確認することがおすすめ | https://aws.amazon.com/jp/config/ |
| 7 | SecurityHub | ベストプラクティスのチェックならびにセキュリティアラートの集約が可能。 | 定常的ならびにインシデント発生時に確認をすることがおすすめ | https://aws.amazon.com/jp/security-hub/ |
| 8 | IAM Access Analyzer | リソースのポリシーをチェックし、意図せぬ公開設定がされていないかなどを確認可能。 | 定常的に見ることをおすすめ | https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/what-is-access-analyzer.html |
| 9 | Macie | S3に保存されている機密データの検知を行うサービス。対象のバケットが公開されていないかなどのチェックを行うことが可能。 | 定常的に見ることをおすすめ | https://aws.amazon.com/jp/macie/ |
まとめ
基本的に上記を有効化することをおすすめします。基本必須のサービスかなと思います。
上記サービスを設定可能なテンプレートもAWSから公開されていますので、以下を利用してみてもよいかと思います。
次回、上記サービスをどのようなフローで確認するか書いて見たいと思います。