1.IAMユーザーを作成してMFAを設定
rootユーザーは使わない。
MFAはauthorizaerなどを使えばOK。
2.AWS CloudTrailを有効化
APIアクセスに餡するログサービス。
CloudTrailから「証跡の作成」ボタンを作成後、それを保存するS3バケットを作成。
AWS Configを有効化
リソースの変更履歴を管理するサービス。
デフォルトで良いなら、1-Clickセットアップを、細かく設定したいなら今すぐ始めるをクリック。
Amazon GuardDutyを有効化
AWS上の様々な脅威を検知するサービス。(アクセスキーの漏洩事故、コインマイニングの検知、など)
「今すぐはじめる」→「GuardDutyを有効にする」をクリック。
さらにAmazon SNSによる通知も有効化させておきます。
SNSのページを開いて「トピックの作成」をクリック。
guard-duty-email-topicという名でスタンダードタイプ、他デフォルトで作成。
サブスクリプションではプロトコルをEmail、エンドポイントにメアドを指定。
プロトコルをEmailにした場合、受信許可のメールが該当アドレスに届きます。
この時gmail指定した場合、迷惑メールに入っているので注意。
続いてAmazon EventBridgeの設定。
ルールタイプはイベントパターンを持つルール、イベントソースはAWSイベントを選択、作成メソッドはパターンフォームを使用、イベントパターンとしてAWSのサービス、GuardDuty、GuardDuty Findingを指定、必要に応じて、パターンの編集で詳細を編集していきます。
このままだと全部通知きてうるさいので、一旦下記のように設定。
{
"source": ["aws.guardduty"],
"detail-type": ["GuardDuty Finding"],
"detail": {
"severity": [{
"numeric": [">=", 4]
}]
}
}
あとはGuard Dutyの設定で「検出結果サンプルの生成」をクリックして、実際にメールが来ればOK。