はじめに
- Amazon GuardDutyの新機能として
Amazon GuardDuty Malware Protection for Amazon S3が発表され、Amazon S3に対するマルウェアスキャン・隔離をマネージドサービスのみで実装できるようになりました! - 本記事では、新機能を試してみた結果を取り急ぎシェアします。
有効化手順
- AWSコンソールにログインし、Amazon GuardDutyのサービス画面にアクセスします。
- 保護プラン配下に
S3のMalware Protectionが新規追加されているので、アクセスしてみます。
-
有効にするボタンを押下します。
- 有効化画面に遷移するので、ナビゲーションに従い、必要な情報を入力します。
- アクセス許可設定に注意が必要です。
アクセス許可を表示を押下した際に表示されるポリシー・信頼関係が設定されたIAMロールを指定する必要があります。(本検証では新規IAMロールを作成しました。)
- アクセス許可設定に注意が必要です。
- 設定を有効化したところ、
保護されたバケットセクションに保護対象S3バケット情報が表示されました。
動作検証
- eicarファイルをダウンロードして、Amazon S3バケットにアップロードしてみます。
# eicarファイルを取得
wget https://secure.eicar.org/eicar_com.zip
# S3アップロード
aws s3 cp eicar_com.zip s3://バケット名/eicar_com.zip
- Amazon S3のサービス画面から当該オブジェクトのタグ情報を確認するとキー
GuardDutyMalwareScanStatusに値THREATS_FOUNDが付与されていました。
- AWSコンソールの
S3のMalware Protection画面に戻り、保護されたバケットセクションから対象バケットの詳細画面にアクセスすると、メトリクス情報として完了したスキャン情報が表示されていることが分かります。
- 同詳細画面からリンク
検出結果を表示を押下すると、GuardDutyの検出結果画面に遷移し、重要度及び検出結果タイプが表示されます。
まとめ
-
Amazon GuardDuty Malware Protection for Amazon S3について、AWSコンソールから簡単に設定有効化できました。 - 公式ドキュメントを見る限り、自動タグ付けとバケットポリシー設定を組み合わせた隔離も実装できそうなので、夢が広がりますね!
注意事項
- 本記事は万全を期して作成していますが、お気づきの点がありましたら、ご連絡よろしくお願いします。
- なお、本記事の内容を利用した影響について、筆者は一切の責任を負いませんので、予めご了承ください。