Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 9

Japan AWS Jr. Champions Advent Calendar 2025

@kyonosukeinJapan AWS Jr. Champions

【地味に嬉しい】GuardDutyにSuppression rules機能が登場したので触ってみる

Last updated at Posted at 2025-12-08

はじめに

GuardDutyをパトロールしていたら見慣れないSuppression rulesというタブを見つけたので試してみることにしました。

リリースノートには明確にこの機能追加についての目次がないのですが、更新履歴を見ると2025/12/3にSuppression rulesに関する項目の追加があったようです。re:Inventでは発表があったんでしょうか?

image.png

この記事は、Japan AWS Jr. Champions Advent Calendar 2025 の記事です。
たくさんの Japan AWS Jr. Champions 2025 メンバーが記事を投稿していきますので、ぜひ他の日や他のシリーズで投稿された記事もチェックいただけますと幸いです!

目次

いきなりまとめ

待望のコンソールからSuppression rules(抑制ルール)を一括管理できる機能がついに登場!GuardDuty運用者的には地味に便利なので活用しよう。

Suppression rules(抑制ルール)とは

以前に似たような記事を書いているのですが、抑制ルールとはフィルタ条件に一致する新規検出のインシデントのステータスを「アーカイブ済み」に設定する機能です。フィルタ条件に引っかかるインシデントは発生した段階でアーカイブ=つまり発報・通知されなくされます。

適切に抑制ルールを作成することでFalse Positiveを検知除外することができ、無駄な工数の削減につながります。見なくてよいアラートを見なくてよくなるのは健全な組織です。

これまでの抑制ルール作成方法

これも以前に解説していますが、これまでは検出結果の画面で適切にフィルターをかける必要がありました。

旧抑制ルール作成.avif

画像を見て分かる通り、言葉を選ばずに言うとめちゃくちゃ使いにくい機能でした。以前も以下のようなクレーム文を記述しています。

あとは抑制ルールって、どんな条件でフィルタをしているかというのを一括で確認することができないんですよね。マネジメントコンソール上にそのようなボタンが見当たりません。例えばこんな感じで2つ以上の抑制ルールを設定していた場合、どれがどんなルールだっけ、、?となります。必然的にルール詳細の管理台帳的なシートが必要になり、管理の手間が増えます。

ここで挙げていた課題を完璧に解決したのが、今回のテーマであるSuppression rules機能です。

やってみる

では本題に入りましょう。実際にコンソールでSuppression rules機能を試してみます。

GuardDutyコンソールに入ると、Suppression rulesが追加されています。

image.png

そうしたら抑制ルールを作成をクリックします。日本語なのか英語なのかはっきりしろ、とは思いますが。

image.png

すると以下のように作成画面になります。
いいですね、、!私が求めていた画面です。統一的にルールが作成できるようになって幸せです。

image.png

今回は以下のパラメータを設定します。criteriaを追加を押すと条件句を増やす事ができます。すばらしい。

## 特定インスタンスIDからのBruteforceを抑制するルール
- 名前: `Suppression-for-Bruteforce`
- 説明: `Suppress findings for instance ID i-0af01c0123456789a among SSH brute force detection types`
- Rank: `1`
- criteria1
    - Key: `検出結果タイプ`
    - Operator: `Equals`
    - Value: `UnauthorizedAccess:EC2/SSHBruteForce`
- criteria2
    - Key: `インスタンスID`
    - Operator: `Equals`
    - Value: `i-0af01c0123456789a`

作成されたルールがこちらです。

image.png

抑制ルールが見られるの気持ちいい ^^
逆に今までこの機能がなかったことに驚きですが、ついにユーザーの声が届いたのでしょうか。

せっかくなのでもうひとつ作ります。この機能の追加とほぼ同タイミングでcriteriaにワイルドカードを指定できるようになったらしいので、それも試します。

image.png

## すべてのS3バケットのブロックパブリックアクセス無効化通知を抑制するルール
- 名前: `Suppression-for-S3`
- 説明: `Suppress Policy:S3/AccountBlockPublicAccessDisabled for all S3 buckets`
- Rank: `2`
- criteria1
    - Key: `検出結果タイプ`
    - Operator: `Equals`
    - Value: `Policy:S3/AccountBlockPublicAccessDisabled`
- criteria2
    - Key: `バケット名`
    - Operator: `Equals`
    - Value: `*`

複数見られるの最高。いままでは管理台帳するしかなかったですからね。地味ながら革命です。

image.png

最後に

ここまでGuardDutyの新機能であるSuppression rules機能について紹介しました。
GuardDutyを運用するすべての組織は間違いなく使うべき機能なので、ぜひ試してみてください。運用がちょっぴり楽になると思います。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?