構成
こちらの記事は AWS セキュリティサービスを使ってみた シリーズの Part. 2の記事です。
他にも以下のサービスについてまとめております、ぜひご覧ください。
Part.1
AWS WAF
Part.2
Amazon GuardDuty
Part.3
AWS Detective
Part.4
AWS Security Hub
【随時更新】 AWS セキュリティ製品一覧:
https://qiita.com/omiyu/private/830477c436b4000ae680
Amazon GuardDutyとは
Amazon GuardDutyは、セキュリティの観点から脅威リスクを検知するAWSマネージド・サービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィード1および Machine Learning を使用して、AWS 環境内の予期しない潜在的に未許可なアクティビティや悪意のあるアクティビティを識別します。
Amazon GuardDuty Intelligent Threat Detection in the AWS Cloud
要は、何らかの攻撃をAWSアカウントやAWS環境に検知した場合教えてくるサービスですね。
機能としては以下が挙げられます。
- 機械学習による異常検知の仕組み
- 難しい設定は不要。誰でも使えるサービス
- 東京を含む、15のリージョンで使用が可能
- EC2またはIAMにおける脅威を検出
- 安価な料金体系で、30日間の無料体験有
料金も見ていきましょう。
AWS CloudTrail 管理イベント分析 | 料金(100万イベント当たり) |
---|---|
100 万イベント/月 | 4.72USD |
AWS CloudTrail S3 データイベント分析 | 料金(100万イベント当たり) |
---|---|
最初の 5 億イベント/月 | 1.04USD |
次の 45 億イベント/月 | 0.52USD |
50 億を超えるイベント/月 | 0.26USD |
VPC フローログと DNS ログ分析 | 料金(GB当たり) |
---|---|
最初の 500 GB/月 | 1.18USD |
次の 2000 GB/月 | 0.59USD |
次の 7,500 GB/月 | 0.29USD |
10,000 GB/月を超えた場合 | 0.17USD |
開始方法
開始方法は以下の通りになっております。
なんだか簡単そうですね。
ゴール!
今回は、GuardDuty コンソールまたは API を使用したサンプル結果の生成をするところまでやります。
前提条件
- AWSアカウントが必要になります
手順
手順はざっくり以下の3つです。
- AWSアカウントからAmazon GuardDutyを開く
- サンプル結果を表示する
- 結果を評価する
1. AWSアカウントからAmazon GuardDutyを開く
それではAWSアカウントにログインして、Amazon GuardDutyを開いていきましょう。
AWSマネジメントコンソール画面で「Amazon GuardDuty」と検索すると以下の画面が出てきます。
今すぐ始めるをクリック!
サービスのアクセス権限画面になりました。
「GuardDutyを有効化2」して行きましょう。
このような画面が表示されます。
ここまでは難しくありませんね。
2. サンプル結果を表示する
GuardDutyは、開くと同時に結果が表示されます。
今回は何もサービスを利用していないIAMユーザーを利用してのデモになりますので、まだ画面には結果が表示されません。
それでは、サンプル結果を表示していきましょう。
画面左側のナビゲーションペインで [設定] を選択して下さい。
クリックをしたら画面をスクロール。一番下ら辺に「結果のサンプル」といった項目が確認できます。こちらをクリック。
これで完了です。
コンソール画面に戻りましょう。
3. 結果を評価する
不信なアクティビティのサンプルが表示されるようになりました。
左側のアイコン「丸、四角、三角」は重要度を表しているそうです。
丸:L
四角:Medium
三角:High
表示されている結果では重要度の高いものが多く見受けられますので、優先的に対応していく必要がありますね。
さいごに
今回はAmazon GuardDutyの解説及びサンプル結果の表示までを行ってみました。
AWSでのセキュリティ対策に不安がある人にも使えるのは、流石AWSといったところでしょうか。
手間もかからず、安価な料金で使用できるのは嬉しいポイントですね。