はじめに
こちらの記事はGuardDutyがどんなサービスか理解するための議事メモです。
有効化とS3への転送までを行ってます。
設定
まずはGuardDutyを有効化します。
S3バケットを適当な名前でデフォルトのまま作成します。
S3への転送設定にKMSキーが必要なため作成します。
「キーのアクセス許可を定義」、「キーの使用法アクセス許可を定義」、「キーポリシーを編集」は設定せずに作成まで進みます。
作成後、キーポリシータブから、キーポリシーを編集します。
下記の設定をポリシーに追記で設定します。
「KMS key ARN」はそのまま、「SourceDetectorID」はGuardDutyの画面左側の「設定」を選択すると、ディテクターIDというのがあるため、それをコピーして設定します。
アカウントIDは適宜環境に合わせて置き換えます。
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
同じくGuardDutyの画面左側の「設定」を選択すると、以下の画面があるため、ここからS3への転送設定を行います。
上記のように値を入れた後、下記ポリシーを表示部分を選択すると、バケットポリシーとKMSキーのポリシーを表示できます。
KMSキーのポリシーは先ほど手動で設定したため、バケットポリシーをコピーして、対象のS3バケットに設定します。
ログに出す頻度を15分に変更します。(多分これはやらなくてもいいかもです)
変更後、そのままの画面で検出結果のサンプルを生成を押すと、色んな検出結果をサンプルで出してくれます。
少し待てば検出結果がS3へ出力されます。
以上で、基本的な設定は完了です。