4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

ControlTower⑧GuardDutyの有効化

Last updated at Posted at 2022-02-18

ControlTower関連リンクまとめ

・ControlTower①マルチアカウント環境をセットアップする
・ControlTower②環境確認
・ControlTower③SSOの確認・アカウントの追加・削除
・ControlTower④ガードレールの設定
・ControlTower⑤Auditアカウントに作成されるリソースについて
・ControlTower⑥LogArchiveアカウントに作成されるリソースについて
・ControlTower⑦SecurityHubの有効化
・ControlTower⑧GuardDutyの有効化←今ここ
・ControlTower⑨CloudWatchクロスアカウントダッシュボードの設定
・ControlTower⑩LogArchiveアカウント内バケットへのCloudWatchLogs集約

設定する内容の確認

前回の記事では、ControlTower環境でSecurityHubを有効化し、セキュリティチェック結果をAuditアカウントに集約する設定を確認しました。今回は、各アカウントでGuardDutyを有効化し、Auditアカウントに集約する手順を確認します。
image.png

ControlTower環境でのGuardDutyの有効化手順

SecurityHub同様、GuardDutyもOrganizationsと統合されるサービスです。
Organizationsと統合されるサービスについては、ユーザーズガイドをご参照ください。GuardDutyをAuditアカウントに集約する為に、まずは管理(root)アカウントでGuardDutyの有効化を行います。

マスターアカウントでGuardDutyを有効化する

管理(root)アカウントにログインし、Organizationsのサービスページに移動します。
左メニューの「サービス」から、サービス一覧を表示します。
GuardDutyはサービス一覧の一番上に表示されています。
image.png

サービス名のリンクを押下すると、信頼されたアクセスの設定画面に移動できます。
image.png
今回は順を追ってGuardDutyの設定を行う為、「追加のセットアップタスクを実行せずにAmazonGuardDutyの信頼されたアクセスを有効にするオプションを表示します」のチェックボックスにチェックを入れます。
テキストボックスに指定の文字列を入力し、「信頼されたアクセスを有効にする」を押下します。
image.png

上部に「Amazon GuardDuty に対する信頼されたアクセスを正常に有効にしました」と表示されることを確認します。次はGuardDutyのサービスページからサービスの有効化、管理の委任設定を行いましょう。
image.png

マスターアカウントでGuardDutyの有効化・委任設定を行う

GuardDutyのサービスページに移動します。
トップページに表示されている「今すぐ始める」を押下します。
image.png

GuardDutyの設定画面が表示されます。
「委任された管理者」のテキストボックスに、AuditアカウントのアカウントIDを入力し「委任」を押下します。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png
「委任」ボタンを押下ししばらくすると、「Organization の GuardDuty を代行管理するアカウントの権限が付与されました。」と表示されます。「GuardDutyの有効化」ボタンを押下します。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

これで、GuardDutyの有効化が完了しました。
image.png
GuardDutyサービスページの左メニューから、「設定」に移動します。
「委任された管理者」としてAuditアカウントが指定されていることが確認できます。
これで管理(root)アカウント側の作業が完了です。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

AuditアカウントのGuardDuty画面確認

管理(root)アカウントでの作業が完了したら、AuditアカウントにログインしGuardDutyのサービス画面に移動します。
管理アカウントでGuardDutyの委任設定を行ったため、AuditアカウントのGuardDutyは既に有効化されています。
image.png
左メニューから「アカウント」に移動します。
Organizationsに所属するアカウントが一覧表示されていますが、招待を送信していない為まだステータスが「メンバーではありません」となっています。
上部の「このリージョンで Organization の GuardDuty を有効にする」から、「有効化」を押下します。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

確認画面が表示されます。「有効化」を押下すると、組織全体でOrganizationsが有効化されます。
image.png

上部に「アカウントに対してGuardDutyの有効化が正常に行えた」という旨の通知が表示されることを確認します。各アカウントのステータスは「有効化が進行中」となっています。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

ブラウザを更新すると、GuardDutyの有効化が完了しています。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

現在は、Organizations配下のアカウントが全てメンバーアカウントとして設定されています。GuardDutyの関連付けを外したいアカウントがあれば対象アカウントのチェックボックスにチェックを入れ、左上の「Actions」から「アカウントの関連付けを解除する」を押下します。
また、S3保護Kubernetesへの保護もここから有効化できます。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

メンバーアカウントでのGuardDuty画面確認

LogArchiveアカウントにログインし、GuardDutyのトップページを表示します。
先ほど組織全体でGuardDutyの有効化を行ったため、LogArchiveアカウントでもGuardDutyの有効化が完了しています。
image.png

左メニューから「アカウント」に移動します。
LogArchiveアカウントはメンバーアカウントとなるため、Auditアカウントにより管理されていることが確認できます。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

Security HubとGuardDutyの統合について

前回~今回の記事で、SecurityHub・GuardDutyの有効化設定が完了しました。
GuarDutyの検出結果はSecurityHubに送信される為、AuditアカウントのSecurityHubコンソールからGuardDutyの検出結果も確認できるようになっています。

GuardDutyとSecurityHubを両方有効化することで、自動的にサービスの統合が完了します。AuditアカウントのSecurityHubから「統合」を確認すると、GuardDutyの検出結果をSecurityHubで受け入れるよう設定が完了していることが分かります。
image.png

GuardDuty・Config・SecuryHubの連携は、下記の構成図のようなイメージです。
SecurityHubはConfigルールでセキュリティチェックを実施しています。
また、GuardDutyはSecurityHubに検出結果を連携します。
image.png

現在は、SecurityHub・GuardDuty個別に通知を設定していません。
SecurityHubのセキュリティチェックはConfigルールにて実施されるため、Configからの通知によりSecurityHubのルールに違反しているリソースも検出できるようになっています。

しかしGuardDutyの検出結果に対しては通知の設定がされていない為、ControlTower環境にGuardDutyを追加した場合はSecurityHub(GuardDutyと統合)・Configそれぞれに通知を設定する形をご検討ください。

また、GuardDutyのログはデフォルトではS3バケットに出力されません。
GuardDutyのログを出力する場合は、S3バケットを作成した上で結果のエクスポート設定を行う必要があります。

image.png

GuardDutyのログを別アカウントに集約する場合の設定方法についてはこちらをご参照ください。
ここまでお読みくださりありがとうございました。
次回は、CloudWatchのクロスアカウントダッシュボードを用いて各アカウントの監視をAuditアカウントに集約させる手順を確認します。

4
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?