Amazon GuardDutyとは
AWS アカウント・ワークロード・データを脅威から保護するサービス。
GuardDutyで出来ること
1.GuardDuty S3 Protection
1 日あたり 1 兆件を超えるS3イベントを分析できる。
S3 のデータアクセスイベントと S3 設定を継続的にモニタリングおよびプロファイリングして、異常な場所からのリクエスト、S3 パブリックアクセスブロックなどの予防的制御の無効化、疑わしいアクティビティを検出する。
2.GuardDuty EKS Protection
EKS 監査ログを分析することで、EKSクラスターのコントロールプレーンのアクティビティをモニタリングする。
3.GuardDuty Runtime Monitoring
ホスト上のオペレーティングシステムレベルのアクティビティを可視化し、実行時の脅威を検出することで、EKS クラスター、ECS ワークロード、EC2 インスタンスを簡単に保護できる。
4.GuardDuty Malware Protection for Amazon EC2
EC2 インスタンスまたはEC2 で実行されているコンテナワークロードのいずれかが疑わしい動作をしていることを検出すると、EC2 インスタンスにアタッチされている EBS ボリュームをスキャンしてマルウェアがないかを確認する。
5.GuardDuty Malware Protection for Amazon S3
スケーラブルなフルマネージド統合マルウェアスキャンにより、S3 バケットへの潜在的に有害なアップロードを検出する。
6.GuardDuty RDS Protection
カスタマイズされた ML モデルと、統合された脅威インテリジェンスを使用して、重大度の高いブルートフォース攻撃、疑わしいログイン、既知の脅威アクターによるアクセスなど、RDSの潜在的な脅威を検出できる。
GuardDuty の脅威インテリジェンスとは?
AWSとサードパーティプロバイダによって提供される、攻撃者が使用することがわかっている IP アドレスとドメイン。
脅威インテリジェンスフィードは、事前に統合されており、追加費用なしで GuardDuty で継続的に更新される。
7.GuardDuty Lambda Protection
悪意を持って転用されたLambda 関数や、既知の脅威アクターサーバーと通信している侵害された Lambda 関数などの脅威を検出する。
料金
GuardDuty の料金は、サービスログ、イベント、ワークロード、分析されたデータの量に基づく。
料金プランは以下の2パターンがある。
- 基本価格
- GuardDuty 保護プラン
基本価格
| 料金 | 単位 | 補足 | |
|---|---|---|---|
| AWS CloudTrail 管理イベント分析 | 4.72USD/100 万イベント | 100 万イベント/月あたり | 東京リージョンの場合 |
| VPC フローログと DNS クエリログの分析 | 1.18USD/GB 0.59USD/GB 0.29USD/GB 0.17USD/GB |
最初の 500 GB/月 次の 2,000 GB/月 次の 7,500 GB/月 10,000 GB/月を超えた場合 |
東京リージョンの場合 |
GuardDuty 保護プラン
| 料金 | 単位 | 補足 | |
|---|---|---|---|
| CloudTrail・S3 データイベント分析 | 1.04USD/100万イベント 0.52USD/100万イベント 0.26USD/100万イベント |
最初の 5 億件のイベント/月 次の 45 億イベント/月 50 億を超えるイベント/月 |
東京リージョンの場合 |
| EKS 監査ログ | 2.48USD/100万イベント 1.24USD/100万イベント 0.31USD/100万イベント |
最初の 1 億件のイベント/月 次の 1 億イベント/月 2 億を超えるイベント/月 |
東京リージョンの場合 |
| EKS ランタイムモニタリング | 2.00USD/vCPU 1.00USDvCPU 0.33USDvCPU |
最初の 500 個の vCPU /月 次の 4,500 個の vCPU /月 5,000 個以上の vCPU /月 |
- |
| ECS ランタイムモニタリング | 2.00USD/vCPU 1.00USDvCPU 0.33USDvCPU |
最初の 500 個の vCPU /月 次の 4,500 個の vCPU /月 5,000 個以上の vCPU /月 |
- |
| EC2 ランタイムモニタリング | 2.00USD/vCPU 1.00USDvCPU 0.33USDvCPU |
最初の 500 個の vCPU /月 次の 4,500 個の vCPU /月 5,000 個以上の vCPU /月 |
- |
| データボリュームスキャン分析 | 0.05USD/GB | GB /月 | 東京リージョンの場合 |
| S3 オブジェクトスキャン分析 | 0.79USD/GB 0.282USD/1,000 個のオブジェクト |
GB /月 評価されるオブジェクト数/月 |
東京リージョンの場合 |
| RDS イベント分析 | 1.33USD/vCPU 0.33USD/ACU |
vCPU /月 (プロビジョンド RDS インスタンスの場合) ACU /月 (Aurora サーバーレス v2 インスタンスの場合) |
東京リージョンの場合 |
| ネットワークアクティビティログ分析 | 1.18USD/GB 0.59USD/GB 0.29USD/GB 0.17USD/GB |
最初の 500 GB/月 次の 2,000 GB/月 次の 7,500 GB/月 10,000 GB/月を超えた場合 |
東京リージョンの場合 |
30 日間の無料トライアルが利用できる。
無料トライアル中はすべての機能セットと検出の利用が可能。
その他
1.セキュリティの検出結果の利用期間
GuardDuty コンソールおよび API を通じて 90 日間保持および利用できる。
90 日経過した後、検出結果は破棄される。
2.GuardDuty の検出結果の形式
JSON形式
3.検出結果の集約
以下のパターンで集約が可能。
- EventBridge を使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約する。
- 検出結果を S3 などにプッシュして検出結果を集約する。
検出結果を Security Hub に送信し、クロスリージョン集約機能を利用することもできる。