1. はじめに
ここでは、GuradDutyの有効化や基本的な機能を触ってみた際の様子をご紹介します。
2. GuardDutyの有効化
実はこれ、「GuardDutyの有効化」ってボタンを押すだけなんですよね。すごい。
簡単すぎてスクショ取り忘れました。。。
3. GuardDutyのコンソール
コンソールの主な画面を見ていきます。
結果画面
出力されているログはサンプルです
設定画面
GuardDutyの有効化、無効化などができるようです。
4. GuardDutyの料金(2019年1月現在)
約1ヶ月の無料トライアル期間が設定されているため、ありがたく使用させていただきました。
基本はエンタープライズ向けのサービスだと思いますが、それを考えてもかなりお手軽な料金だと思います。
https://aws.amazon.com/jp/guardduty/pricing/
5. サンプルログの出力
「設定」→「結果サンプルの生成」から、GuardDutyのログのサンプルを出力させられます。
試しに一つ見てみましょう
ログを選択すると、右横のペインから詳細が見られました。
表示方法は画面右上から選べるようです。
Trojan:EC2/PhishingDomainRequest!DNS
この検出結果がどのようなものか知りたい場合は、ユーザーガイドを参照すれば良さそうです。
GuardDuty の Trojan 検索タイプ
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_trojan.html
様々なタイプが紹介されていますね。これ読むのも楽しそうです。
6. CloudWatchへの通知
GuardDutyの「設定」を見ると、次のような項目があります。
Cloud Watch Event(CWE)に通知を飛ばしているようですね。
早速CloudWatchのコンソールで見てみましょう。
イベント→ルール→ルールの作成と進みます。
こんな感じで「GuardDuty」の「GuardDuty Finding」をトリガに、ターゲットとなる動作を実行できるようです。
Lambda関数が実行できるので、かなり自由度が高そうですね。
詳細は割愛しますが、SNSで通知飛ばせるようにしてみました。アイディアが平凡ですみません、、、
7. おわりに
圧倒的な速さでいわばIDSが導入できるのは圧巻でした。ボタン押すだけ?信じられないですね。
CloudWatch Event越しにLambda関数の実行もできるなど、GuradDutyのイベントトリガで様々なタスクが自動化できそうです。
では、GuardDutyのログが出るまで待ちます。