■概要
GuardDutyに関するアップデートがあったので、改めて復習と最新アップデートについて。
■GuardDutyとは?
GuardDutyは、AWS CloudTrail、Amazon VPCフローログ、DNSログなどの標準的なAWSログと統合されており、不正行為の検出、通知を行う事ができます。
この検出は、マシンラーニングとAI技術を使用しており、上記のような複数のデータソースから検知イベントを生成、分析して、不正なアクティビティを特定するものです。
GuardDutyについては検出までになり、脅威に対する対応は行われないのでご注意ください。
■分析できるログの詳細
・AWS CloudTrail 管理イベント分析
・Amazon 仮想プライベートクラウド (VPC) フローログおよび DNS クエリログの分析
・AWS CloudTrail Amazon S3 データイベント分析
・Amazon EKS 監査ログ分析
・Amazon EKS ランタイムモニタリング
・マルウェアのスキャンを行ったデータ
・Amazon RDS イベント分析
・Lambdaの脅威検出
EKS、RDS、Lambdaはアップデートにより追加されたようです。
■使い始め
使い始めにはサービスに入り、下記の部分から有効化を行う必要があります。
逆に言ってしまえば、この最初の有効化で基本的な設定は完了です。
また通知設定は別途必要なので、設定しておきましょう。(後述します!)
有効化後↓↓
また設定より、検出結果のサンプルを生成する事ができます。
サンプル生成後は「検出結果」よりどのように検出されているかを確認する事ができます。
ちなみにですが、一時停止や無効化も簡単にできるようですね(上記画面参照)
■利用料金について
Amazon GuardDutyの料金は、検出された脅威の数に基づいて請求されます。
30日間のトライアル期間があり、最初の30日間10GBのデータ処理は無料、以降は5GBのデータ処理が無料です。
詳細な利用料金については下記の確認が推奨されます。
Amazon GuardDuty の料金
https://aws.amazon.com/jp/guardduty/pricing/
また「使用状況」ページから、現在の使用量を確認する事ができます。
■SNSを使用した通知方法
EventBridgeで設定できるようですね。下記の手順で実施できました。
■今回アップデートされた項目について
AuroraのプロテクションとLambda脅威検出ができるようになったようですね。
ただコンソールから確認した所、EKSに関するものもアップデート項目のようです
■組織内アカウントへの適用簡易化
もうひとつの新機能として、AWS Organizations との統合により組織アカウントに対して GuardDuty を利用できるようになったようです。
検証できていないですが、アカウントID、Eメールアドレスを使用した招待によって管理対象とできそうでした。
■最後に
使い始めはかなり簡単な部類になると思います。
トライアルもある為、是非使ってみましょう!
参考URL
Amazon GuardDuty RDS Protection for Amazon Aurora の一般提供を開始
https://aws.amazon.com/jp/about-aws/whats-new/2023/03/amazon-guardduty-rds-protection-aurora-generally-available/
Amazon GuardDuty で組織内のアカウントすべてに対する脅威検出の適用が簡素化
https://aws.amazon.com/jp/about-aws/whats-new/2023/03/amazon-guardduty-enforcement-threat-detection-organization/
AWS Lambda の Amazon GuardDuty サポートを発表
https://aws.amazon.com/jp/about-aws/whats-new/2023/04/amazon-guardduty-aws-lambda/