GuardDutyは、AWS環境内で発生する不審な挙動を検出する脅威検出サービスです。
GuardDutyはエージェントのインストールを必要とせず、数クリックで有効化できるため、導入も容易です。
監視対象 は、VPC Flow Logs、DNS Logs、AWS CloudTrail Management Events、CloudTrail S3 Data Events、EKS Audit Logs などのデータソースです。これらのログを継続的に分析し、異常検知と脅威インテリジェンスを活用することで、異常なAPI呼び出しやデータ流出の兆候、C2通信(Command and Control通信)などを自動的に検出します。
検出された脅威は Finding(検出結果) としてレポートされ、各項目には Severity(重大度) が付与されます。これにより、優先度に基づいた対応を行うことができます。
GuardDutyの内部では Detector(検出器) がデータ解析を実行し、必要に応じて Suppression Rule(抑制ルール) を設定することで、誤検知や不要な通知を除外することが可能です。さらに、Remediation(修復アクション) を設定することで、検出結果に応じた自動修復を Lambda や SSM Automation によって実行できます。
マルチアカウント環境では、Member Account / Master Account(メンバーアカウント/管理アカウント) 構成を用いてOrganizations と連携し、全アカウントの脅威検出を一元管理できます。また、検出結果は Security Hub に統合して全体的なセキュリティ状況を可視化したり、EventBridge を通じて他システムと連携させ、アラートの通知やワークフローの自動化を行うこともできます。
重要用語
ユースケース
- リスト1
- リスト2
- リスト3
ベストプラクティス
- リスト1
- リスト2
- リスト3
高可用性・冗長化
- リスト1
- リスト2
- リスト3
セキュリティ
- リスト1
- リスト2
- リスト3
運用・監視
- リスト1
- リスト2
- リスト3
デフォルトのリミット値
| リミット事項 | 上限数 |
|---|---|
| 項目1 | 上限1 |
| 項目2 | 上限2 |
| 項目3 | 上限3 |
| 項目4 | 上限4 |
| 項目5 | 上限5 |
AWS CLIのサンプルコード
vpc を作成
#include <stdio.h>
void main(void) {
int i;
for (i=0; i<10; i++)
printf("%d\n", i);
vpc を作成
aaaaaaaaaaaaa
bbbbbbbbbbbbb
cccccccccccccTerraformのサンプルコード
vpc を作成
bbbbbbbbbbbbbbbbbbbbbbb
ddddddddddddddddddddddd
vpc を作成
xxxxxxxxxxxxxxxxxxxxxxx
yyyyyyyyyyyyyyyyyyyyyy課金モデル
| 項目 | 内容 |
|---|---|
| 項目1 | 内容1 |
| 項目2 | 内容2 |
| 項目3 | 内容3 |
| 項目4 | 内容4 |
| 項目5 | 内容5 |