【VPC外リージョンサービス】
GuardDutyは、AWS環境内で発生する不審な挙動を検出する脅威検出サービスです。
GuardDutyはエージェントのインストールを必要とせず、数クリックで有効化できるため、導入も容易です。
監視対象 は、VPC Flow Logs、DNS Logs、AWS CloudTrail Management Events、CloudTrail S3 Data Events、EKS Audit Logs などのデータソースです。これらのログを継続的に分析し、異常検知と脅威インテリジェンスを活用することで、異常なAPI呼び出しやデータ流出の兆候、C2通信(Command and Control通信)などを自動的に検出します。
検出された脅威は Finding(検出結果) としてレポートされ、各項目には Severity(重大度) が付与されます。これにより、優先度に基づいた対応を行うことができます。
GuardDutyの内部では Detector(検出器) がデータ解析を実行し、必要に応じて Suppression Rule(抑制ルール) を設定することで、誤検知や不要な通知を除外することが可能です。さらに、Remediation(修復アクション) を設定することで、検出結果に応じた自動修復を Lambda や SSM Automation によって実行できます。
マルチアカウント環境では、Member Account / Master Account(メンバーアカウント/管理アカウント) 構成を用いてOrganizations と連携し、全アカウントの脅威検出を一元管理できます。また、検出結果は Security Hub に統合して全体的なセキュリティ状況を可視化したり、EventBridge を通じて他システムと連携させ、アラートの通知やワークフローの自動化を行うこともできます。
重要用語
ユースケース
| 不審なAPIコールの検知 | 盗まれた認証情報の悪用や通常と異なるリージョンからの操作など、挙動に基づいて怪しいAPIコールを検出する。 |
| ネットワークベースの脅威検出 | VPC Flow Logs等を分析し、C&Cサーバーとの通信やポートスキャンなど、侵入の兆候となるトラフィックを検知する。 |
| 自動対応との連携 | 検出結果をトリガーにLambdaやSSM Automationを起動し、該当インスタンスの隔離やIAMキー無効化などの自動対処を行う。 |
ベストプラクティス
| 全リージョンでの有効化 | アカウントとリージョンをまたいで脅威検出を有効にする。 |
| S3保護とEKS保護 | 追加検出機能を有効にし、各サービスの脅威を検出する。 |
| 検出結果の自動対応 | LambdaやSSMと連携して自動隔離や通知を行う。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・マルチAZ構成 ・リージョン分散型アーキテクチャ ・データソース収集基盤 ・脅威インテリジェンスフィード ・検出エンジン |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | 【Configが有効な場合】 有効化状況の監査(組織集中有効化含む) |
| GuardDuty(脅威を自動検出) | - |
GuardDuty が使用する SLR の連携パターン
SLR名 : AWSServiceRoleForAmazonGuardDuty
| SLR が操作するサービス | 用途 |
|---|---|
| CloudTrail | API呼び出しログの分析 |
| VPC Flow Logs | ネットワークトラフィックの分析 |
| DNS Logs | DNS クエリログの分析 |
| S3 | S3アクセスログの分析(S3 Protection有効時) |
| EKS | Kubernetes監査ログの分析(EKS Protection有効時) |
ログ・監視
| ログ出力先 | ログの種類 |
|---|---|
| S3 | 【EventBridgeからLambdaで転送】 検出結果 |
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
| FindingsCount | 検出脅威数 |
| HighSeverityFindings | 高深刻度脅威数 |
| LowSeverityFindings | 低深刻度脅威数 |
| MediumSeverityFindings | 中深刻度脅威数 |
制限値(固定値/ハードリミット/ソフトリミット)
| 固定値 | 制限値 |
|---|---|
| 検出タイプ | 30カテゴリ以上(随時追加) |
| ハードリミット | 制限値 |
|---|---|
| データ保持期間 | 90日 |
| ソフトリミット | 制限値 |
|---|---|
| メンバーアカウント数 | 5,000 |
| IPセット数/アカウント | 6 |
| 脅威インテルセット数/アカウント | 6 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| VPCフローログ分析 | 分析するVPCフローログのGB数 |
| CloudTrailイベント | 分析するCloudTrail管理イベント数 |
| DNSログ分析 | 分析するDNSクエリログ数 |
| S3データイベント | S3データイベントの分析数 |
| EKS監査ログ | EKS監査ログの分析数 |