この記事はAWSを独学で勉強している私が特に気になった内容を留めておくものです。
インフラ素人、高校の情報のテストで赤点取った人が「なんとなく」AWSを理解することをテーマに勉強した内容や気になった内容をまとめてます。
GuardDutyとは
GuardDutyとは、脅威インテリジェンスを利用した脅威検知をする仕組みです。そもそも脅威とは、悪意あるスキャン(ポートスキャン、総当たり攻撃)やインスタンスへの脅威(C&Cサーバとの通信、アウトバウンドDDos攻撃)、アカウントへの脅威(不正APIの実行、予期しないリソースへのアクセス)などがあります。
GuardDutyは、機械学習によってAWS内の脅威を検知します。具体的には、VPC Flow logs(ネットワークログ)、DNS Logs(DNSクエリログ)、AWS CloudTrail(API操作ログ)を自動取得し調査対象として検知することが可能です。
スポンサーリンク
GuardDuty 有効化方法
①メニューからGuardDutyを検索する。
今回は、「Amazon GuardDuty」を選択し今すぐ始めるを押す。
なお、GuardDuty Malware Protection for S3についてはこちらをご覧ください。その名の通り、S3のマルウェア検出に特化したサービスのようです。
スポンサーリンク
②追加の設定はなく、GuardDutyを有効にするを押下する。
③以上で設定は完了。
早すぎますね。
注意点として、30日無料ののち、分析したログの量に応じた料金が発生するので要注意です。
スポンサーリンク
GuardDuty 調査方法
続いて、具体的な調査の方法を説明します。
今回は、テスト実行ですので、サンプルで脅威を検知したことにしたいと思います。
まずは、設定>検出結果のサンプルより、「検出結果サンプルの生成」を押してみてください。
すると、検出結果のサンプルを表示してくれます。
あくまでサンプルですので問題ありません。
画面上の分類から簡単に絞り込みことも可能です。その他にも様々な絞り込みが可能ですが、このあたりは触ってみた方が早いかと思います。
ここから、具体的な調査方法です。
調査したい検知内容を選択します。すると内容を確認することができます。
しかし、素人ではその検知内容がどういった内容か判断できません。その場合は”情報”を選択し、更に詳細を確認することができます(いちちググらなくて大丈夫です。)
そして、スクロールすることで詳細を確認することができます。例えば、発生しているリージョン、AZ、インスタンスタイプ、ネットワークなどを確認していくことができます。
公式ドキュメントはこちら。
スポンサーリンク
GuardDuty コスト確認
使用状況メニューから確認可能です。
前述しましたが、30日無料ののち、分析したログの量に応じた料金が発生します。
GuardDuty 無効化方法
「停止」であれば、検知のためのモニタリングが停止するだけで、これまでに検出した結果はそのまま残ります。
確認メッセージが出ますが問題ありません。
「停止」を再開する場合は、先ほどまで「停止」だったボタンが「再度有効にする」になっていますのでボタン押下すれば問題ありません。
続いて、「無効化」する場合です。
無効化すると、これまでの検出結果もすべて削除されるため注意が必要です。
事前にS3にエクスポートしておくなどで退避しておくことをお勧めいたします。
こちらも、確認メッセージが出ますが問題ありません。
ただし、AWSとしてもGuardDutyは常に有効化し、脅威インテリジェンスに対して適切に対処することを推奨としているため、無効化する場合はその点を理解して実施することをお勧めします。
スポンサーリンク
最後に
以上、いかがでしたでしょうか。
何かの理解の一助になれば大変光栄です。
最後に、あくまで勉強の記録を残すことが主な目的ですので、正確な内容を確認されたい方は公式ドキュメントなどをご確認ください。
コメント