Amazon GuardDuty について調べたメモ
Amazon GuardDuty について調べたことを軽く纏めておく。
Amazon GuadDuty とは
マネージド型の脅威検出サービスで、以下3つのデータソースを監視する。
- VPC Flow Logs
- 有効にしていなくても検出はされるらしい。が、そもそも有効化しておく方が好ましい
- DNS Logs
- EC2 からのクエリログが対象
- CloudTrail Events
- 予め有効化しておく
設定方法
マネコンからポチッと有効にするだけ。脅威検出時に通知させるには CloudWatch Events から SNS にでも飛ばせば良さそう。イベントパターンは以下のようになる。
{ "source": [ "aws.guardduty" ], "detail-type": [ "GuardDuty Finding" ] }
信頼リスト・脅威リスト
基本的には自動で悪意のある通信を検知してくれるが、予め信頼IPアドレスリスト、脅威IPアドレスリストを設定しておくことで検出動作をカスタマイズできる。
動作テスト
CFn が用意されているので、スタックを作成すると動作テスト用のリソース(VPC、サブネット、EC2インスタンスなど)が作成される。
但し、AWS に対するペネトレーションテスト(侵入テスト)は事前の申請が必要。詳しくは以下を参照。
他アカウントの検知結果を1アカウントへ統合
Black Belt のP39 以降を参照。
参考
www.slideshare.net