Amazon GuardDutyを使ってみた

構成

こちらの記事は AWS セキュリティサービスを使ってみた シリーズの Part. 2の記事です。
他にも以下のサービスについてまとめております、ぜひご覧ください。

Part.1
AWS WAF
Part.2
Amazon GuardDuty
Part.3
AWS Detective
Part.4
AWS Security Hub

【随時更新】 AWS セキュリティ製品一覧:
https://recipe.kc-cloud.jp/archives/17259

Amazon GuardDutyとは

Amazon GuardDutyは、セキュリティの観点から脅威リスクを検知するAWSマネージド・サービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィード1および Machine Learning を使用して、AWS 環境内の予期しない潜在的に未許可なアクティビティや悪意のあるアクティビティを識別します。

Amazon GuardDuty Intelligent Threat Detection in the AWS Cloud

要は、何らかの攻撃をAWSアカウントやAWS環境に検知した場合教えてくるサービスですね。

機能としては以下が挙げられます。

  • 機械学習による異常検知の仕組み
  • 難しい設定は不要。誰でも使えるサービス
  • 東京を含む、15のリージョンで使用が可能
  • EC2またはIAMにおける脅威を検出
  • 安価な料金体系で、30日間の無料体験有

料金も見ていきましょう。

    AWS CloudTrail 管理イベント分析   料金(100万イベント当たり)
 100 万イベント/月 4.72USD
  AWS CloudTrail S3 データイベント分析   料金(100万イベント当たり)
 最初の 5 億イベント/月 1.04USD
次の 45 億イベント/月 0.52USD
50 億を超えるイベント/月 0.26USD
  VPC フローログと DNS ログ分析     料金(GB当たり)
最初の 500 GB/月 1.18USD
次の 2000 GB/月 0.59USD
次の 7,500 GB/月 0.29USD
10,000 GB/月を超えた場合 0.17USD

※1 脅威インテリジョン:攻撃者の意図や能力・設備などに関す津情報を整理及び分析することで有益な知識を導き出し、使用可能な物に変えたもの

開始方法

開始方法は以下の通りになっております。

2021-04-08_15h04_05.png
「Amazon GuardDuty の開始方法」

なんだか簡単そうですね。

ゴール!

今回は、GuardDuty コンソールまたは API を使用したサンプル結果の生成をするところまでやります。

前提条件

  • AWSアカウントが必要になります

手順

手順はざっくり以下の3つです。

  1. AWSアカウントからAmazon GuardDutyを開く
  2. サンプル結果を表示する
  3. 結果を評価する

1. AWSアカウントからAmazon GuardDutyを開く

それではAWSアカウントにログインして、Amazon GuardDutyを開いていきましょう。
AWSマネジメントコンソール画面で「Amazon GuardDuty」と検索すると以下の画面が出てきます。

2021-04-08_14h50_47.png

今すぐ始めるをクリック!

サービスのアクセス権限画面になりました。

2021-04-08_15h01_47.png

「GuardDutyを有効化2」して行きましょう。
※2 GuardDutyを有効化すると、GuardDutyの30日間無料トライアルに自動的に登録されます。

image.png

このような画面が表示されます。

ここまでは難しくありませんね。

2. サンプル結果を表示する

GuardDutyは、開くと同時に結果が表示されます。
今回は何もサービスを利用していないIAMユーザーを利用してのデモになりますので、まだ画面には結果が表示されません。

それでは、サンプル結果を表示していきましょう。
画面左側のナビゲーションペインで [設定] を選択して下さい。

2021-04-08_17h50_26.png

クリックをしたら画面をスクロール。一番下ら辺に「結果のサンプル」といった項目が確認できます。こちらをクリック。

2021-04-08_17h51_02.png

これで完了です。
コンソール画面に戻りましょう。

3. 結果を評価する

不信なアクティビティのサンプルが表示されるようになりました。

2021-04-08_17h50_06.png

左側のアイコン「丸、四角、三角」は重要度を表しているそうです。

丸:L
四角:Medium
三角:High

表示されている結果では重要度の高いものが多く見受けられますので、優先的に対応していく必要がありますね。

さいごに

今回はAmazon GuardDutyの解説及びサンプル結果の表示までを行ってみました。
AWSでのセキュリティ対策に不安がある人にも使えるのは、流石AWSといったところでしょうか。

手間もかからず、安価な料金で使用できるのは嬉しいポイントですね。