今回は、弊社のYoutubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。
動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、動画も参照頂ければと思います。
内容が良かった、為になったと感じたら是非Goodボタンやチャンネル登録頂けると嬉しいです。
対象者
・AWSをこれからはじめたい方
・AWSをもっと活用したい方
・Amazon GuardDuty の概要や設定イメージを把握したい方
Amazon GuardDutyとは
AWSのマネージド型の"脅威検出サービス"となります。
Amazon GuardDuty を有効にすると AWS CloudTrail や VPC フローログ や DNSログなどの様々なイベントログが自動的に分析されます。管理者視点だと、数クリックの設定を行うだけで、悪意のある操作や不正な動作を継続的にモニタリングする事が可能になります。
参照:Amazon GuardDuty
https://aws.amazon.com/jp/guardduty/
Amazon GuardDutyの料金
使った分だけの従量課金となっており、一定容量が増える毎にボリュームディスカウントも適用されます。
・AWS CloudTrailのイベントの回数
・VPCフローログやDNSログの容量
無料利用枠があり、利用開始後30日間は無料となっています。
無料で利用している期間中も日毎の平均利用料の推定を確認することが出来るので試用と同時に費用感を把握されるのが良いと思われす。詳細はAWS公式の以下情報を参照ください。
参照:Amazon GuardDuty の料金
https://aws.amazon.com/jp/guardduty/pricing/
Amazon GuardDuty の注意事項
注意点として以下3点を紹介します。
- 各種ログ出力設定は Amazon GuardDuty側で行われません
Amazon GuardDutyで利用されるAWS CloudTrail、VPCフローログ、DNSログ等は、ユーザが独自に取得設定を行う内容とは別の独立したデータストリームから直接取得されます。従って仮にユーザ側でログを未取得でも Amazon GuardDuty側の設定をするだけで脅威検知は可能ですが、実際に検知されたログの詳細をユーザー側で確認する事はできませんので、Amazon GuardDutyの利用と同時に関連ログの取得設定を実施しておく事を推奨します。詳細は以下を参照ください。
Amazon GuardDuty - よくある質問
Q: Amazon GuardDuty の AWS CloudTrail、VPC フローログ、および DNS ログを有効にする必要はありますか?
https://aws.amazon.com/jp/guardduty/faqs/
- 検出された脅威について管理者側で確認および対処する必要があります
Amazon GuardDutyは、検知した脅威を3つの重大度(低、中、高)で評価し、管理者が脅威を把握しやすいよう継続的にモニタリングしてくれますが、検出された脅威に関する対応判断や実際の処置は当該AWSアカウント管理者側の責任で行う必要があります。
その為、管理者視点だと脅威が検出された際の運用プロセスについてもあわせて検討しておくと良いでしょう。ただし、実際の検出内容を確認しないと然るべき運用も見えてこないとは思われますのでまずは無料利用枠を活用し、実際に利用してご検討頂くのが良いと思われます。
- Amazon GuardDutyはリージョン毎に設定が必要となります
複数リージョンをご利用の場合は、複数リージョンでの設定および運用が必要となります。
Amazon GuardDutyのセットアップ実施のデモ(動画内 01:28〜)
Amazon GuadDutyを有効化の設定を行い費用感をどこで把握すれば良いかデモを動画内で紹介しています。
管理者視点で、ざっくりとAmazon GuardDutyの設定イメージを掴んで頂ける内容となっておりますので、もし興味があれば動画を参照ください。
まとめ
Amazon GuardDutyを有効活用する事で、社内セキュリティチーム等のリソースを割かずとも膨大な量のログから悪意のある操作や不正な動作を継続的にモニタリングし、脅威を把握する事が可能となります。
管理者としてAWSアカウントを作成した際には、無料利用枠もありますので、初期設定項目として実施を検討してみてください。
