こんにちは。
AWS環境のセキュリティ対策のひとつである GuardDuty の使い方について説明していきたいと思います。
- GuardDuty って何?って方
- GuardDuty を導入検討中の方
- AWS環境のセキュリティについて気になっている方
GuardDutyって何?
概要
・セキュリティの観点から脅威リスクを検知するサービス
・分析のソースには下記を利用し、メタデータの連続ストリームを分析
VPC Flow Logs
AWS CloudTrail Event Logs
DNS Logs
・悪意のあるIPアドレス、異常検出、機械学習などの統合脅威インテリジェンスを使用して脅威を認識
脅威の検知
AWS環境を利用するにあたって、インターネットを利用したサービスやAWSアカウントに対する脅威に常にさらされています。
GuardDutyはこれらの脅威を検出し、重要度を設定し通知してくれるため、素早い対応が可能となります。
✔ 検知するFindingsには重要度(Severity)を設定
✔ 重要度は、0.0 – 10.0 の範囲で設定
・High (重要度: 高) : Severity 7.0 – 8.9
例) EC2 instance / IAM user credentials 関連
・Medium (重要度: 中) : Severity 4.0 – 6.9
例) 大量トラフィック、通常アクティビティから外れる動き
・Low (重要度: 低) : Severity 0.1 – 3.9
例) リソースに影響を及ぼす前にブロックされた悪意の疑いのあるアクティブティ
- 東京リージョンでも利用可能
- 非常に低コスト体系+30日間の無料枠
- 外部からの脅威を検出しレベル別に表示する
- 使用方法は非常に簡単
GuardDutyの使い方
AWS マネージメントコンソールより、GuardDutyの画面を開く
初めて利用する方は以下の画面が表示されるので「今すぐ始める」をクリック
「GuardDutyの有効化」をクリック
これでGuardDutyの有効化は完了(簡単ですね)
あとは自動的にログ・イベントを分析し脅威の検出を始めます
※GuardDutyを有効にすると、サービスにリンクされたロールとしてAWSServiceRoleForAmazonGuardDutyが自動的に作成される
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages"
],
"Resource": "*"
}
]
}
ただし、これは各リージョンで実施する必要があります。
攻撃者は普段利用しないようなリージョンをターゲットにする場合があります。
全リージョンへの一括設定はこちらをご参照ください。
GuardDutyの料金
Amazon GuardDuty には 2 種類の料金体系があります。
・Amazon VPC フローログと DNS ログデータの量 (GB あたり)
・AWS CloudTrail イベントの数量 (1,000,000 イベントあたり)
東京リージョンの料金が以下の表のとおり
VPC フローログと DNS ログ分析 | 料金 |
---|---|
最初の 500 GB/月 | 1.18USD/GB |
次の 2000 GB/月 | 0.59USD/GB |
次の 7,500 GB/月 | 0.29USD/GB |
10,000 GB/月を超えた場合 | 0.17USD/GB |
AWS CloudTrail イベント分析 | 利用金 |
---|---|
イベント 100 万件/月 | 4.72USD/100 万件 |
グラフで表してみるとこのようになり、ログ分析に関しては使用状況が高くなるほどGB当たりの料金の傾斜が滑らかになっていることが分かります。
イベント分析の方は使った分だけ課金されるので分かり易いですね。
サポートされる各リージョンで、無料で 30 日間サービスを利用可能
無料トライアル中はすべての機能セットと検出を使用できる
まとめ
クラウドサービスのセキュリティ対策は重要なので是非とも導入しておくことをお勧めします!