AWS

【まとめ】脅威検出サービス GuardDuty の使い方

GuardDuty

こんにちは。
AWS環境のセキュリティ対策のひとつである GuardDuty の使い方について説明していきたいと思います。

GuardDutyって何?

概要

・セキュリティの観点から脅威リスクを検知するサービス

・分析のソースには下記を利用し、メタデータの連続ストリームを分析
 VPC Flow Logs
 AWS CloudTrail Event Logs
 DNS Logs

・悪意のあるIPアドレス、異常検出、機械学習などの統合脅威インテリジェンスを使用して脅威を認識

脅威の検知

AWS環境を利用するにあたって、インターネットを利用したサービスやAWSアカウントに対する脅威に常にさらされています。
GuardDutyはこれらの脅威を検出し、重要度を設定し通知してくれるため、素早い対応が可能となります。

✔ 検知するFindingsには重要度(Severity)を設定
✔ 重要度は、0.0 – 10.0 の範囲で設定
 ・High (重要度: 高) : Severity 7.0 – 8.9
  例) EC2 instance / IAM user credentials 関連
 ・Medium (重要度: 中) : Severity 4.0 – 6.9
  例) 大量トラフィック、通常アクティビティから外れる動き
 ・Low (重要度: 低) : Severity 0.1 – 3.9
  例) リソースに影響を及ぼす前にブロックされた悪意の疑いのあるアクティブティ

  • 東京リージョンでも利用可能
  • 非常に低コスト体系+30日間の無料枠
  • 外部からの脅威を検出しレベル別に表示する
  • 使用方法は非常に簡単

GuardDutyの使い方

AWS マネージメントコンソールより、GuardDutyの画面を開く
初めて利用する方は以下の画面が表示されるので「今すぐ始める」をクリック

「GuardDutyの有効化」をクリック

これでGuardDutyの有効化は完了(簡単ですね)

あとは自動的にログ・イベントを分析し脅威の検出を始めます

※GuardDutyを有効にすると、サービスにリンクされたロールとしてAWSServiceRoleForAmazonGuardDutyが自動的に作成される

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeImages"
      ],
      "Resource": "*"
    }
  ]
}

ただし、これは各リージョンで実施する必要があります。
攻撃者は普段利用しないようなリージョンをターゲットにする場合があります。

全リージョンへの一括設定はこちらをご参照ください。

GuardDuty
【必見】脅威検出サービス GuardDuty を全リージョンへ一括設定 こんにちは。AWS環境の脅威を検出してくれるサービス「GuardDuty」を一括で全リージョンに設定する手順を説明します。 こん...

GuardDutyの料金

Amazon GuardDuty には 2 種類の料金体系があります。
 ・Amazon VPC フローログDNS ログデータの量 (GB あたり)
 ・AWS CloudTrail イベントの数量 (1,000,000 イベントあたり)

東京リージョンの料金が以下の表のとおり

VPC フローログと DNS ログ分析料金
最初の 500 GB/月1.18USD/GB
次の 2000 GB/月0.59USD/GB
次の 7,500 GB/月0.29USD/GB
10,000 GB/月を超えた場合0.17USD/GB
AWS CloudTrail イベント分析利用金
イベント 100 万件/月4.72USD/100 万件

グラフで表してみるとこのようになり、ログ分析に関しては使用状況が高くなるほどGB当たりの料金の傾斜が滑らかになっていることが分かります。
イベント分析の方は使った分だけ課金されるので分かり易いですね。

サポートされる各リージョンで、無料で 30 日間サービスを利用可能
無料トライアル中はすべての機能セットと検出を使用できる

まとめ

クラウドサービスのセキュリティ対策は重要なので是非とも導入しておくことをお勧めします!

ABOUT ME
湖山 貴裕
はじめまして。 二児のお父さんプログラマーです。最近キャンプにも興味あり。夏には庭でキャンプしようともくろみ中。ボドゲ好き。チョコ好き。茶道経験者。 2012年大学卒業→IT企業就職 Java,VB.NET, C#, javascript等の企業向けシステム開発/主にバックエンドを担当/AWSを少しかじる→2020年フリーランスエンジニアへ転身 広島でAWS案件にて楽しく活動中