Amazon GuardDuty

概要

脅威検出サービス

悪意のあるアクティビティや不正な動作を継続的にモニタリングするサービス

AWSアカウントとアプリケーションを継続的に監視する

フルマネージド

未知の脅威については機械学習を用いて検出可能

各種ログを分析し検出してくれる（データソース）

DNS クエリログ

S3 Data Plane Events

EKS Control Plane Log

使用するにあたってログの出力設定は不要

GuardDuty分析をするにあたって、ログ出力を有効化する必要は無い

独立した機構になっているので、アカウント内のサービスとは別になる

悪性で強く疑わしい挙動を検知

S3プロテクション

S3内のデータに対する脅威の検出

ポリシーの検出

不正アクセス

異常な振る舞い

Kubernetesプロテクション

EKSが対象

監査ログを検出

脅威検出方法

脅威インテリジェンス

既知の脅威（典型的な脅威）

ビットコインマイニング

C&C活動（外部のサーバーから指示を受けて不正な攻撃に使われている）

機械学習を用いた異常検出

未知の脅威

異常なユーザ挙動

異常なトラフィックパターン

HIGH、MEDIUM、LOWの３段階で表示

パフォーマンスへの影響

なし

エージェントを入れたり、通信を見たりするわけではない

全く別にログの分析が走っている

できないこと

通信のデータ部分（ペイロード）は見ていないため、脆弱性攻撃などに関する検知などは出来ない?

要確認（DeepSecurityの資料に書いてあっただけ）

検出のみので、防御については自前で実装する必要がある

例）Gaurd Duty → Event Bridge → Lambda

検知してイベントを発行してLambdaを動かして、EC2などを隔離する

感染前のAMIがあれば、それにより感染前の状態に戻せる

その他サービスとの比較

基本的にはVPNのin/outの通信をキャプチャして動作している

GuardDutyはログを分析して通知をしている

Network Firewallはアプリケーションに密結合しているが、GuardDutyは疎結合

GuardDutyは通知のみで、防御などのアクション自体は単体ではできない

Network Firewallは許可や拒否ができる

GuardDutyは、通信自体は通してしまい、その後の通知の流れで、Lambdaと連携してインスタンスを停止するなどならできるみたい

GuardDutyは、IPリストのみ対応で、ドメインなどのリストはない

Network Firewallは、IPに加えドメインのリストにも対応している

加えて独自のルールを設定して、判断をさせることができる

連携

S3バケットに検出結果を出力し、その他のサービスで使用する

Cloud Watchイベント

料金

AWS側の経験則としては、そのアカウントの料金の１％ぐらい