Amazon GuardDuty
# Amazon GuardDuty
https://d1.awsstatic.com/webinars/jp/pdf/services/20180509_AWS-BlackBelt_Amazon-GuardDuty.pdf
## AWS のセキュリティサービス
- 発見的統制
- CloudWatch
- CloudTrail
- GuardDuty
- セキュリティ脅威リスクを検知・可視化
- 悪意のあるIPアドレス、異常検出、機械学習
- 統合脅威インテリジェンスを使用した脅威検知
- インフラストラクチャー保護
- データ保護
- インシデントレスポンス
- リスクコンプライアンス
- ID・アクセス管理
## Amazon GuardDuty
- 脅威検出を目的としたマネージドサービス
- 機械学習による、異常検知のしくみ
- EC2またはIAMに置ける脅威を検出
- 東京リージョン
## GuardDuty Service Components
- Threat Detection Types
- 悪意のあるスキャン
- インスタンスへの脅威
- アカウントへの脅威
- Data Sources
- Trusted & Threat IP Lists
- Findings
- 脅威または潜在的な攻撃リスクの主な目的
- Backdoor
- AWSリソースが攻撃を受けていることを検出
- Behavior
- ベースラインとは異なるアクティビティやアクティビティパターンを検出
- Crypto Currency
- ビットアコインやイーサリアムなどの暗号通貨に関連づけられたソフトウェアを検出
- Pentest
- 既知のペンテストツールで生成されたアクティビティと類似するアクティビティを検出
- Recon
- Stealth
- 攻撃アクションや形跡を隠そうとするアクティビティを検出
- Trojan
- トロイの木馬プログラムが攻撃に使用されていることを検知
- Unauthorized Access
- 不審なアクティビティまたはアクティビティパターンの検出
- 重要度によってSeverity を設定している
- High
- Medium
- Low
- Princing
- AWS Accounts
- 他のAWS アカウントに集約したり、Findingを他のアカウントのGuardDuty に転送・統合管理することが可能
- CloudFormation でプロビジョニングも可能
- サンプル( https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts )
## 雑感
既存のアプリのレイテンシーを上げることなくセキュリティレベルを上げることができるマネージドサービス。シンプルに利用するのであれば、ホワイトリスト型のIP制限を行うということが考えられる。
させることが多くなるとその分Log が大きくなり、料金もかさむがしっかり検知できるようになる。
API キーがリークしていてEC2が勝手にビットコインのマイニングに利用されていたりすることを検知してくれるのはありがたい。