はじめに
こんにちは、クラウドエンジニアリング部の本橋です。
最近AWS試験の勉強をしています。
学習の中でGuardDutyがよく出てくるのですが、説明を読んだだけだといまいちイメージがわかず。。
今回せっかくなので実際にサービスを触れてみようと思います。
GuardDutyとは
以下の公式ドキュメントによるとGuardDutyは、このようなサービスのようです。 docs.aws.amazon.com
Amazon GuardDuty は、Amazon S3 ログ、CloudTrail 管理イベントログ、DNS ログ、Amazon EBS ボリュームデータ、Kubernetes Audit Logs、Amazon VPC フローログ、RDS ログインアクティビティの AWS CloudTrail データイベントなどのデータソースを分析して処理する、セキュリティモニタリングサービスです。
あまりピンとこないので早速使ってみましょう。
実際に使ってみる
サービスの有効化
サービスを有効化するのは非常に簡単で、マネジメントコンソールから「GuardDuty」にアクセスして「今すぐ始める」ボタンをクリックするだけです。
サービスを有効化すると勝手に問題を検出し始めます。
画面の確認
GuardDutyをオンにしたリージョン(今回は東京)のS3の設定をいじったところ検知されました。
結果はGuardDuty画面の「検出結果」から確認可能です。
今回検出されたのは「BucketBlockPublicAccessDisabled」でした。
本当は画面キャプチャでお見せしたかったのですが、うまく全体を取り込めなかったので文字で書き出します。
気になる方は是非GuardDutyを有効化してみてください。30日間は無料なので安心して有効化できます。
- メッセージ
- Amazon S3 Block Public Access was disabled for S3 bucket s3-sample5-images by GoogleSAMLGeneralRole calling PutBucketPublicAccessBlock. If this behavior is not expected, it may indicate a configuration mistake or that your credentials are compromised.
S3のパブリックアクセスが無効化されたから確認してねと書いてありますね。(雑な翻訳すみません)
- 詳細の情報
- 概要
- 重要度はどのくらいか、どのリソースが対象か
- 影響を受けるリソース
- 対象リソースの詳細
- アクション
- 何のアクションか。今回は「AWS_API_CALL」が記録されてました
- Actor
- 実行元IPアドレスなど
- 追加情報
- その他の情報。今回はArchived: falseとなってました
- 概要
その他、さらなる調査が必要なときは「Detective で調査する」ボタンからAmazon Detectiveを使ったインシデントの調査ができるようです。
おわりに
最後までお読みいただきありがとうございます。
GuardDutyは利用し始めるのに設定は必要なくすぐ始められました。
GuardDutyを学習されている方の一助になれば幸いです。
https://www.ap-com.co.jp/service/utilize-aws/
また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。
