この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ご機嫌いかがでしょうか、豊崎です。
2018/5/9に行われたAWS Black Belt Online Seminarのオンデマンドセミナーが公開されていたので拝見していたところ、データソースについての勘違いがありましたので、ここに書き残しておきたいと思います。
オンデマンドセミナーは以下から見ることができます。
勘違いと結論
何を勘違いしていたかというとGuardDutyが使用する3つのデータソースを自分で有効にしないとGuradDutyが利用できないと思っていました。
- VPC Flow Logs
- DNS Logs
- CloudTrail Events
しかしGuardDutyを設定することで、これらデータソースの有効化をしていなくてもログおよびイベントを読み取ってくれるそうです。
やってみます
データソースのVPC Flow Logsが有効化されないことを確認してみたいと思います。
GuardDutyを設定する
以下のCloudFormationテンプレートを東京regionで実行し確認のためにGuardDutyを設定してみます。
AWSTemplateFormatVersion: 2010-09-09
Description: demo GuardDuty
Resources:
VPC:
Type: "AWS::GuardDuty::Detector"
Properties:
Enable: true
GuardDuty Detectorが作成されました。
VPCフローログはどうなっているか
東京regionある2つのVPCを確認してみます。VPCフローログの設定は有効になっていませんね。
さいごに
私のちょっとした勘違いを備忘録的に残させていただきました。本投稿の内容はともかく、AWSJ酒徳さんのオンデマンドセミナーは非常にわかりやすかったので、ご覧いただければと思います。