Amazon GuardDutyのデータソースに関する私の勘違い

2018.05.11

ご機嫌いかがでしょうか、豊崎です。

2018/5/9に行われたAWS Black Belt Online Seminarのオンデマンドセミナーが公開されていたので拝見していたところ、データソースについての勘違いがありましたので、ここに書き残しておきたいと思います。

オンデマンドセミナーは以下から見ることができます。

勘違いと結論

何を勘違いしていたかというとGuardDutyが使用する3つのデータソースを自分で有効にしないとGuradDutyが利用できないと思っていました

  • VPC Flow Logs
  • DNS Logs
  • CloudTrail Events

しかしGuardDutyを設定することで、これらデータソースの有効化をしていなくてもログおよびイベントを読み取ってくれるそうです。

やってみます

データソースのVPC Flow Logsが有効化されないことを確認してみたいと思います。

GuardDutyを設定する

以下のCloudFormationテンプレートを東京regionで実行し確認のためにGuardDutyを設定してみます。

AWSTemplateFormatVersion: 2010-09-09
Description: demo GuardDuty

Resources:
  VPC:
    Type: "AWS::GuardDuty::Detector"
    Properties:
      Enable: true

GuardDuty Detectorが作成されました。

VPCフローログはどうなっているか

東京regionある2つのVPCを確認してみます。VPCフローログの設定は有効になっていませんね。

さいごに

私のちょっとした勘違いを備忘録的に残させていただきました。本投稿の内容はともかく、AWSJ酒徳さんのオンデマンドセミナーは非常にわかりやすかったので、ご覧いただければと思います。