GuardDutyのEC2 Malware Protectionにおけるスナップショット保持設定を有効化すべきケースを教えて下さい。

GuardDutyのEC2 Malware Protectionにおけるスナップショット保持設定を有効化すべきケースを教えて下さい。

#Amazon GuardDuty
#AWS
#Amazon EBS
平井裕二

平井裕二

facebook logohatena logotwitter logo
Clock Icon2024.08.15

困ったこと

GuardDutyのEC2 Malware Protectionにおけるスナップショット保持設定を有効化するべきか、無効化するべきか判断に迷っています。有効化すべきケースを教えてください。

cm-hirai-screenshot 2024-08-14 14.43.36

一例の解説

GuardDutyのEC2 Malware Protectionのスナップショットの保持設定を有効にすべきケースの一例をご紹介します。

具体例の前に、EC2 Malware Protectionの基本的な流れは以下の通りです。

  1. GuardDutyがEC2のマルウェアに関するアクティビティを検知します(対象のリスト参照)。
  2. 対象のEBSボリュームのスナップショットを取得します。
  3. 取得したスナップショットに対してマルウェアスキャンを実行し、検出結果のタイプに従ってマルウェアの内容を評価します。
    • スナップショットの保持設定を無効にした場合、マルウェアの検出有無に関わらず、解析後にスナップショットは自動的に削除されます。
    • スナップショットの保持設定を有効にした場合
      • マルウェアが検出された場合、スナップショットは削除されずに保持されます。
      • マルウェアが検出されなかった場合、スナップショットは削除されます。

有効化することで、GuardDutyによるマルウェアの評価に加えて、アカウント管理者がマルウェアの機能や作成者の特定などの詳細な評価を行う必要がある場合に、自社内の解析部署やフォレンジック調査ベンダーに対して、マルウェアの検体として提供することが可能になります。

また、保持されたスナップショットは、法的機関から要求があった場合に提供可能な証拠としても活用できます。

マルウェアには自身を削除したり構成変更したりする機能を持つものがあるため、実際の感染環境から検体を取り出したりする際に支障が発生する可能性を考慮して利用されます。

一方、デメリットとしては、スナップショットの保存期間に応じた追加のストレージコストが発生することが挙げられます。

  1. スナップショット保持設定がオフの場合

    • マルウェアスキャン中にスナップショットが作成され、スキャン完了後に自動的に削除されます。
    • コスト
      a) スキャンされたデータ量(GB)に対する料金
      b) スナップショットの一時的な保持期間(取得から自動削除まで)に対する料金

  2. スナップショット保持設定がオンの場合

    • マルウェアスキャン中にスナップショットが作成され、マルウェアが発見された場合にはそのスナップショットが保持されます。
    • コスト
      a) スキャンされたデータ量(GB)に対する料金
      b) スナップショットの一時的な保持期間(取得から自動削除まで)に対する料金
      c) マルウェアが発見された場合、スナップショットを取得してから保持されたスナップショットの保持期間

a)の料金は、スキャンされた実際のデータ量に基づいており、EBSボリュームの全体サイズではありません。

東京リージョンにおける料金は以下の通りです:
a) GuardDutyのEBSデータボリュームスキャン分析料金:0.05 USD/GB
b,c) EBSスナップショットのストレージ料金:0.05 USD/GB/月

b) スナップショットの一時的な保持期間のコスト

スナップショット保持を無効化した場合でも、マルウェアスキャン時にEBSスナップショットが作成され、スキャン完了後に削除されるまでの間、EBSスナップショットのコストが発生します。

以下に具体的な計算例を示します。

計算例

  • 条件
    • 東京リージョンのスナップショットストレージ料金:0.05 USD/GB/月
    • ストレージ容量:1000 GB
    • 保持時間:10分

計算結果
0.05 USD * 1000 GB / (30日 * 24時間 * 60分/10分) = 約0.0116 USD

したがって、上記の条件であれば、スナップショットのストレージ料金は、約0.0116 USDのコストが発生します。

参考

https://aws.amazon.com/jp/ebs/pricing/

https://aws.amazon.com/jp/guardduty/pricing/

https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/malware-protection-customizations.html

Share this article

facebook logohatena logotwitter logo

関連記事

EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

User avatar
臼田佳祐
2024.10.29
[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

User avatar
べこみん
2024.10.27
Amazon Q CLIで短い自然言語からリソースIDをシェルの変数に保存してみた - GuardDuty Detector ID編

Amazon Q CLIで短い自然言語からリソースIDをシェルの変数に保存してみた - GuardDuty Detector ID編

User avatar
臼田佳祐
2024.10.22
[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう

[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.