忘れてませんか！？GuardDuty の新重要度 Critical アラートの設定方法を紹介

kaz
2025.03.18
どうも、こんにちは kaz です。
 はじめに昨年の re:Invent 2024（正確に言うとイベント前日ですかね・・・）で AWS GuardDuty に新しい機能である「GuardDuty Extended Threat Detection（拡張脅威検出）」が追加されました。

これまでは GuardDuty で検出された高い重要度レベルは High でしたが、Critical が追加されたことでより重要なセキュリティイベントを検出することが可能になりました！
https://aws.amazon.com/jp/about-aws/whats-new/2024/12/amazon-guardduty-extended-threat-detection/
なお、「GuardDuty Extended Threat Detection（拡張脅威検出）」がどんな機能なのかについては下記の記事をご参照ください。
https://dev.classmethod.jp/articles/amazon-guardduty-extended-threat-detection-is-god/
今回は、運用の視点で新しく追加された Critical レベルのセキュリティイベントを EventBridge を経由して通知する方法を紹介します。

すでに GuardDuty × EventBridge を活用した運用を行っている方は Critical レベルのイベントを受け取るためにも、必ず設定しておきましょう！！
 前提条件GuardDuty が有効になっていること
 やってみたまずは通知を受け取るための SNS トピックを作成しておきましょう。
今回は GuardDuty_Critical_Alerts という名前で作成しました。

また、通知を受け取るために Amazon Q Developer in chat applications (旧: AWS Chatbot) のサブスクリプションを登録しておきました。
つぎに下記ドキュメントを参考に GuardDuty の Critical レベルのセキュリティイベントを EventBridge に送信するための設定を行います。
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_findings_cloudwatch.html#guardduty_cloudwatch_severity_notification
EventBridge のルールを作成します。

ルール名は GuardDuty_Critical_Alerts としました。
イベントパターンで［カスタムパターン］を選択して、下記のイベントパターンを入力します。
イベントパターン（JSON）今回は Critical レベルのイベントを通知するために severity が 9 以上のイベントを通知するように設定しています。
{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "severity": [{
      "numeric": [">=", 9]
    }]
  }
}
しかし、運用においては High レベルのイベントも通知するように設定している場合が多いかと思います。

その場合は下記のように severity が 7 以上のイベントを通知するように設定してください。
{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "severity": [{
      "numeric": [">=", 7]
    }]
  }
}
ちなみに重要度レベルと値の範囲については下記の通りです。
Low: 1.0～3.9
すぐに推奨されるアクションはありませんが、この情報をメモしておくとユーザーの環境で誰かが弱点を探している可能性がある

Medium: 4.0～6.9
影響を受ける可能性のあるリソースをできるだけ早く調査することを推奨

High: 7.0～8.9
重要度の高い検出結果のセキュリティ問題を優先度として扱い、リソースのさらなる不正使用を防ぐための迅速な修復手順を実行することを推奨

Critical: 9.0～10.0
すべての重大な重要度の検出結果の優先順位付けと修復を優先することを推奨

https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_findings-severity.html
ターゲットの選択では、通知を受け取るために先ほど作成した SNS トピックを選択します。
他はデフォルトのままでルールを作成しましょう。
これで GuardDuty の Critical レベルのイベントが EventBridge を経由して SNS トピックに通知される準備が整いました！
 動作確認GuardDuty で Critical レベルのイベントを検出するために、CLI からサンプルイベントを発生させます。
aws guardduty create-sample-findings \
  --detector-id $(aws guardduty list-detectors --query 'DetectorIds' --output text) \
  --finding-types 'AttackSequence:IAM/CompromisedCredentials'
検出結果を見てみると、Critical レベルのサンプルイベントが検出されたことが確認できます。
私は Amazon Q Developer in chat applications (旧: AWS Chatbot) で Slack に通知を受け取るように設定しているので、そちらを確認してみます。

ちなみに、サンプルイベントの発行から実際の通知までに 1〜2 分程度かかります。
これを見てみると Severity は HIGH として通知されるようですね。
 まとめ今回は GuardDuty の Critical レベルのセキュリティイベントを EventBridge を経由して SNS トピックに通知する方法を紹介しました。
Critical レベルは re:Invent 2024 で追加された新しいセキュリティイベントですが、大量のアップデート情報に流されて知らなかったという方も多いかと思います。

通知を受け取ることでセキュリティインシデントへの対応が迅速になるため、ぜひ設定しておきましょう！
 参考Amazon GuardDuty の検出結果の理解と生成 - Amazon GuardDuty
 アノテーション株式会社についてアノテーション株式会社 は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。

「らしく働く、らしく生きる」のスローガンを掲げ、さまざまな背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けています。
現在当社では AWS の構築・運用経験があり、以下の業務に携わってくれるメンバーを募集中です。
AWS 環境の運用設計支援や構築
運用監視とインシデント対応
定型業務などの自動化
AWS 関連資格をお持ちの方、クラウドネイティブな運用経験者は大歓迎です。

少しでもご興味がありましたら 募集職種 よりご応募ください！！
一緒に働ける日を心待ちにしています！