Amazon GuardDutyの保護プランについてざっくり絵で起こしてみた

こんにちは！AWS事業本部カスタマーソリューション部のこーへいです。

Amazon GuardDutyとは

Amazon GuardDuty(以降GuardDuty)はAWSの中でもかなりメジャーなサービスで、多くの方に使われているサービスです(もし使っていない方がいれば絶対有効化してください！)。

GuardDutyはAWSアカウント内に発生した不審な動き(不正アクセス等)や不穏な通信が発生した際に検知するサービスで、ぽちっと有効化するだけでアカウントセキュリティのレベルが大きく向上する神サービスです。

下記にGuardDutyの利用率も記載されています、一見利用率は高く見えますが100%近く利用していただきたいのでまだまだ足りないと思っています。

GuardDutyの保護プランってなんじゃ？

GuardDuty自体はどんなサービスかご存知の方も多いと思いますが、保護プランについてはよく知らないって方もいらっしゃるのではないでしょうか(私もその一人でした)。

GuardDutyの保護プランは保険のように追加料金を払うことで、GuardDutyの監視対象サービスの範囲を広げてくれるオプションです。

例としてオプションなし(RDS Protection無効化)だと下記のようにRDSの不正ログインは検知できません。

ですが、オプションあり(RDS Protection有効化)だとRDSの不正ログインを検知できるようになります。

なので、必要なければ(今回の例えだとアカウント内でRDSを利用してなければ)保護プランも有効化する必要はない、、、というわけではなくそもそも監視対象のサービスを使用していなければお金がかかりませんので普通に有効化し得です。

有効化する理由を探して有効化するのではなく、無効化する理由があれば無効化するくらいのスタンスでいいと思います。

各種保護プランを絵で起こす

2023年7月時点で存在する保護プランは以下の通りです。

• GuardDuty S3 Protection
• GuardDuty EKS Protection
• GuardDuty Malware Protection
• GuardDuty RDS Protection
• GuardDuty Lambda Protection

S3 Protection

S3 Protectionでは、CloudTrailのデータイベントのモニタリングを行います。

GuardDuty のS3 の検出結果タイプにて「S3 Protection」カテゴリの検出結果の一覧を確認できます。

さらっと検出結果を眺めてもらえるとわかりますが、だいたいこんなイメージです。

参考ページ

• Amazon GuardDuty における Amazon S3 Protection
• [アップデート] Amazon GuardDuty で S3 への不審なアクティビティを脅威検出できるようになりました！

EKS Protection

EKS Protectionでは、ランタイムと監査ログのモニタリングを行います。

Kubernetes 監査ログの検出結果タイプとEKS Runtime Monitoring の検出結果タイプにて「EKS Protection」カテゴリの検出結果の一覧を確認できます。

さらっと検出結果を眺めてもらえるとわかりますが、だいたいこんなイメージです。

参考ページ

• Amazon GuardDuty における EKS Protection
• [アップデート] GuardDutyがEKSクラスターへの脅威の検出をサポートしました！
• GuardDuty EKS Runtime Monitoring を有効化して検知させてみた

Malware Protection

Malware Protectionでは、EC2 インスタンスまたはコンテナワークロードのスキャンを行います。

Malware Protection の検出結果のタイプにて「Malware Protection」カテゴリの検出結果の一覧を確認できます。

さらっと検出結果を眺めてもらえるとわかりますが、だいたいこんなイメージです。

参考ページ

• Amazon GuardDuty の Malware Protection
• [神アップデート]GuardDutyがEC2やECSのマルウェア検知時のスキャンに対応したので実際にスキャンさせてみた #reinforce
• [アップデート] Amazon GuardDuty マルウェア保護がオンデマンドスキャンに対応しました

RDS Protection

RDS Protectionでは、RDSログインアクティビティのモニタリングを行います。

GuardDuty RDS Protectionの検出結果タイプにて「RDS Protection」カテゴリの検出結果の一覧を確認できます。

さらっと検出結果を眺めてもらえるとわかりますが、だいたいこんなイメージです。

参考ページ

• GuardDuty RDS Protection
• [レポート] Introducing Amazon GuardDuty RDS Protection #SEC218 #reinvent
• Amazon GuardDuty RDS ProtectionがGAされてました

Lambda Protection

Lambda Protectionでは、ネットワークアクティビティログのモニタリングを行います。

Lambda Protection の検出結果タイプの検出結果タイプにて「Lambda Protection」カテゴリの検出結果の一覧を確認できます。

さらっと検出結果を眺めてもらえるとわかりますが、だいたいこんなイメージです。

参考ページ

• Amazon GuardDuty における Lambda Protection
• [アップデート]Amazon GuardDutyでLambdaの不審なネットワークアクティビティを検知出来るようになりました

まとめ

ざっくりですが、保護プランに対して親しみが持てたのではないでしょうか。

とりあえず、この記事を読み終えたらアカウント内の保護プランを有効化しにいきましょう。