抑制ルールを複数の AWS アカウントで共有して設定することは可能か教えてください
困っていること
弊社は Amazon GuardDuty を利用して脅威検知を行っています。
今後、管理する AWS アカウントが増える予定であり、AWS Organizations 又は 招待による複数のアカウントの管理を検討中です。
一元管理する際に、誤検知や確認済み検知の場合は抑制ルールを利用して、特定の対象での検出をフィルタリングすることを考えています。
抑制ルールは複数の AWS アカウントで共有して設定することは可能でしょうか、教えてください。
どう対応すればいいの?
はい、GuardDuty 管理アカウントで適用された抑制ルールはメンバーアカウントにも適用され、抑制ルールの対象となる検出結果はメンバーアカウントでも自動的にアーカイブされます。
抑制ルール以外にも、信頼できる IP リスト、脅威リストなどを管理することが可能です。
複数アカウント環境で GuardDuty を使用すると、管理者アカウントはメンバーアカウントに代わって GuardDuty の特定の側面を管理できます。管理者アカウントが実行できる主な機能は次のとおりです。 (中略) ● 抑制ルール、信頼できる IP リスト、脅威リストを作成して管理することで、GuardDuty ネットワーク内の検出結果をカスタマイズする。複数アカウント環境でメンバーアカウントはこれらの機能にアクセスできなくなります。
注記 マルチアカウント環境では、GuardDuty 管理者のみが抑制ルールを作成できます。
マルチアカウント環境では、GuardDuty 管理者アカウントのユーザーだけが、信頼できる IP リストと脅威リストをアップロードして管理することができます。
![[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f1f1e80330aaa8917410e012de277155/263838c1009bccfef2d8a98f11615f2d/amazon-guardduty)
![[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-764c44f07bcd41184fe62a432ae120ab/512a4cdcd05a0ed3ddea950fdf619fa0/amazon-athena)
