GuardDutyでフィルタ結果の自動アーカイブに対応したのでやってみた

Amazon GuardDutyにフィルターの結果を自動的にアーカイブする機能が追加されました。これにより、定常的に検知される既知の安全なログをコンソール上に表示せず、より環境にあった可視性を保つことが可能になりました。
2018.05.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

皆さん、Amazon GuardDutyはちゃんと有効化していますか?

そしてちゃんと通知されるようにしたり、定常的に確認していますか?

今回はGuardDutyでフィルタした結果の自動アーカイブに対応したので早速使ってみました。

何が嬉しいの?

GuardDutyでは既に確認した検知結果をアーカイブして、マネジメントコンソール上で表示させないようにすることが可能でした。

しかしながら、新しく検知した検知結果は当然表示されます。

普段の運用を考えると、脅威レベルが低く実際には正常であると判断できる決まったパターンの検知結果は、出来れば新しい検知結果として表示せずにアーカイブしてほしいですよね。

例えば、弊社の場合には不定期にメンテナンスのためのアクセスが特定のIAMユーザから発生するのですが、定常的に利用していないIAMユーザのためGuardDutyで検知されます。

「UnauthorizedAccess:IAMUser/UnusualASNCaller」という検知内容で、アクセス頻度の低いIAMユーザからのアクセスを検知してくれるのですが、少なくともこのIAMユーザが利用される場合は正常な動作であると考えられるので、コンソールに表示させたくないです。

そんな時にこの機能を利用すると、検知するたびに手動でアーカイブしなくて良くなるので嬉しいです。わかっている決まった作業は自動的にやってほしいですからね。

やってみた

GuardDutyの画面を開きます。

ちなみに、以前はアーカイブされた結果は別画面で確認していましたが、同じ画面でフィルタアイコンから表示/非表示を選択できるようになったようです。

まずはフィルタを適用します。「フィルタの追加」から任意のフィルタ項目と値を入力します。今回は先程例に上げたアクセス頻度の低いユーザのユーザ名で絞ってみます。項目はUsernameを選択します。

選択した項目の値を求められるので、ユーザ名を入力してApplyします。

検索結果が表示されるので、フィルタ右にある「Save」を押します。保存するフィルタ名と合わせて「auto-archive」が選択できるようになっているのでこれにチェックを入れて保存します。

保存されたフィルタを選択できるようになりました。

ちなみに、既存の検知結果は自動的にアーカイブされないので、チェックを入れて「アクション」からアーカイブしましょう。

 

これで設定が完了しました。あとは自動的にアーカイブされるのを待つだけですが、このアクセスは自分主導で検知できないので、検知されるまで気長に待ちます。

まとめ

GuardDtuyの運用がより楽になるアップデートだったと思います。

既知のパターンで実際の脅威があまりない検知に悩まされている運用担当者の方はぜひ利用してみて下さい!