困っていること
弊社は Amazon GuardDuty を利用して脅威検知を行っています。
今後、管理する AWS アカウントが増える予定であり、AWS Organizations 又は 招待による複数のアカウントの管理を検討中です。
一元管理する際に、誤検知や確認済み検知の場合は抑制ルールを利用して、特定の対象での検出をフィルタリングすることを考えています。
抑制ルールは複数の AWS アカウントで共有して設定することは可能でしょうか、教えてください。
どう対応すればいいの?
はい、GuardDuty 管理アカウントで適用された抑制ルールはメンバーアカウントにも適用され、抑制ルールの対象となる検出結果はメンバーアカウントでも自動的にアーカイブされます。
抑制ルール以外にも、信頼できる IP リスト、脅威リストなどを管理することが可能です。
複数アカウント環境で GuardDuty を使用すると、管理者アカウントはメンバーアカウントに代わって GuardDuty の特定の側面を管理できます。管理者アカウントが実行できる主な機能は次のとおりです。 (中略) ● 抑制ルール、信頼できる IP リスト、脅威リストを作成して管理することで、GuardDuty ネットワーク内の検出結果をカスタマイズする。複数アカウント環境でメンバーアカウントはこれらの機能にアクセスできなくなります。
注記 マルチアカウント環境では、GuardDuty 管理者のみが抑制ルールを作成できます。
マルチアカウント環境では、GuardDuty 管理者アカウントのユーザーだけが、信頼できる IP リストと脅威リストをアップロードして管理することができます。
3
