✨
Amazon GuardDutyがリージョンサービスであることを再確認した
目的とサマリ
GuardDutyはリージョンサービスであり、有効にするリージョンを選択することができる。
この際に、ちょっとした議論になった。
- 有効にしたリージョンのみで検出を行うのか
- 有効にしたリージョンに検出結果があつまるのか
1 のつもりだったのだが、ふいに議論になった際に自信を持てなかったので確認する。
サマリ
結果は以下だった。
- Amazon GuardDuty は有効にしたリージョンに対して検出を行う。
- 検出結果はリージョンを超えない。ユーザが結果集約の実装をする必要がある。
情報ソース
Amazon GuardDuty のドキュメント
このページで有効にしたリージョンで検出を開始するとあった。
Once enabled, GuardDuty will immediately begin to monitor for security threats in the current Region.
Amazon GuardDutyに関するよくある質問
このページのQAに以下のようにある。リージョンごとの結果はGuardDutyの機能では他のリージョンに飛ばないことになっている。
GuardDuty はリージョン別のサービスです。複数のアカウントが有効となっていて、複数のリージョンが使用されている場合でも、GuardDuty のセキュリティの検出結果は、基盤となるデータが生成されたリージョンと同じリージョンに残ります。このため、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。
実際に試してみようとしたが…
CLIからこちらのAPIでFindingsを発生させてみようとしたが、そもそもGuardDutyを有効化していないとdetecter-idが発行されないのでAPIを叩くこともできなかった。
強制的にGuardDutyがFindingsを検知するインシデントを起こそうと思って、こちらのテスターを利用しようとしたが、やはり説明でGuardDutyをOnにしてから使えとあった。
まとめ
ひとまず自身の認識が間違えていないことがわかった。
Discussion