🧸

GuardDutyの機能

2025/01/24に公開

1. 目的

  • GuardDutyの機能とユースケースについて理解する
  • 料金体系と導入のポイントを理解する

2. 概要

AWS GuardDutyとは

AWS GuardDutyは、AWSサービス個々に対して脅威となる挙動を検知し一元的に確認することができるサービスです。

数あるセキュリティサービスの中でも、比較導入しやすくわかりやすい仕様になっています。

https://qiita.com/ouerika/items/742b95a99903a8442ae6

GuardDutyの機能は以下の通りです。

  • 脅威の検出: AWS環境での異常なAPIコールや不審なネットワークトラフィックなどを継続的にAWSアカウントとリソースを監視し、リアルタイムで脅威を検出します。
  • 機械学習: 機械学習アルゴリズムを活用して、脅威の検出精度を向上させています。既知の脅威だけでなく新たな脅威を識別することができます。

仕様

GuardDutyを開始するためには特別なアクションは必要なく、ただ機能を有効化するだけです。

基本的なモニタリングについてはAWSアカウントに対して脅威となる挙動を機械学習アルゴリズムによって検出しているため何もしなくても問題ありません。

自動で検出した結果はコンソール画面から確認できます。

以下は検出結果の例です。

タイトル 重要度 検出結果タイプ リソース カウント アカウント ID 最終アクセス
XX.XX.XX.XX is performing SSH brute force attacks against i-123412341234xxxxx . UnauthorizedAccess:EC2/SSHBruteForce EC2 インスタンス: i-123412341234xxxxx 39 000000000000 1日前

タイトルは検出した内容の概要が記載されています。この場合はSSHブルートフォース攻撃が疑われるアクセスが39回実行されていますが、実際に侵害には至らなかったため重要度は「低」になっています。

また、全体の検知結果のサマリを表示させる機能があり、アカウントに対してどのようなリスクが発生しているか一目で確認することができます。

対象

AWS GuardDutyが脅威の検出対象とする主なAWSリソースは以下の通りです。

Amazon EC2

  • 監視対象: EC2インスタンスの異常な動作や不審なアクティビティ
  • 検出する脅威の例:
    • 不正なインスタンスの振る舞い
    • 異常な通信パターン(例: 通常とは異なるIPアドレスへの大量のデータ送信)

AWS CloudTrail

  • 監視対象: APIコールのログ
  • 検出する脅威の例:
    • 不正なAPIコール(例: 通常使用しないリージョンからの管理者権限のAPIコール)
    • 異常なアクティビティ(例: 短時間で大量のAPIコール)

Amazon VPC

  • 監視対象: VPC Flow Logs
  • 検出する脅威の例:
    • 不正な外部アクセス(例: 知らないIPアドレスからのアクセス)
    • 内部の異常な通信パターン(例: 内部ネットワーク間での大量データ転送)

AWS S3

  • 監視対象: S3バケットのアクセスログ
  • 検出する脅威の例:
    • 不正アクセス(例: 未承認のユーザーによるデータの読み取りや書き込み)
    • 不審なデータ転送(例: 通常の業務時間外の大量データダウンロード)

AWS IAM

  • 監視対象: IAMユーザーやロールのアクティビティ
  • 検出する脅威の例:
    • 権限のエスカレーション(例: 権限のないユーザーが管理者権限を取得しようとする)
    • アクセスキーの悪用(例: 不正に取得されたアクセスキーによるAPIコール)

また、通常の脅威検出以外にもS3に対するマルウェア検知のような拡張機能を利用可能です。

脅威検出タイプの詳細は下記のドキュメントを参照してください。

https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.html

機能の統合

GuardDutyはAWSアカウントの他サービスと連携することで、セキュリティの調査や可視化に役立てることができます。

アラート

  • AWS CloudWatchやAWS Security Hubなどと統合し、アラートを通知。
  • 最短で15分サイクルで検出結果をポーリングして、不審なアクティビティが検出通知を受け取ることが可能。

調査

  • Amazon Detectiveと統合することで不審なアクティビティの分析、調査を実施が可能。
  • データを自動的に集約し、視覚的なツールを提供することで、より迅速かつ効率的なセキュリティ調査を実施。

評価

  • AWS Security Hubと統合することで、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定。

GuardDutyのこれらの機能は、企業がクラウド環境のセキュリティを強化し、潜在的な脅威に迅速に対応するための強力なツールです。例えば、GuardDutyが不審なログイン試行を検出することで、早期に問題を発見し、対処することが可能となります。

3. 価格

GuardDutyのコストは分析したデータの数によって見積もりします。

デフォルト設定のままではCloudTrailのAPIコール、VPCフローログ、EC2のDNSクエリログを課金対象にしています。

東京リージョンでの見積もり例は下記のとおりです。

サービス 分析実行/月 コスト
CloudTrailのAPIコール 3,000,000回 14.16 USD
VPCフローログ 1GB 1.18 USD
EC2のDNSクエリログ 1GB 1.18 USD
  • 見積もり詳細

    3,000,000 management events x 0.00000472 USD = 14.16 USD for Management Event Analysis

    1 GB per month (VPC Flow Log Analysis) + 1 GB per month (DNS Log Analysis) = 2.00 GB per month

    Tiered price for: 2.00 GB

    2 GB x 1.18 USD = 2.36 USD

    Total tier cost = 2.36 USD EC2 VPC Flow Log and DNS Log Analysis

    14.16 USD for Management Event Analysis + 2.36 USD EC2 VPC Flow Log and DNS Log Analysis = 16.52 USD for total foundtional threat detection

    Total GuardDuty Foundational Threat Detection cost: 16.52 USD

    GuardDuty Total Cost (monthly): 16.52 USD

また、S3 Protection等の保護プランを使用すると別の料金が発生します。

詳細な情報は下記を参照してください。

https://aws.amazon.com/jp/guardduty/pricing/

実際に使用を開始すると使用状況からそれぞれの1日当たりの平均コストを閲覧することが可能です。GuardDutyは30日間の無料期間があるため、適用後のコストを見積もることができます。

4. 導入のポイント

  • 導入前準備: AWSアカウントの構成とリソースの特定を行い、監視対象を明確にします。必要であれば追加の保護プラン導入を検討します。
  • アカウント統合: Organizationsからのアカウント統合が可能であれば、すべてのアカウントを横断的に監視することができます。
  • アラート設定: CloudWatchやSecurity Hubと連携し、重要なアラートが見逃されないように設定します。Chatbotなどと連携すると、検出結果をチャットツールに投稿が可能です。
  • 継続的な監視: 定期的にGuardDutyの検出結果をレビューして、クリティカルな脆弱性に対してセキュリティポリシーを適用します。

5. まとめ

AWS GuardDutyはとても簡単に導入でき、コストパフォーマンスが高い脅威検出ツールです。

導入のハードルが低いので、脅威検出関連のサービス導入に迷っている方にはお勧めしたいサービスです。

送信元などを解析したり、どの程度の頻度で不審なアクセスがあったかなどの可視化にも役立ちますのでアカウントの状態が気になっているという方はぜひお試しください!

株式会社トッカシステムズ

Discussion