GuardDuty

こんにちは、SRE の松田です。 本記事では、Amazon GuardDuty の脅威検出結果を Bedrock で翻訳・分析し、日本語で具体的な対応手順を含む通知を Slack に送信する方法をご紹介します。 構成 当初は Step Functions → SNS → AWS Chatbot → Slack の構成を検討しましたが、AWS Chatbotの仕様により断念しました。 AWS Chatbot は、SNS 経由で送信されるメッセージに対して、特定の AWS サービスのイベントフォーマットのみをサポートしており、Step Functions から送信されるカスタムメッセージ形式は、A…

皆様こんにちは！ ネットワールドでAWSやMicrosoftのクラウド製品を担当しているSEの碇です。 本日は、AWSのGuardDutyというサービスについて、サービス概要からご利用方法まで、ご説明しようと思います。 Amazon GuardDuty GuardDutyとは GuardDutyの利用方法 GuardDutyの有効化 GuardDutyの検出結果をS3バケットにエクスポートする KMSキーの作成 KMSキーのキーポリシーの編集 S3バケットの作成 GuardDutyで検出結果のエクスポート設定を編集する 検出結果サンプルの作成 検出結果の格納頻度について 結果のフィルター方法に…

はじめに 背景 GuardDuty Malware Protection for S3 の概要 スキャン結果のタグ 主なクォータ ロギング・通知について Terraformコードサンプル 最後に はじめに こんにちは。CCI のtadaです AWS S3のファイルにマルウェアスキャンをかけられるGuardDuty Malware Protection for S3を試してみました 混同しそうな機能として GuardDuty S3 Protection がありますが、あちらはCloudTrailのログからアクティビティの脅威を検出する機能であるのに対しGuardDuty Malware Prot…

CTO室のldrです🍒 VPC内通信の不正アクセスをリアルタイムで検知する仕組みをご紹介します。

Amazon GuardDutyは、AWSアカウントのイベントやネットワークトラフィックを監視して、不正アクセス、データ漏洩、マルウェアの兆候など不審な動作や脅威を自動的に検出するセキュリティサービス。検出結果とサマリーをGuardDutyコンソールに可視化してくれる。 具体的には次のような不審な動きを検出してくれる ブルートフォース攻撃 通常アクセスされない地域やIPからの接続試行 S3から外部への大規模データ転送 EC2の削除、IAM権限の変更 EC2がボットネットのC2サーバーと通信 EC2から外部への異常なトラフィック（例: マルウェアのダウンロード） 高頻度でスキャンを行うポートスキ…

Security Hubになりたい山本拓海です。 GuardDutyの抑制ルールを作ります。 GuardDutyの抑制ルールを作る理由 抑制された検出結果はどうなるか 手順 手順0. サンプル脅威を検出する 手順1. 検出結果の画面でフィルターを作成する 手順2. フィルターを作成し「抑制ルールを作成」をクリックする 手順3. 抑制ルールの設定 番外 抑制ルールの削除 おわりに GuardDutyの抑制ルールを作る理由 以下のようなケースで検出の抑制が有効です。 GuardDutyの脅威の検出を基本的に通知はしたいが、環境都合でどうしても検出される脅威の通知（誤検知含む）を止めたい リスクを受…

はじめに AWS認定の DevOps Engineer - Professional の取得に目指している中、GuardDuty と Inspector の違いにこんがらがってしまったので簡単に整理してみる。 比較 両サービスとも共通して言えるのは、「継続的なセキュリティ監視サービス」であること。 大きな違いを一言で表すなら「リアルタイムな監視 or 定期的な監視」である。詳細は次の表でまとめてみた。 サービス名 概要 主な特徴 Amazon GuardDuty セキュリティインシデントのリアルタイムな検知と対応が必要な場合に有効。 - 不正アクセスやマルウェアの検知- DDoS攻撃の監視- …