セキュリティ

Amazon GuardDuty で実現する脅威検出 - ML ベースの異常検知とインシデント対応

GuardDuty による脅威検出の仕組み、検出結果の分類、Security Hub との統合によるインシデント対応を解説します。

約 1 分で読めます

GuardDuty の概要

GuardDuty は AWS アカウントとワークロードの脅威を継続的に検出するサービスで、200 種類以上の脅威パターンを識別します。CloudTrail イベント、VPC Flow Logs、DNS クエリログを自動的に分析し、不正な API 呼び出し、暗号通貨マイニング、C&C サーバーとの通信、ブルートフォース攻撃などを検出します。有効化はワンクリックで、既存のログ設定を変更する必要がありません。

検出結果と対応

検出結果は Recon (偵察)、UnauthorizedAccess (不正アクセス)、CryptoCurrency (暗号通貨マイニング)、Trojan (トロイの木馬) などのタイプに分類されます。重要度 High の検出結果は即座に対応が必要で、EventBridge ルールで Lambda を起動し、侵害された IAM 認証情報の無効化や EC2 インスタンスの隔離を自動実行できます。Security Hub との統合で GuardDuty の検出結果を他のセキュリティサービスの結果と統合し、セキュリティ態勢を一元管理できます。

保護プランと Organizations 統合

GuardDuty の保護プランは基本的な脅威検出に加え、 S3 Protection (S3 データイベントの分析)、 EKS Protection (Kubernetes 監査ログの分析)、 Malware Protection (EC2 と ECS のマルウェアスキャン)、 RDS Protection (RDS ログインアクティビティの分析)、 Lambda Protection (Lambda のネットワークアクティビティの分析)、 Runtime Monitoring (EC2/ECS/EKS のランタイム脅威検出) を提供します。 Organizations の委任管理者で全アカウントの GuardDuty を一元管理し、新規アカウントの自動有効化を設定します。検出結果は Security Hub に自動集約されます。 GuardDuty について体系的に学びたい方は、関連書籍 (Amazon)も参考になります。

GuardDuty の料金最適化

GuardDuty の基本料金は CloudTrail 管理イベントと VPC Flow Logs の分析量で課金されます。CloudTrail イベントは 100 万イベントあたり約 4 ドル、VPC Flow Logs は 1 GB あたり約 1 ドルです。各保護プランは追加料金が発生し、S3 Protection は S3 データイベント 100 万イベントあたり約 0.80 ドルです。30 日間の無料トライアルで実際のコストを確認してから有効化を判断します。Malware Protection はスキャン対象のデータ量で課金されるため、スキャン対象を重要なワークロードに限定してコストを管理します。

まとめ

GuardDuty は ML と脅威インテリジェンスで AWS 環境の脅威を自動検出するサービスです。S3、EKS、Lambda、RDS、Runtime Monitoring の保護プランで多層的な脅威検出を提供し、Organizations 統合で全アカウントのセキュリティを一元管理します。EventBridge 連携で検出結果に対する自動修復アクションを構築し、セキュリティ運用を自動化します。

関連するサービス

Amazon GuardDuty機械学習を活用した脅威検出サービスAWS Security HubAWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービスAmazon Detectiveセキュリティの検出結果を自動分析し、根本原因を調査するサービス

関連する記事

Amazon Detective でセキュリティインシデントを調査 - グラフ分析による根本原因の特定Detective による GuardDuty 検出結果の調査、エンティティプロファイル、行動グラフの活用を解説します。IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。Amazon Inspector で脆弱性を自動スキャン - EC2、Lambda、ECR の継続的セキュリティ評価EC2 インスタンス、ECR コンテナイメージ、Lambda 関数の脆弱性を自動スキャンし、CVE ベースのリスクスコアで優先順位を付ける。Systems Manager エージェントとの統合でエージェントレススキャンも実現する方法を解説します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

Amazon GuardDuty機械学習と脅威インテリジェンスを活用して AWS アカウントとワークロードの脅威を継続的に監視・検出するマネージド脅威検出サービスデータプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。脆弱性評価と脅威検知 - Amazon Inspector と GuardDuty で実現する継続的セキュリティ監視Amazon Inspector と Amazon GuardDuty を活用した脆弱性評価と脅威検知の設計・運用方法を解説します。AWS セキュリティサービスの統合力 - GuardDuty から Detective まで SIEM 不要のネイティブ脅威検出GuardDuty、Security Hub、Detective、Macie の連携によるネイティブ脅威検出の仕組みを解説し、Azure Sentinel との設計思想の違いを比較します。