Amazon GuardDuty でデータソースを使用する方法 - Amazon GuardDuty

Amazon GuardDuty でデータソースを使用する方法

AWS 環境で許可されず、予期されないアクティビティを検出するために、GuardDuty は AWS CloudTrail イベントログ、VPC フローログ、および DNS ログを分析して処理します。これらのデータソースから GuardDuty への通信中、ログデータはすべて暗号化されます。GuardDuty はこれらのログのさまざまなフィールドを抽出して、プロファイリングと異常の検出を行った後、ログを破棄します。

次のセクションでは、GuardDuty でサポートされている各データソースを使用する方法の詳細を説明します。

AWS CloudTrail イベントログ

AWS CloudTrail は、アカウントの AWS API コールの履歴を提供します。履歴には、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、高レベルの AWS サービスを使用した API コールが含まれます。CloudTrail では、CloudTrail をサポートするサービス用に AWS API を呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定することもできます。詳細については、AWS CloudTrail User Guideを参照してください。

管理イベントあるいはデータイベント (またはその両方) のログを記録するように CloudTrail 証跡を設定できます。管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについての洞察が得られます。たとえば、セキュリティの設定 (IAM AttachRolePolicy API オペレーション)、デバイスの登録 (Amazon EC2 CreateDefaultVpc API オペレーション)、ルーティングデータのルールの設定 (Amazon EC2 CreateSubnet API オペレーション)、ログ記録の設定 (AWS CloudTrail CreateTrail API オペレーション) などです。データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての洞察が得られます。たとえば、Amazon S3 のオブジェクトレベルの API アクティビティ (GetObject、DeleteObject、および PutObject の API オペレーション)、AWS Lambda 関数の実行アクティビティ (呼び出し API) などです。詳細については、「証跡のデータイベントと管理イベントのログ記録」を参照してください。

現在のところ、GuardDuty は CloudTrail 管理イベントのみを分析します。CloudTrail で設定したログデータイベントがある場合、CloudTrail データに基づいた GuardDuty 分析と CloudTrail 自体が配信するログでは違いが生じます。

GuardDuty で CloudTrail をデータソースとして使用する場合のもう一つの重要な点は、CloudTrail のグローバルイベントの取扱いと処理です。ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。AWS IAM、AWS STS、Amazon CloudFront や Route 53 などのグローバルサービスの場合、イベントはグローバルサービスが含まれた任意の証跡に配信され、発生した場所は 米国東部(バージニア北部) リージョンであるとログに記録されます。詳細については、「グローバルサービスイベントについて」を参照してください。

GuardDuty は、CloudTrail がすべてのリージョンに送信するグローバルイベントを含む、リージョンに届くすべてのイベントを処理します。これにより、GuardDuty は各リージョンでユーザーとロールプロファイルを維持し、悪意のある認証情報をリージョン間で確実に検出できます。

GuardDuty は、サポートされているすべての AWS リージョンで有効にすることを強くお勧めします。このように設定することで、お客様が能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます。また、GuardDuty では、グローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。

VPC フローログ

VPC フローログは、Amazon EC2 のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャします。詳細については、「VPC フローログ」を参照してください。

GuardDuty を有効にすると、ただちに VPC フローログのデータの分析が開始されます。フローログの単独ストリームおよび重複ストリームの VPC フローログ機能から直接 VPC フローログイベントを使用します。このプロセスによる既存のフローログ設定への影響はありません。

GuardDuty はフローログを管理しません。また、アカウントによるフローログへのアクセスを可能にすることはありません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。

フローログへの GuardDuty アクセスには追加料金はかかりません。ただし、保持するフローログを有効にするか、アカウントで使用した場合は、既存の料金表が適用されます。詳細については、「フローログの使用」を参照してください。

DNS ログ

EC2 インスタンスで AWS DNS リゾルバーを使用している場合 (デフォルト設定)、GuardDuty は、内部の AWS DNS リゾルバーを介して、リクエストと応答の DNS ログにアクセスして処理することができます。サードパーティーの DNS リゾルバー (例: OpenDNS または GoogleDNS) を使用している場合、または独自の DNS リゾルバーを設定している場合は、GuardDuty でこのデータソースからデータにアクセスしたり処理したりすることはできません。