Amazon GuardDutyとは
機械学習・異常検知・脅威インテリジェンスを組み合わせてAWSアカウントとワークロードを継続的に監視するマネージドな脅威検出サービス。CloudTrailログ・VPCフローログ・DNSログを分析し、不審な挙動を検出する。
エージェント不要で有効化するだけで機能する。検出した脅威はFindingsとして出力され、EventBridge経由でSNSやLambdaに連携して自動対応を実装できる。
試験での問われ方
「不正なAPIコール検出」「マルウェア感染したEC2の検知」「外部の悪意あるIPとの通信検出」シナリオではGuardDutyを選ぶ。Security Hubと組み合わせてFindings集約、Macieと組み合わせてデータ保護が定番構成。
分析対象のデータソースが問われる。基盤となるのはCloudTrailの管理イベント(不審なAPIコール)・VPCフローログ(怪しい通信先)・DNSログ(マルウェアが使うドメインへの名前解決)で、いずれもエージェント不要でログから検出する点がポイント。さらにEKS監査ログやS3データイベント、RDSログイン異常など保護プランを追加で有効化できる。
Malware Protection機能を使うと、Findingの起点になったEC2のEBSボリュームをスキャンしてマルウェアの有無を確認したり、S3にアップロードされたオブジェクトをスキャンしたりできる。ただしGuardDutyはあくまで「検出」サービスであり、自動ブロックはしない。自動対応にはEventBridge+Lambdaによる実装が必要という点が引っかけになる。
このサービスが登場する演習問題(9問)
- 【CLF-C02】ある企業が、AWSアカウント内の悪意のある活動や異常な動作(不審なAPIコール、マルウェア感染の兆候など)を自動検出した…
- 【CLF-C02】ある企業が、AWSのSecurity Hub・GuardDuty・Inspector・Macieを導入しています。これら…
- 【SAA-C03】ある企業が、マルチアカウント環境で AWS リソースのセキュリティ体制を強化したい。セキュリティチームから以下の要件が出…
- 【SAA-C03】ある企業が、Amazon VPC 内のリソースが意図しない外部との通信を行っていないかを監視したい。特に、VPC 内の …
- 【SAP-C02】グローバル企業が AWS Organizations でマルチアカウント環境を管理しています。セキュリティ要件として、⑤…
- 【SAP-C02】ある企業が AWS Organizations で管理するマルチアカウント環境において、全アカウントのセキュリティイベン…
- 【SAP-C02】ある企業が AWS Organizations を使って管理しているマルチアカウント環境で、各開発チームが自律的に AW…
- 【SAP-C02】ある企業が複数の事業部門のためにセキュリティと自律性のバランスを取ったマルチアカウント設計を策定しています。各事業部門は…
- 【SAP-C02】ある企業が AWS 上で Amazon S3 バケットを使って機密データを保存しています。セキュリティ監査で「S3 バケ…