こんばんは。小寺です。
Amazon DetectiveがGuardDutyの最近の機能アップデートに対応して、新しく脅威検出ができるようになりました。
Detective が新たに対応したGuardDutyの各種機能
GuardDuty は、さまざまな AWS データソースを使用して、機械学習 (ML)、異常検知、ネットワークモニタリング、悪意のあるファイルの発見を組み合わせています。脅威が検出されると、GuardDuty は自動的に AWS Security Hub、Amazon EventBridge、および Amazon Detective にセキュリティの検出結果を送信します。
・Amazon GuardDuty EKS Runtime Monitoring
EKS クラスター内の侵害の可能性がある特定のコンテナを特定し、個々のコンテナから基盤となる Amazon EC2 ホストやより広い AWS 環境に権限をエスカレートさせようとする試みを検出できるようになりました。 EKS ランタイムモニタリングを有効にすると、GuardDuty はアカウントのすべての既存および新規の EKS クラスターのランタイムアクティビティイベントのモニタリングと分析を開始します。
・GuardDuty RDS Protection
アカウント内のサポートされている Amazon Aurora (Aurora) データベースを保護します。RDS Protection 機能を有効にすると、GuardDuty は直ちにアカウントにある Aurora データベースの RDS ログインアクティビティのモニタリングを開始します。GuardDuty は、RDS ログインアクティビティを継続的にモニタリングしてプロファイリングし、疑わしいアクティビティ (例えば、過去に特定されなかった外部攻撃者によるアカウントにある Aurora データベースへの不正アクセス) を調べます。
実際に発表時に確認した過去投稿もご覧くださいませ。
現在サポートされているAuroraのバージョンです。
・Aurora MySQL
2.10.2 以降
3.2.1 以降
・Aurora PostgreSQL
10.17 以降
11.12 以降
12.7 以降
13.3 以降
14.3 以降
・Lambda Protection
AWS Lambda 関数の実行から生成されるVPCフローログから始まるネットワーク アクティビティ ログを継続的に監視します。
また、不正な暗号通貨マイニングのために悪意を持って転用された関数や、通信の際に侵害された Lambda 関数などの Lambda に対する脅威を検出することができるようになりました。
アップデート内容
Amazon Detective は、Amazon GuardDuty EKS Runtime Monitoring、GuardDuty RDS Protection、Lambda Protection のセキュリティ調査をサポートするようになりました。
Amazon Detectiveは、悪意のあるアクティビティや異常な動作を継続的にモニタリングする脅威検出サービスのAmazon GuardDutyや、名前、住所、クレジットカード番号などの個人情報などの機密データを検出するAmazon Macie、AWSのサービスやパートナーサービスからのセキュリティ検出結果を集約するAWS Security Hubなどのデータソースから得られる情報を分析し、全体のコンテキストと詳細を1か所にまとめる
今までDetectiveが対応していたのは、 AWS CloudTrail ログ、Amazon VPC Flow Logs、Amazon EKS 監査ログ、今回追加になる以外のAmazon GuardDutyでした。料金としては、今まで同様にGuardDutyから取り込まれるデータ量に応じて課金がされます。
東京リージョンだと、最初の1000GBまでは: $2.70 per GB
ですね。正式な金額については、公式の料金ページをご確認くださいませ。
有効にするには
有効化するには、Detective側の設定ではなく、GuardDutyで有効化すれば自動的にDetectiveにも反映がされます。もし。GuardDutyを有効化しないアカウントでDetectiveを有効化しようとした場合はエラーになります。
対象リージョン
AWS GovCloud (US) も含めて全てのリージョンで有効です。
まとめ
DetectiveでもGuardDutyの最近GAになった機能アップデートを追加サポートしましたね。次回は、Security HubとのOrganizationsの設定を試してみたいと思います。