[AWS Black Belt Online Seminar] Amazon GuardDuty 資料及び QA 公開

先日 (2018/5/9) 開催しました AWS Black Belt Online Seminar「Amazon GuardDuty」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。

20180509 AWS Black Belt Online Seminar Amazon GuardDuty

Q1. エコシステムの代表例を紹介してもらえますか？

A. 資料の最後でも少しお話しさせて頂きましたが、GuardDuty Partnerになります。英語でのご案内になりますが、是非合わせてご利用をご検討ください。

Q2. 環境内に別AWSアカウントのクレデンシャルを持ち込んでの操作を検出することはできますか？

A. Amazon GuardDutyが検知するのはIAM Activityの脅威検知になります。GuardDutyの結果タイプはこちらになりますので合わせてご確認ください

Q3. amazon-guardduty-tester はWindowsでも使えますか？

A. guardduty-testerがKali-Linunxベースとなっているので、Linuxマシンでお試し頂くのが良いと思います。CloudFormationでEC2インスタンス含め自動構築できるのでこのままご利用頂くほうが楽だと思います。テスト環境を構築するCloudFormationはこちらになりますので合わせてご確認下さい。

Q4. テスト実行のコマンドは GitHub のGuatdDutyテストに記載されていますか？

A. はい、デモでお見せしたテストスクリプトはGit上のguardduty_test.shになります。テスト内容はこちらをご確認ください。

Q5. Amazon GuardDutyとAWS WAFはどのように使い分けるべきですか？

A. Amazon GaurdDutyもAWS WAFもネットワークにおける防御という意味では共有する部分もりますが、サービスとしては全く別ものになります。またそれぞれのサービスが特有に提供する機能も異なりますので、併用されるパターンが多いです。例えばセミナー中にもお話ししましたが、IAM含めたAWS Platformの権限周りの脅威検知はAmazon GuardDutyをご利用頂くおおきなメリットの一つです。

Q6. セキュリティソリューションを併用すると意図しない誤検知や誤作動が発生する場合があると思いますが、Amazon GuardDutyとAWS WAF等セキュリティに関するAWSサービスを併用する問題点やベストプラクティスなどありますか？

A. GuardDutyはあくまで脅威検知のみでブロッキングはしません。ActionとしてBlockingするのであれば、AWS WAF等の他サービス連携が必要になります。

Q7. ブラックリスト/ホワイトリストについて、サブネット毎の適用は可能でしょうか。

A. Trusted List/ Treat Listの適用はAWSアカウント単位になります。

Q8. 月次レポートのような出力機能はありますか？？

A. レポートの機能の提供は現時点ではありませんが、Findingsのフィルタリング、Exportが可能です。

Q9. 今まで、VPCFlowLog、DNSLog、CloudTrailLogを自分で集めて監視をしていましたが、GuardDutyを使用すると、自前の監視は必要なくなるとお考えですか？それとも自前の監視は継続すべきでしょうか？

A. 監視項目によると思います。GuardDutyをご利用頂く後も今までの監視は継続頂くことをおすすめします。

Q10. Lambdaなどのサーバレスサービスのみを利用している場合、GuardDutyを有効化するメリットは何になるでしょうか。

A. GuardDutyはIAM Activityのにおける脅威検知も可能です。どのようなサービスにおいてもIAM含めたAWSクレデンシャルの管理・監視は必要になるので、このあたりがサーバーレスシステムにおいてもGuardDutyをご利用頂くメリットになるかと思います。

Q11. GuardDutyはリージョン単位で有効化とのことですが、全く使っていないリージョンでも有効化すべきなのでしょうか。

A. AWSアカウント情報の万が一の流出リスクを考え、有効化することをご検討頂くといいかと思います。

Q12. マルチアカウント化した場合でも、利用料は子アカウント側に請求が行く形になりますか？

A. 下記、よくある質問をご参考ください。

https://aws.amazon.com/jp/guardduty/faqs/

Q. Amazon GuardDuty 支払人アカウントの推定コストは、リンクされたアカウントすべてに対する合計コスを示しているのですか、それともその支払人のアカウントのみですか?

A. 推定コストは個々の支払人に対するコストのみを表します。マスターアカウントでは、マスターアカウントに対する推定コストのみが表示されます。

Q13. Deep Securityの侵入防御のように、検知だけでなく、危険なパケットを破棄する方法はあるでしょうか？（GuardDutyで検知した情報を元に、AWS WAFのルールを追加するとか？）

A. GuardDutyは脅威検知のため、ブロッキングロジックは別途構築する必要があります。

Q14. IDSに変わるものではない?両方使ったほうが良いものでしょうか?

A. どのようにセキュリティ運用されているかによりますが、IDSとGuardDutyの併用利用から開始されるお客様も多くいらっしゃいます。

Q15. 検知されるまでどこぐらいかかりますか？

A. 脅威に依存しますが、デモでお見せしたの際には5分前後での検知になります。こちらにな関しましては是非、お手元のアカウントで確認ください。

Q16. 今日のデモではEC2を使われましたが、VPC flow logsがデータソースに含まれているため、VPCに構築されるサービスは全て対応していますか？（WorkSpacesなど）

A. GurdDuty Findingsのはこちらの結果タイプをサポートしています。EC2,IAMベースでの脅威検知になります。

Q17. 実際に使用せずに大まかな費用を算出する方法はありますか？

A. 無料期間を利用した推測になりますので、トライアルをお試しください。

Q18. ELBへのアタックは検知されますか？

A. GurdDuty Findingsのはこちらの結果タイプをサポートしています。EC2,IAMベースでの脅威検知になります。

Q19. インターネットと直接通信できない環境でもGuardDutyを利用するメリットはございますでしょうか？

A. GuardDutyはIAM Activityにおける脅威検知も可能です。どのようなサービスにおいてもIAM含めたAWSクレデンシャルの管理・監視は必要になるので、このあたりがインターネットと直接通信できない環境においてもGuardDutyをご利用頂くメリットになるかと思います。

Q20. FlowLogsの設定が無効になっていても取れるということですが、有効になっている場合と何か差が生まれたりするんでしょうか？

A. GuardDutyがユーザのVPC Flow Logsへのアクセスはしなので、特に差はありません。

Q21. 機械学習の仕組みを詳しく教えてください。不正アクセスなどを検知する事で、次回以降同じパターンのアクセスを制御できると言う事ですか？その場合、一度不正アクセスを受ける必要が有るかと思います

A. 機械学習ロジックの詳細に関しましては公開情報がございません。ご理解頂ければ幸いです。

Q22. GuardDuryがFindings を誤検知する可能性ってあるものでしょうか? つまりいきなり本番適用する(しか無いと思うのですが)場合のリスクを知りたいです。

A. Findingsのリストは下記になります。

https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html

Amazon Web Services ブログ