AWS GuardDuty

【AWS Black Belt】Amazon GuardDuty（20180509）

【DiveDeepSeminar】Amazon GuardDuty で Malware Protection！

【AWS Black Belt】Amazon GuardDuty（2025年1月）

AWS GuardDuty の特徴

AWS GuardDuty は、悪意のあるアクティビティや不正な動作を継続的にモニタリングする脅威検出サービスです。GuardDuty はイベントベースでログを収集して脅威検出を行います。機械学習、異常検出、および統合された脅威インテリジェンスを使用することで、潜在的な脅威を識別し、優先順位を付けます。

AWS GuardDuty イベント解析

• AWS CloudTrail Management Events (アカウント内の AWS ユーザーと API アクティビティ)
• AWS CloudTrail S3 Data Events (Amazon S3 活動)
• Amazon VPC フローログ (ネットワークトラフィックデータ)
• DNS ログ (名前のクエリパターン)

悪意のある IP アドレスやドメインのリストなどELB のアタックは検知しません。（解析対象にはなっていません。）EC2、IAMベースでの脅威検知になります。

EKS などの監査ログや Kubernetes API アクティビティの監視も出来ます。

GuardDuty Malware Protection for S3

Malware Protection for S3 は、Amazon S3 バケットに新しくアップロードされたオブジェクトをスキャンすることで、マルウェアが存在する可能性を検出できます。バケットに オブジェクトまたは既存の S3 オブジェクトの新しいバージョンがアップロードされると、GuardDuty は自動的にマルウェアスキャンを開始します。

EKS Protection

EKS Protection は、 AWS 環境内の Amazon Elastic Kubernetes Service (Amazon EKS) クラスターで潜在的なセキュリティリスクを検出するのに役立ちます。Kubernetes クラスターに対する異常な API 呼び出しを検出します。

EKS Protection を有効にすると、GuardDuty は自動的にAmazon EKS クラスターの潜在的なセキュリティ脅威のモニタリングを開始します。

RDS Protection

RDS Protection は、RDS/Aurora へのログイン挙動を監視して、不審なアクセスや異常なログインを検知する機能です。GuardDuty は RDS のログインイベントを継続的に監視・プロファイリングし、内部脅威や外部攻撃者による不正アクセスの兆候を見つけると、RDS 向けの検出結果を生成します。

監査ログと RDS Protection の違い

DB の監査ログ（RDS SQL Server の監査や Aurora MySQL の監査ログ）は、DB 側で発生したイベントを記録する仕組みです。SQL Server では監査仕様を作って直接 S3 へ監査ログを出せます。Aurora MySQL ではクラスターパラメータグループで監査対象イベントを有効化して監査ログを出せます。何をどこまで記録するかを自分で決めて、後から見るための証跡です。

GuardDuty RDS Protection は、RDS ログインアクティビティを継続的に監視して、異常・悪性IP・Tor・ブルートフォースの兆候を検知し、GuardDuty Findings を出す仕組みです。こちらは「ログを保存する」よりも、怪しいログインを自動判定してアラート化するのが主目的です。