AWS GuardDuty

■20180509 AWS Black Belt Online Seminar Amazon GuardDuty

■AWS GuardDuty の特徴

• 悪意のあるアクティビティや不正な動作を継続的にモニタリングする脅威検出サービスです。
• 機械学習、異常検出、および統合された脅威インテリジェンスを使用することで、潜在的な脅威を識別し、優先順位を付けます。

■AWS GuardDuty は以下のイベントを解析する

• AWS CloudTrail Management Events (アカウント内の AWS ユーザーと API アクティビティ)
• AWS CloudTrail S3 Data Events (Amazon S3 活動)
• Amazon VPC フローログ (ネットワークトラフィックデータ)
• DNS ログ (名前のクエリパターン)
• 悪意のある IP アドレスやドメインのリストなど
• ELB のアタックは検知しません。（解析対象にはなっていません。）EC2、IAMベースでの脅威検知になります。