AWS re:Invent 2017で発表された新サービス「Amazon Guard Durty」を早速使ってみた。

Amazon Web Services Advent Calendar7日目の記事です。

寒さ厳しくなる中、みなさまいかがお過ごしでしょうか。 みんなのウェディングのインフラエンジニア横山です。

11/27~12/1にかけてAWSのカンファレンスであるAWS re:Invent 2017が開催されました。 多数の新サービスがアナウンスされ、早速利用している方も多いのではないでしょうか。 個人的には自然言語処理サービスである「Amazon Comprehend」に注目しています。 日本語対応が待ち遠しいところです。 さて、今回はそんな「Amazon Comprehend」ではなく、同じくre:Inventで発表された「Amazon Guard Durty」を利用してみたのでレポートします。

Amazon Guard Durtyとは

「Amazon Guard Durty」とは、AWS上のVPCフローログ、CloudTrailログ、DNSクエリログを自動的に分析し、不審なアクセスや既知の悪意のあるホストからのアクセスがないか自動検知してくれるサービスです。詳しくは以下の公式情報を参照ください。
https://aws.amazon.com/jp/guardduty/
https://aws.amazon.com/jp/blogs/news/amazon-guarduty-continuous-security-monitoring-threat-detection/

ちなみに、製品ページはまだ翻訳されていませんが、日本語ドキュメントはすでに用意されています。
http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/what-is-guardduty.html

利用手順

有効化の手順は簡単です。まずはじめに、コンソールにログイン後、「Amazon Guard Durty」のページに移動して「今すぐ始める」のボタンを押します。

以下の画面に遷移するので、「GuardDurtyの有効化」を押します。 最初の30日間は無料トライアル期間であるため、無料で使えるようです。

ちなみにこの時作られるサービスロールには以下の権限が設定されています。 恐らく結果表示の際にインスタンスIDが必要になるためでしょう。

以上で準備完了です。

結果

利用開始直後は分析対象が無いため、以下のように結果が表示されませんが、1日程度待つと表示されてきます。

  • 利用開始直後

  • 1日後

弊社の環境だと以下のようなアクセスが検知されました。

appサーバが、194.67.220.17から80番ポートへ16回アクセスを受けています。重要度としては「低い」という判定になっています。重要度の判定基準についてドキュメントを読みましたが詳細はわかりませんでした。個人的には、appサーバであれば通常ありうる外部からの80番ポートへのアクセス、かつ数も少ないため、「低い」なのかなと考えています。

  • 参考資料

GuardDuty 結果タイプの形式

GuardDuty 結果の重大度

まとめ

「Amazon Guard Durty」の利用についてまとめてみました。 簡単に有効化できて、無料トライアルもあるのでみなさまのAWS環境でもすぐに利用してみてください!
※無料トライアル終了後のコスト(試算値)もコンソールから確認できます。弊社の場合は$4/日くらいになるようです。

Amazon Web Services Advent Calendar、明日はtjinjinの記事です!

〜〜みんなのウェディングでは一緒に働く仲間を募集中!〜〜
本番環境でがんがんAWSのサービスを触りたい!チームでサービスをもっと成長させてみたい!そんなエンジニアやデザイナーの方は、ぜひお気軽に遊びに来て下さい!
月1ペースでボードゲーム会もやっています🐺