概要
GuardDutyで問題を検出生した場合、GuardDutyからAWS Config、Cloud Trailへと辿ることで誰が何をどのように変更して問題が発生したのか、わかります。
GuardDuty とは
Amazon GuardDuty は、悪意のあるアクティビティのために AWS アカウントとワークロードを継続的にモニタリングし、可視化と修復のための詳細なセキュリティ調査結果を提供する脅威検出サービスです。
AWS アカウント、インスタンス、コンテナワークロード、ユーザー、データベース、およびストレージを継続的にモニタリングし、潜在的な脅威を検出します。
AWS Configとは
AWS Config は、AWS アカウントにある AWS リソースの設定詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。
Cloud Trailとは
AWS CloudTrail は、AWS アカウントの運用とリスクの監査、ガバナンス、コンプライアンスを行えるように支援する AWS のサービスです。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、CloudTrail にイベントとして記録されます。
AWS アカウントアクティビティの可視性は、セキュリティと運用のベストプラクティスにおける重要な側面です。CloudTrail を使用することで、AWS インフラストラクチャ全体のアカウントアクティビティを表示、検索、ダウンロード、アーカイブ、分析し、それに対応できます。アクションを実行したユーザーやアプリケーション、対象のリソース、イベントの発生日時、およびその他の詳細情報を識別して、AWS アカウントのアクティビティの分析と対応に役立てることができます。必要に応じて、証跡上で AWS CloudTrail Insights を有効にして、異常なアクティビティを特定して対応することができます。
GuardDutyの操作
GuardDutyの検出結果で以下のように異常が検知されました。
検出結果タイプをクリックします。
右に詳細が表示されます。
詳細の中のリソースの名前を確認します。
AWS Configの操作
AWS Configの、リソースのインベントリーを見ます。
リソースタイプで絞込み、対象リソースを探します。
対象リソースをクリックします。
CloudTrailの操作
AWS ConfigからCloud Trailに到達する、を参考にCloudTrailに辿り着きます。
