Memo/AmazonWebServices/GuardDuty

http://dexlab.net/pukiwiki/index.php?Memo%2FAmazonWebServices%2FGuardDuty
 

Amazon Guard​Duty

  • Amazon GuardDuty(インテリジェントな脅威検出) | AWS
    • 脅威検出のみ、ブロックはしない
    • AWS CloudTrail?、Amazon VPC フローログ、DNS ログから検出する
    • 出力先は、CloudWatch? eventsのため、slack等に通知したい場合は、Lambdaで行う
    • VPCフローログを見るため、Classic EC2は非対応
      • VPC フローログ - Amazon Virtual Private Cloud
      • EC2-Classic プラットフォームにあるネットワークインターフェイスのフローログを有効にすることはできません。これには、ClassicLink? を使用して VPC にリンクされた EC2-Classic インスタンスが含まれます。

サンプルイベント

  • AWS console上だと "[SAMPLE]"(日本語だと"[例]")から始まる脅威が 20 個ほど生成される
    1. AWS_PROFILE=default
    2. AWS_REGION=ap-northeast-1
    3. aws guardduty create-sample-findings \
    4.   --detector-id $(aws guardduty list-detectors --query 'DetectorIds' --output text --profile $AWS_PROFILE --region $AWS_REGION) \
    5.   --profile $AWS_PROFILE \
    6.   --region $AWS_REGION

Slackへ通知


全リージョンで有効にする

  • awscliで全リージョンでguarddutyを有効化
    1. AWS_PROFILE=default
    2. for region in $(aws --profile $AWS_PROFILE ec2 describe-regions --query "Regions[].[RegionName]" --output text); do \
    3.   echo "---- $region"; \
    4.   aws guardduty create-detector --enable --profile $AWS_PROFILE --region $region; \
    5. done
  • awscliで現在の状態を確認:guardduty未設定の場合は空になる
    1. AWS_PROFILE=default
    2. for region in $(aws --profile $AWS_PROFILE ec2 describe-regions --query "Regions[].[RegionName]" --output text); do \
    3.   echo "---- $region"; \
    4.   aws guardduty list-detectors --profile $AWS_PROFILE --region $region; \
    5. done

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-06-07 (木) 19:27:29 (17d)