基本の脅威検出
Amazon GuardDuty による脅威検出とインシデント調査
重要な検出結果については Amazon SNS を通じてアラートを設定することをお勧めします。
Amazon GuardDuty
Amazon GuardDuty の利用は、クラウド環境で一般的な脅威を検出する最も簡単な方法です。ワンクリック (組織の場合は数回のクリック) でサービスを有効にでき、コマンド&コントロールサーバーとの通信、偵察活動、権限昇格、異常な振る舞い、その他多くの脅威を検出します。
なぜ GuardDuty なのか? AWS クラウドで脅威を検出する他の方法は?
脅威を検出するために、セキュリティ情報とイベント管理 (SIEM) 、ユーザーエンティティ行動分析 (UEBA) 、ネットワーク行動異常検知 (NBAD)、ランタイム監視ソリューションなどのサードパーティソリューションを使用できます。GuardDuty と同じソースを分析することも可能です。しかし、これらのソリューションの導入、統合、すべての VPC で VPC フローログを生成するコストと労力は非常に高くなります。そのため、カスタムの脅威検出には後のフェーズで他のソリューションの導入をお勧めします。他のソリューションも「ウィン」にはなりますが、「クイックウィン」にはなりません。
マインドマップ
ワークショップ
主なリスクと軽減
- GuardDuty は、攻撃者の偵察活動を早期に検出し、最も一般的な脅威を特定できます。
- GuardDuty は、脅威検出サービスです。検出結果に基づいて、誰かが対応する (または対応の自動化を行う) ことで、脅威への対応効果が発揮されます
評価のガイダンス
- 組織全体で AWS GuardDuty を有効にしていますか?
- チームは GuardDuty の検出結果の理解のためのトレーニングを受けていますか?
料金
- Amazon GuardDuty の料金
- GuardDuty には 30 日間の無料トライアル期間があります
- 現在の使用状況を確認し、将来の使用量を見積もることができます