SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

これだけは押さえておきたい! AWSサービス最新アップデート

AWS「GuardDuty」「Firewall Manager」がもっと便利に! セキュリティ関連のアップデート3選

第3回 GuardDuty、Firewall Manager

  • X ポスト
  • このエントリーをはてなブックマークに追加

異常な動作の判別のためのコンテキストデータが取得可能に「GuardDuty S3 Protection」

 次にGuardDuty S3 Protectionのアップデートを紹介します。

 GuardDuty S3 ProtectionはS3バケットに保存されているデータへの悪意あるアクティビティを検出する機能です。

 本アップデートは、悪意あるアクティビティをより正確に検知する機械学習機能が導入され、異常な地理的位置からのリクエストやデータの不正引き出しと思われるAPIコール、その他既知の攻撃戦術に関連する悪意あるアクティビティの検出精度が向上したというものです。

 メインのアップデートは上記でしたが、それ以外に、もう1つアップデートがありました。

 それが、異常な操作が検出された際に、検出されたアクティビティの何が異常だったか」、「通常S3バケットはどこからアクセスされているか」、「アクセスしたS3バケットに対するAPIコール数が通常どのくらいか」などのコンテキストデータが取得できるようになったというもので、GuardDuty利用者からするとこちらのアップデートの方が嬉しかったのではないでしょうか。

 実際に異常な動作(検知タイプ:S3/AnomalousBehavior)が検知された場合にどのような情報が確認できるかを、GuardDutyのサンプルイベントを発行させる機能を使ってご紹介します。

 コンソール上では以下情報を確認することができます。

コンテキストデータ
コンテキストデータ

 異常な動作(ユーザID)を詳しくみてみると、APIが1日に20000件呼び出されたことを異常な動作として検知しています。

 過去の動作(ユーザID)で、通常どのくらいAPIが呼び出されているかを確認すると、平均150件、最高でも1000件ということがわかります。

 この情報をもとに、異常な操作が行われていると判断することができます。

 これまでは、異常な操作が検出された際に、本当にそれが異常な操作なのか判別することが難しかったと思いますが、この情報を活用することで判断を容易することが可能になりそうです。

次のページ
Firewall ManagerでNetwork FirewallのAWSマネージドルールが一元管理可能に

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
これだけは押さえておきたい! AWSサービス最新アップデート連載記事一覧

もっと読む

この記事の著者

竹山 菜記(株式会社NTTデータ)(タケヤマ ナツキ)

 2019年にNTTデータに入社。 パブリッククラウドを活用したシステム基盤の構築・運用やオンプレミスからパブリッククラウドへのマイグレーション案件に携わる。 注目しているキーワードは"クラウドネイティブ"。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/17075 2022/12/28 11:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング