Amazon Web Services (AWS) GuardDutyは、AWSネットワークの異常なふるまいを継続的に監視するスレッド定義サービスで、認証されていないアクティビティやサイバー攻撃の発見に役立ちます。VPCフローログ、AWS CloudTrailイベントログ、DNSログのリソースからデータの解析および処理を行い、それを実現します。
Site24x7との連携によって、他のセキュリティおよびインシデント対応ツールと統合してデータを集約します。
Site24x7はAWS GuardDuty APIを用いて情報を収集します。AWS管理のポリシー"ReadOnlyAccess"をSite24x7エンティティ(IAMユーザー または IAMロール)に割り当てることで、Site24x7がメトリクスやメタデータを収集します。カスタムポリシーを割り当てたい場合、次の読み込みレベルのアクションがポリシーJSONに存在するかを確認します。詳細はこちら。
Site24x7はGuardDutyのメトリクスデータをチェック間隔に基づいて収集します。チェック間隔はデフォルトで1時間です。詳細はこちら。
1つのGuardDuty監視が1ベーシック監視とみなされます。詳細はこちら。
GuardDutyの監視画面にアクセスすると、動作、永続性、ポリシー、偵察、ステルス、不正アクセス、トロイの木馬、およびAWSコンソールでサポートされているその他のカテゴリについて、さまざまな詳細が表示されます。
各カテゴリは、Site24x7コンソールではモニター名と見なされ、1日あたりの結果数に関する情報を提供します。監視名をクリックすると、次のタブが表示されます。
イベントタイムライン、トップ結果、1日ごとの結果数の概要が表示されます。イベントタイムラインでは、ダウン、トラブル、クリティカル、メンテンナンス、アノマリ、停止といった各イベントがタイムラインで把握できます。トップ結果数ではGuardDutyで検知され結果 ARN、リソースタイプ、重要度、領域、発生件数が表示されます。
リージョン詳細、リージョンごとの結果数(現行およびアーカイブ済み)、1日ごとのリージョン数の情報が表示されます。リージョン情報、結果タイプ、現行の結果、アーカイブ済み結果、アクションの情報がリージョン詳細項目には表示されます。リージョン項目では、リージョンごとの概要を把握することができ、問題が発生したリージョンを分析します。
リソースタイプ情報、タイプごとの結果数(現行およびアーカイブ済み)、リソース数がここで表示されます。リソースタイプ情報欄では、リソース名、結果タイプ、結果数、アクションが把握できます。タイプごとの結果数に関する円グラフは、各リソースタイプごとの概要や関連付けられている数が記載されます。
特定の結果タイプ(現行およびアーカイブ済み)が発生した原因詳細とともに、アクション詳細項目で結果数が表示されます。アクション欄の編集オプションで、アクションタイプごとの自動化アクションを実行したり、追加できます。たとえば、ネットワーク接続が特定の結果の10回以上で発生する場合に通知を行うよう設定できます。
しきい値設定により、設定した結果数設定に基づいて、選択した子リソース監視のしきい値を一括で追加、編集が行えます。
この障害タブで、監視のダウン、トラブル、クリティカル、メンテナンスといったステータスの履歴リスト化されます。その他に障害の開始および終了時間、期間、コメントもこのセクションに表示されます。
GuardDuty監視の全ての結果がAWSコンソールからアーカイブされた場合、Site24x7がそれらを停止させます。AWSコンソールで現行の結果に再度変更された際に、その監視はアップ判定となります。これによりSite24x7の不必要なライセンス消費を防げます。
各GuardDuty監視に設定されている、しきい値設定情報が表示されます。重大度の高い結果、リソースタイプごとの結果数、1日ごとの結果数などのしきい値パラメータが記載されます。そのほかにチェック間隔や設定されている通知プロファイルもユーザーに基づいて表示できます。
各GuardDutyのログステータスレポートです。CSV形式でこのタブからダウンロードも可能です。