【AWS】GuardDuty Malware Protection

GuardDuty Malware Protectionの概要

GuardDutyのMalware Protectionとは、GuardDutyの機能のひとつでEC2インスタンスやコンテナ上のマルウェアを検出し通知するセキュリティ機能です。

特徴としては、以下の3点が挙げられます。

1. EC2インスタンスやコンテナ上で動作するマルウェアの挙動を検知

2. 実行型スキャン

3. オンデマンドスキャン

ひとつひとつ見ていきましょう

3つの特徴

1.EC2インスタンスやコンテナ上で動作するマルウェアの挙動を検知
GuardDutyの機能の一つで、EC2やコンテナのEBSをスキャンしマルウェアを検出してくれます。前提としてGuardDutyが有効化されている必要があります。スキャンの方法としては2種類あります。実行型スキャンとオンデマンドスキャンの2種類。

2.実行型スキャン
GuardDutyが疑わしい挙動を検出すると、EC２やコンテナで利用しているEBSのスキャンを開始しマルウェアを検出してくれます。
もしEC2やコンテナを運用している場合は、この設定は有効化しておくのがよいでしょう。
スキャンの実態としては、AWS側でEBSのスナップショットを自動取得し、スナップショットの中身をスキャンします。ですのでEC2やコンテナの性能面に影響はありません。
取得したスナップショットは削除せずに保存しておくこともできます。あとから解析に利用することができます。
詳しくはこちらを参照ください

3.オンデマンドスキャン
オンデマンドスキャンは、EC2インスタンスのみの機能となります。EC2 インスタンスの Amazon リソースネーム (ARN) を指定することで、利用者が任意のタイミングでスキャンを実行することが可能です。
詳しくはこちらを参照ください。

注意点

Malware Protectionはマルウェアを削除や隔離、停止などする機能がありません。あくまでも検出のみとなります。しかし有効化しておくことにより早期発見と迅速な対応が可能となります。有効化しておくことをおすすめします。
また、EBS暗号化している場合、AWSデフォルトキーで暗号化しているボリュームは未対応ですので注意いただければと思います。

まとめ

Malware Protectionを紹介しました。いかがだったでしょうか。
GuardDuty Malware Protectionを利用することで、EC2インスタンスやコンテナ上でのマルウェア感染を迅速に検知し、被害を最小限に抑えることができます。セットアップも簡単で、AWSコンソールから有効化するだけで使用できます。(設定方法については後日、記載したいと思います。)
EC2やコンテナを運用している方はぜひ参考にしていただければと思います。

参考

Amazon GuardDuty の Malware Protection - Amazon GuardDuty

関連の記事

【初めてのAWS】GuardDutyの紹介
【AWS】GuardDutyの有効化
【AWS】GuardDutyでイベント検知したらメール通知する仕組みを作る
【AWS】GuardDutyの通知メールをカスタマイズしてみる