![見出し画像](https://assets.st-note.com/production/uploads/images/93787623/rectangle_large_type_2_613ff9d7095fcb86031ce3d6accdcdf9.png?width=1200)
「GuradDuty」はかなりできるヤツ!
こんにちはこぐまです。
業務中に1件のメールが届きました。
「GuradDuty」→「EventBridge」→「SNS」で届いたメールです。
普段利用していない「us-east-1(バージニア北部)」において、
GuradDutyが何かしら検知をしたようです。
マネジメントコンソールで内容を確認してみると・・
![](https://assets.st-note.com/img/1671587464955-QIHvNgYd5l.png?width=1200)
「Discovery:IAMUser/AnomalousBehavior」
→ IAMUserで普段見られない振る舞い(異常な行動)が見られました。
ということで、その下の情報欄に詳細な情報(例えば、処理はどうだったかとか、どこからアクセスしてきたとか、何時に発生し検知したのは何時だったか・・など)が記載されていました。
![](https://assets.st-note.com/img/1671589485682-DSwKq0Rc8U.png?width=1200)
発信元IPアドレス、場所などが表示されます。
利用されていたのは別AWSアカウントのIAMユーザからスイッチロールとして利用するために準備したロールでした。参照専用なので、複数人で利用していました。該当時間帯に利用した方がいないかどうか確認したところ、申告が2件ありました。それぞれの利用者のGIPをヒアリングして、GuradDutyが検知した対象を特定することができました。
そして、今回なぜ、GuradDutyが検知したのか・・ということですが、
実はその方(のPCというか自宅のGIP)は、このスイッチロールを使ってアクセスしたのが初めてということでした。
なので、普段見られない行動として検知してくれたのですね。
なお、マルチアカウントを持っている、かつスイッチロールを利用している場合、GuradDutyはできれば全リージョン(使っていないリージョンも含めて)で有効化しておいたほうがいいと思います。最低でも「利用しているリージョン」と、「バージニア北部リージョン(us-east-1)」は絶対に有効にしておいたほうがいいと思います。なぜならスイッチロールのイベントは、(デフォルトでは)us-east-1で検知されるからです。
個人アカウントでももちろん、GuradDutyは有効化しておりますが、ルートユーザーでマネジメントコンソールに入った時も検知をしてくれていました。とてもデキルヤツだな!と思いました。
GuradDutyはあくまで検知だけですので、各種通知システムと合わせて連携しておくのがいいかと思います。
EventBridgeでは、イベントパターンというところに以下のように記載をするだけで、GuradDuty が何か拾ったら、ターゲット(私の場合はSNS)に送るということができるので便利ですね。
![](https://assets.st-note.com/img/1671613153098-1tdfU6lsy0.png?width=1200)
![](https://assets.st-note.com/img/1671613331368-1f11gf7odx.png?width=1200)
参考にした記事を忘れてしまったのですが・・「GuradDuty 全リージョン有効化」という感じでググってみるといろいろやり方が出てくるかと思います。ぜひぜひお試しください!
読んで下さってありがとうございました!
この記事が気に入ったらサポートをしてみませんか?