Amazon GuardDutyがEC2のランタイム保護に対応！設定方法を解説

公開日：2024年4月25日最終更新日:

Amazon GuardDutyの概要おさらい

Amazon GuardDutyはAWS上の脅威を検出するサービスで、EC2の不正な動きやIAMなどセキュリティ情報の漏洩などを素早く検知してくれます。AWSは便利な反面、脅威を放置すると、大きな問題になりかねないため、これらをスムーズに検出してくれる優れたサービスです。

ただ、脅威の検出には、「CloudTrailログ」「VPCフローログ」「DNSログ」など、AWSコンソールから収集できるデータを利用しています。そのため、標準でAWS出力されない、OSアプリケーションなどのログは、GuardDutyでの検出ができませんでした。便利なサービスではありますが、この点は問題だと考えられていたのです。

しかし、今回のアップデートによって、これらの脅威もGuardDutyで素早く検知できるようになっています。今までは別の手段で検知する必要がありましたが、状況は大きく変化したと考えて良いでしょう。

GuardDutyのアップデート内容

具体的にどのような内容で、GuardDutyがアップデートされたのか解説します。

ログの監視対象が変化

上記で解説した通り、今までのGuardDutyは実行環境つまり、コンピューティングリソースの動作をキャッチできませんでした。しかし、今回のアップデートによってEC2などでもRuntime Monitoringが動作するようになり、ランタイム保護が実現できるようになっています。単体のアップデートではなく、関連するサービスも含めてアップデートされたと理解すれば良いでしょう。

なお、ランタイム保護は2023年にプレビュー版が提供され、現在に至るサービスです。プレビュー版の段階では、コンテナサービスである「ECS」「EKS」などの脅威を検知していたため、これがEC2に拡大されたと理解して差し支えありません。

EC2の自動設定に対応

現在は、EC2のエージェント管理が全て自動化されています。プレビュー版が公開された当時は、エージェントを自分でインストールし、接続のためにVPCエンドポイントを設定する必要がありました。AWSの利用者であれば、慣れた操作かもしれませんが、事前準備が必要となっていたのです。

それに対して、現在はボタンをクリックするだけでも、必要な設定が自動的に進められるようになりました。AWSは多くのサービスを自動で設定できるようになっているため、GuardDutyについてもこの流れに乗っているのです。プレビュー版を利用した人は、この点が変化しているため、設定の際は準備しておくと良いでしょう。

GuardDutyのEC2ランタイム保護を設定する方法

続いては、実際にGuardDutyのランタイム保護を利用してみたい人に向けて、どのように設定していけばよいかを解説します。なお、事前準備としてGuardDutyの有効化が完了し、利用できる状態としています。

ランタイムモニタリングオプションの有効化

最初にGuardDutyのオプションで「ランタイムモニタリング」を有効化しなければなりません。追加の機能であるため、マネジメントコンソールから以下をクリックして、有効化します。

確認のポップアップが表示されるため、確認をクリックして、有効化しましょう。

ステータスが更新され「ランタイムモニタリング が有効になっています」と表示されれば、モニタリングの有効化は完了しています。

続いて、EC2で利用するために「GuardDuty エージェント管理 (EC2)」も有効化します。画像の赤枠部分をクリックしましょう。

同じくステータスが更新され「GuardDuty エージェント管理 (EC2) 用 自動エージェント設定 が有効になっています」と表示されていれば有効化が完了です。この2点を有効化するだけで、GuardDutyをEC2で利用するための準備が完了します。この設定によって、新しく構築したEC2などにも自動的に必要な設定が施され、ツールもインストールされるようになるのです。

ランタイムモニタリングの開始

設定が完了すると、ランタイムモニタリングが自動的に開始されます。今回のテスト環境では2つのEC2を起動しているため、以下のとおり検知される仕組みです。

ここで注目してもらいたい部分は「エージェント管理タイプ」が「自動管理」に設定されている点です。これが、上記で有効化したランタイムモニタリングオプションの結果だと考えましょう。プレビュー版では手動での設定が必要でしたが、今では有効化するだけで自動的に検知されます。

なお、今回は既存のEC2を検知しましたが、以下のOSで構成されたEC2を起動すれば自動的に検知、ランタイムモニタリングを開始してくれます。

• Amazon Linux 2
• Amazon Linux 2023

厳密にはカーネルバージョンなどが指定されていますが、現在選択できるAMIならば、ほぼ問題なく利用が可能です。

脅威の有無を確認

何かしらの脅威が発生していないかどうかはGuardDutyの検出結果画面から確認できます。今回は、特段の脅威が発生していないため何も記載されていません。

参考までにAWSの公式ブログでは、検出された際に以下のようなメッセージが表示されると説明されています。

引用：Amazon GuardDuty EC2 Runtime Monitoring is now generally available

通知の設定

GuardDutyでEC2の脅威を検知しても、気付かない状態では意味がありません。何かしらの方法で通知する必要があるため、Amazon SNSを利用してメールを送付するようにしてみましょう。まずはSNSのコンソールからトピックを作成します。

詳細は割愛しますが、今回は「TEST-SNS」というトピックを作成しました。これを利用してGuardDutyの脅威を通知するようにします。続いて、イベントを検知するために「EventBridge」のコンソールへと移動しましょう。「ルール」から「ルールを作成」をクリックします。

名称や説明を自由に入力して「次へ」をクリックします。

ページ下部のイベントパターンを画像のとおり選択して「次へ」をクリックします。

続いて通知先を設定するため、作成した通知先を選択して「次へ」をクリックし、確認画面で「ルールの作成」をクリックすると完了です。

もし、設定できているか確認したい場合はGuardDutyコンソールの「設定」から「検出結果サンプルの生成」をクリックすることで、擬似的な検知が可能です。ただ、数百種類の攻撃を検知したことになり、莫大な数のメールや通知が届くため、検証時には注意が必要です。