Amazon GuardDutyは、AWS上の異常な振る舞いを検出するサービスです。 イベントソースには、AWS CloudTrail、Amazon VPC フローログ、DNS ログが使われます。 GuardDutyを使う中でたまった知見をシェアしたいと思います。 GuardDutyで検知できること 検知できる内容はユーザーガイドに記載されています。 ざっくりいうと、EC2インスタンスとIAMアカウント関連のイベントを検知します。 EC2に関するイベントは、EC2がターゲットなのか、アクターなのかによって分けられます。 外部のホストがEC2に対してポートスキャンを行うイベントの場合、EC2はターゲットになります。 外部ホストにポートスキャンを行う場合、EC2はアクターになります。 EC2がアクターの場合、EC2がマルウェアに感染している可能性を考える必要があります。 料金は1ヶ月間無料です
![Amazon GuardDutyによる疑わしいネットワーク通信の検知と初動対応の振り返り | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a7e889b179366944949b87c160155953d58b627f/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2018%2F11%2Feyecatch_amazon-guardduty_1200x630.jpeg)