サービスの概要

Q: Amazon GuardDuty とは何ですか?

Amazon GuardDuty は、AWS アカウントとワークロード、および Amazon Simple Storage Service (Amazon S3) に保存されたデータを継続的にモニタリグおよび保護できる脅威検出機能を提供します。GuardDuty は、お客様のアカウントから生成された継続的なメタデータストリームと、AWS CloudTrail イベント、Amazon Virtual Private Cloud (VPC) フローログ、およびドメインネームシステム (DNS) ログに見られるネットワークアクティビティを分析します。また、GuardDuty は既知の悪意のある IP アドレス、異常の検出、機械学習 (ML) などの統合された脅威インテリジェンスを使用して、より正確に脅威を識別します。

Q: Amazon GuardDuty の主な利点は何ですか?

Amazon GuardDuty を使用すると、AWS のアカウントとワークロード、および Amazon S3 に保存されたデータの継続的なモニタリングが簡単にできるようになります。GuardDuty はリソースとは完全に独立して動作するため、ワークロードにパフォーマンスや可用性の影響を及ぼすリスクはありません。このサービスは、統合された脅威インテリジェンス、異常の検出、および機械学習によって完全に管理されます。Amazon GuardDuty は、詳細で実用的なアラートを提供し、既存のイベント管理およびワークフローシステムと簡単に統合できます。前払費用は発生せず、分析したイベントに対してのみ料金が発生し、デプロイのための追加ソフトウェアや脅威インテリジェンスフィードの受信登録は不要です。

Q: Amazon GuardDuty にはどれくらいのコストがかかりますか?

Amazon GuardDuty の料金は、分析された AWS CloudTrail イベントの数と、分析された Amazon VPC フローログと DNS ログデータの量に基づいています。GuardDuty 分析のためにこれらのログソースを有効にする追加料金はありません。

  • AWS CloudTrail 管理イベント分析: GuardDuty は、CloudTrail 管理イベントを継続的に分析することで、AWS のアカウントとインフラストラクチャのアクセスと動作のすべてをモニタリングします。CloudTrail 管理イベント分析の料金は 1 月あたり 1,000,000 イベント単位で課金され、日割り計算されます。
  • AWS CloudTrail S3 データイベント分析: GuardDuty は、CloudTrail S3 データイベントを継続的に分析して、Amazon S3 バケットすべてのアクセスとアクティビティをモニタリングします。CloudTrail S3 データイベント分析の料金は 1 か月あたり 1,000,000 イベント単位で課金され、日割り計算されます。
  • VPC フローログと DNS ログの分析: GuardDuty は、VPC フローログ、および DNS のリクエストと応答を継続的に分析して、AWS のアカウントとワークロードにおける悪意のある動作、不正な動作、または予期しない動作を特定します。フローログと DNS ログの分析は、1 か月あたりのギガバイト (GB) 単位で課金されます。フローログと DNS ログの分析には、段階的な従量制割引が適用されます。

前払費用は発生せず、分析したデータに対する料金のみ発生します。

詳細と料金の例については、Amazon GuardDuty の料金を参照してください。

Q:Amazon GuardDuty 支払者アカウントの推定コストは、リンクしたアカウントすべてに対する合計コストを示しているのですか、それともその支払人のアカウントのみですか?

推定コストは個々の支払者アカウントに対するコストのみを表します。管理者アカウントでは、管理者アカウントに対する推定コストのみが表示されます。

Q: 無料トライアルはありますか?

はい。Amazon GuardDuty の新しいアカウントであれば、無料で 30 日間サービスをご利用いただけます。無料トライアル中はすべての機能セットと検出をご使用いただけます。GuardDuty では、処理したデータの量と、アカウントの 1 日あたりの推定平均サービス料が表示されます。これにより、Amazon GuardDuty を無料で簡単に体験でき、無料トライアル後も使用した場合のサービス料金を簡単に予測できます。

Q: Amazon GuardDuty と Amazon Macie の違いは何ですか?

Amazon GuardDuty は、攻撃者の偵察、インスタンスの侵害、アカウントの侵害、およびバケットの侵害などの脅威を識別することによって、AWS のアカウント、ワークロード、およびデータを幅広く保護します。Amazon Macie は、所有しているデータと、そのデータに関連付けられているアクセスコントロールとともにセキュリティを分類することにより、Amazon S3 の機密データを検出して保護することができます。

Q: Amazon GuardDuty は、リージョン別またはグローバルのどちらのサービスですか?

Amazon GuardDuty はリージョン別のサービスです。複数のアカウントが有効となっていて、複数のリージョンが使用されている場合でも、Amazon GuardDuty のセキュリティの検出結果は、基盤となるデータが生成されたリージョンと同じリージョンに残ります。このため、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。お客様は、Amazon CloudWatch Events を利用して、Amazon S3 のようなお客様が管理するデータストアに検出結果をプッシュし、適切と思われる検出結果を集計することで、複数のリージョンから得た Amazon GuardDuty で生成されたセキュリティ検出結果を集約することを選択できます。

Q: Amazon GuardDuty はどのリージョンをサポートしていますか?

各リージョンで利用できる Amazon GuardDuty の一覧は、AWS リージョン表を参照してください

Q: どのパートナーが Amazon GuardDuty と連携していますか?

Amazon GuardDuty は多くのテクノロジーパートナーと統合し、構築されています。また、GuardDuty の専門知識を持つコンサルティング、システムインテグレーター、マネージド型セキュリティサービスのプロバイダもいます。Amazon GuardDuty パートナーを参照してください。

Q: Amazon GuardDuty は、PCI データセキュリティスタンダード (PCI DSS) 要件に対応するうえで役に立ちますか?

A: GuardDuty は、AWS CloudTrail イベント、Amazon VPC フローログ、DNS ログなど、複数の AWS データソースからのイベントを分析します。また、このサービスは、AWS や CrowdStrike などの他のサービスから受信した脅威インテリジェンスのフィードに基づいて、疑わしいアクティビティを検出します。 Foregenix が公開したホワイトペーパーでは、PCI データセキュリティスタンダード (PCI DSS) 要件 11.4 などのコンプライアンス要件を満たすための Amazon GuardDuty 有効性の詳細な評価を提供しています。これには、ネットワークの重要なポイントにおける侵入検知技術が必要です。

GuardDuty の有効化

Q: Amazon GuardDuty を有効にするにはどうすればよいですか?

Amazon GuardDuty は、AWS マネジメントコンソールでわずか数回クリックするだけで設定、デプロイすることができます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。

Q: Amazon GuardDuty で複数のアカウントを管理できますか?

はい。Amazon GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント機能があります。これを使用すると、すべてのセキュリティ検出結果を管理者または Amazon GuardDuty 管理者アカウントに集約し、レビューと修復を行うことができます。また、この設定を使用すると、Amazon CloudWatch Events も Amazon GuardDuty 管理者アカウントに集約されます。

Q: Amazon GuardDuty ではどのようなデータソースを分析するのですか?

Amazon GuardDuty は、AWS CloudTrail、VPC フローログ、および AWS DNS ログを分析します。このサービスは、ほぼリアルタイムでセキュリティ検出を処理するため、大量のデータを消費するように最適化しています。GuardDuty を使用すると、クラウド用に開発および最適化されたビルトインの検出手法にアクセスでき、AWS セキュリティがこれらを維持、および継続的に改善しています。

Q: GuardDuty はどの程度、迅速に動作できますか?

有効にすると、Amazon GuardDuty は悪意のあるアクティビティや不正なアクティビティの分析をすぐに開始します。検出結果の受信が始まる時期は、アカウントのアクティビティレベルによって異なります。GuardDuty は履歴データを調べず、有効後に開始するアクティビティのみを調べます。GuardDuty が潜在的な脅威を識別すると、GuardDuty コンソールに検出結果を表示します。

Q: Amazon GuardDuty の AWS CloudTrail、VPC フローログ、および DNS ログを有効にする必要はありますか?

いいえ。Amazon GuardDuty は、AWS CloudTrail、VPC フローログ、AWS DNS ログから独立したデータストリームを直接取得します。Amazon S3 バケットポリシーを管理したり、ログを収集して保存する方法を変更したりする必要はありません。GuardDuty のアクセス許可は、サービスにリンクしたロールとして管理されます。これはいつでも GuardDuty を無効にして取り消すことができます。このため、複雑な設定を行うことなく、簡単にサービスを有効にでき、AWS Identity and Access Management (IAM) アクセス許可の変更や S3 バケットポリシーの変更がサービスの運用に影響を与えるリスクが排除されます。また、大量のデータを消費する際にほぼリアルタイムで GuardDuty を極めて効率的に活用するため、アカウントやワークロードのパフォーマンス、または可用性に影響を与えることはありません。

Q: アカウントで Amazon GuardDuty を有効にすると、パフォーマンスや可用性に何か影響はありますか?

いいえ。Amazon GuardDuty は AWS リソースとは完全に独立して動作するため、アカウントやワークロードに影響を及ぼすリスクはありません。このため、既存の操作に影響を与えることなく、組織内の多くのアカウントで GuardDuty を簡単に動作させることができます。

Q: Amazon GuardDuty はログを管理または保持しますか?

いいえ。Amazon GuardDuty はログを管理または保持しません。GuardDuty が使用するすべてのデータは、ほぼリアルタイムで分析されて破棄されます。このため、GuardDuty が極めて効率的で費用効果が高くなり、さらにデータの残留のリスクが軽減されます。ログの配信と保持のためには、AWS のログ記録とモニタリングのサービスを直接使用してください。これらには、完全な機能を備えた配信と保存のオプションがあります。

Q: Amazon GuardDuty がログとデータソースを調べないようにするにはどうすればよいですか?

サービスの一時停止を選択することで、一般設定で、Amazon GuardDuty のデータソース分析をいつでも停止できます。これで、サービスによるデータの分析はすぐに停止しますが、既存の検出結果や設定は削除されません。一般設定でサービスを無効にすることもできます。これで、サービスのアクセス許可を放棄し、サービスをリセットする前に、検出結果や設定構成などの残りのすべてのデータを削除します。

GuardDuty の検出結果

Q: Amazon GuardDuty では何を検出できますか?

Amazon GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。検出アルゴリズムを、AWS セキュリティが維持し、継続的に改善します。検出の主なカテゴリは次のとおりです。

  • 偵察攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
  • インスタンスの侵害: インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィック、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの逆浸出などです。
  • アカウントの侵害: アカウントの侵害を示す一般的なパターンには、異常な地理的位置または匿名にするプロキシからの API コール、AWS CloudTrail のログ記録を無効にする試み、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、悪意のある既知の IP アドレスからの API コールが含まれます。
  • バケットの侵害認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な S3 API 活動、悪意のある既知の IP アドレスからの不正な S3 アクセス、ユーザーから S3 バケットのデータを取得する API コールなど、バケットの侵害を示す活動です。バケットにアクセスしたり、異常な場所から呼び出されたりといった履歴はありません。Amazon GuardDuty は、AWS CloudTrail S3 データイベント (GetObject、ListObjects、DeleteObject など) を継続的に監視および分析して、Amazon S3 バケット全体の不審な活動を検出します。

Q: Amazon GuardDuty の脅威インテリジェンスとは何ですか?

Amazon GuardDuty の脅威インテリジェンスは、攻撃者が使用することがわかっている IP アドレスとドメインで構成されています。GuardDuty の脅威インテリジェンスは、AWS セキュリティと Proofpoint や CrowdStrike などのサードパーティープロバイダによって提供されます。これらの脅威インテリジェンスフィードは、事前に統合されており、追加費用なしで GuardDuty が継続的に更新します。

Q: 自分の脅威インテリジェンスを使用することはできますか?

はい。Amazon GuardDuty を使用すると、独自の脅威インテリジェンスまたは IP セーフリストを簡単にアップロードできます。この機能を使用すると、これらのリストはお客様のアカウントにのみ適用され、他のお客様とは共有されません。

Q: セキュリティの検出結果はどのように配信されますか?

脅威が検出されると、Amazon GuardDuty が GuardDuty コンソールと Amazon CloudWatch Events に、詳細なセキュリティの検出結果を配信します。こうしてアラートをすぐ活用でき、既存のイベント管理システムやワークフローシステムを簡単に統合できます。検出結果には、カテゴリ、影響を受けるリソース、およびリソースに関連するメタデータ (重大度など) が含まれます。

Q: Amazon GuardDuty の検出結果の形式は何ですか?

Amazon GuardDuty の検出結果は、一般的な JavaScript オブジェクト表記 (JSON) 形式で送信されます。これは Amazon Macie と Amazon Inspector でも使用されるものです。これにより、お客様とパートナーは、3 つのすべてのサービスからのセキュリティの検出結果を簡単に使用でき、その結果をさまざまなイベント管理、ワークフロー、またはセキュリティソリューションに簡単に組み込むことできます。

Q: Amazon GuardDuty では セキュリティの検出結果をどのくらいの間利用できますか?

セキュリティの検出結果を、Amazon GuardDuty コンソールおよび API を通じて 90 日間保持および利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、Amazon CloudWatch Events を有効にして、検出結果をアカウントや他のデータストア内の Amazon S3 バケットに自動的にプッシュします。

Q: Amazon GuardDuty を使用して自動での予防処置を講じることはできますか?

Amazon GuardDuty、Amazon CloudWatch Events、および AWS Lambda を使用すると、セキュリティの検出結果に基づいて、自動での予防処置を柔軟に設定できます。たとえば、セキュリティの検出結果に基づいて Lambda 関数を作成し、AWS セキュリティグループのルールを変更できます。GuardDuty の検出結果において、Amazon EC2 インスタンスの 1 つを既知の悪意のある IP が探知したことが示された場合は、CloudWatch Events ルールを使用してそのアドレスを指定できます。このルールは、セキュリティグループルールを自動的に変更し、そのポートへのアクセスを制限する Lambda 関数をトリガーします。

Q: Amazon GuardDuty の検出はどのように開発され、管理されていますか?

Amazon GuardDuty には、検出の開発、管理、反復を専門としているチームがあります。そのため、サービスは新たな検出、および既存の検出の継続的な反復を着実に実行します。サービスには、GuardDuty ユーザーインターフェイス (UI) にある各セキュリティの検出結果の承認や却下など、いくつかのフィードバックメカニズムが組み込まれています。これにより、GuardDuty 検出の将来の反復を組み込んだフィードバックを、お客様に提供することができます。

Q: Amazon GuardDuty でカスタムの検出を作成できますか?

いいえ。Amazon GuardDuty は、独自のカスタムルールセットの開発と保守に付随する面倒な処理や複雑さを排除します。また、AWS Security と GuardDuty のチームが行う調査に加え、お客様からのフィードバックに基づいて、新たな検出を継続的に追加します。お客様が設定するカスタマイズでは、独自の脅威リストや IP セーフリストを追加することができます。

Q: 現在 Amazon GuardDuty を使用していますが、S3 Protection 用に GuardDuty を使用するにはどうすればよいですか?

現在のアカウントでは、コンソールまたは API で Amazon S3 Protection 用 GuardDuty を有効にできます。GuardDuty コンソールで、S3 Protection ページに移動して、ご使用のアカウントの S3 Protection 用 GuardDuty を有効にできます。これにより、S3 Protection 用 GuardDuty の 30 日間無料トライアルが始まります。

Q: S3 Protection 用 GuardDuty の無料トライアルはありますか?

はい。30 日間の無料トライアルがあります。各アカウントは、それぞれのリージョンで、S3 Protection 用 GuardDuty の 30 日間無料トライアルを取得できます。GuardDuty がすでに有効になっているアカウントでも、S3 Protection 用 GuardDuty の機能を 30 日間無料で利用できます。

Q: Amazon GuardDuty の新規ユーザーですが、私のアカウントでは S3 Protection 用 GuardDuty がデフォルトで有効になっていますか?

はい。コンソールまたは API を介して GuardDuty を有効にしている新規アカウントでは、デフォルトで Amazon S3 Protection 用 GuardDuty がオンになります。AWS Organizations の「自動有効化」機能を使用して作成された GuardDuty の新規アカウントでは、「S3 の自動有効化」がオンになっていない限り、デフォルトでは S3 Protection 用 GuardDuty がオンになりません。

Q: GuardDuty サービス全体 (VPC フローログ、DNS クエリログ、CloudTrail 管理イベント) を有効にせずに、S3 Protection 用 GuardDuty のみを有効にできますか?

Amazon S3 Protection 用 GuardDuty を使用するには、Amazon GuardDuty サービスを有効にする必要があります。現在の GuardDuty アカウントには、S3 Protection 用 GuardDuty を有効にするオプションがあります。GuardDuty の新規アカウントは、GuardDuty サービスが有効になると、デフォルトで S3 Protection 用 GuardDuty を取得します。

Q: GuardDuty は S3 Protection のために私のアカウントのすべてのバケットを監視しますか?

はい。Amazon S3 Protection 用 GuardDuty は、デフォルトで、環境内のすべての S3 バケットを監視します。

Q: S3 Protection 用 GuardDuty の AWS CloudTrail S3 データイベントログ記録をオンにする必要がありますか?

いいえ。GuardDuty は AWS CloudTrail S3 データイベントログに直接アクセスできます。CloudTrail で Amazon S3 データイベントログを有効にして、関連するコストを負担する必要はありません。GuardDuty はログを保存せず、分析にのみ使用するのでご注意ください。

Q: GuardDuty の検出結果を集約できますか?

はい。AWS Security Hub のクロスリージョン集約機能を使用して、複数のアカウントおよび複数のリージョンから GuardDuty の検出結果を集約できます。

GuardDuty for S3 Protection

Q: 現在、Amazon GuardDuty を使用しています。Amazon S3 Protection 用 GuardDuty を始めるにはどうすればよいですか?

現在のアカウントでは、コンソールまたは API で Amazon S3 Protection 用 GuardDuty を有効にできます。GuardDuty コンソールで、S3 Protection ページに移動して、ご使用のアカウントの S3 Protection 用 GuardDuty を有効にできます。これにより、S3 Protection 用 GuardDuty の 30 日間無料トライアルが始まります。

Q: S3 Protection 用 GuardDuty の無料トライアルはありますか?

はい。30 日間の無料トライアルがあります。各アカウントは、それぞれのリージョンで、S3 Protection 用 GuardDuty の 30 日間無料トライアルを取得できます。GuardDuty がすでに有効になっているアカウントでも、S3 Protection 用 GuardDuty の機能を 30 日間無料で利用できます。

Q: 私は Amazon GuardDuty の新規ユーザーです。私のアカウントでは、S3 Protection 用 GuardDuty はデフォルトで有効になっていますか?

はい。コンソールまたは API を介して GuardDuty を有効にしている新規アカウントでは、デフォルトで S3 Protection 用 GuardDuty がオンになります。AWS Organizations の「自動有効化」機能を使用して作成された GuardDuty の新規アカウントでは、「S3 の自動有効化」がオンになっていない限り、デフォルトでは S3 Protection 用 GuardDuty がオンになりません。

Q: GuardDuty サービス全体 (VPC フローログ、DNS クエリログ、CloudTrail 管理イベント) を有効にせずに、S3 Protection 用 GuardDuty のみを有効にできますか?

Amazon GuardDuty サービスを有効にして、S3 Protection 用 GuardDuty を有効にする必要があります。現在の GuardDuty アカウントには、S3 Protection 用 GuardDuty を有効にするオプションがあります。GuardDuty の新規アカウントは、GuardDuty サービスが有効になると、デフォルトで S3 Protection 用 GuardDuty を取得します。

Q: GuardDuty は S3 Protection のために私のアカウントのすべてのバケットを監視しますか?

はい。S3 Protection 用 GuardDuty は、デフォルトで、環境内のすべての S3 バケットを監視します。

Q: S3 Protection 用 GuardDuty の AWS CloudTrail S3 データイベントログ記録をオンにする必要がありますか?

いいえ。GuardDuty は AWS CloudTrail S3 データイベントログに直接アクセスできます。CloudTrail で S3 データイベントログを有効にして、関連するコストを負担する必要はありません。GuardDuty はログを保存せず、分析にのみ使用するのでご注意ください。

GuardDuty for EKS Protection

Q: Amazon GuardDuty for EKS Protection の仕組みを教えてください。

Amazon GuardDuty for EKS Protection は、Kubernetes 監査ログを分析することで Amazon Elastic Kubernetes Service (Amazon EKS) クラスターのコントロールプレーンのアクティビティをモニタリングする GuardDuty の機能です。GuardDuty は Amazon EKS と統合されているため、これらのログをオンにしたり保存したりしなくても、Kubernetes 監査ログに直接アクセスできます。これらの監査ログは、セキュリティに関連する時系列の記録であり、Amazon EKS コントロールプレーンで実行された一連のアクションを記録します。これらの Kubernetes 監査ログは、Amazon EKS の API アクティビティの継続的なモニタリングを実施し、実績のある脅威インテリジェンスと異常検出を適用して、Amazon EKS クラスターに対する不正アクセスのリスクを生じさせる、悪意のあるアクティビティや設定変更を特定するために必要な可視性を GuardDuty に提供します。脅威が特定されると、GuardDuty は、脅威の種類、重大度のレベル、およびポッド ID、コンテナイメージ ID、関連付けられたタグなどのコンテナレベルの詳細を含むセキュリティの検出結果を生成します。

Q: Amazon GuardDuty は Amazon EKS ワークロードでどのような種類の脅威を検出できますか?

GuardDuty for EKS Protection は、Kubernetes 監査ログでキャプチャされたユーザーおよびアプリケーションアクティビティに関連する脅威を検出できます。Kubernetes 脅威検出には、既知の悪意のあるアクターまたは Tor ノードからアクセスする Amazon EKS クラスター、設定の誤りを示す可能性のある、匿名ユーザーによって実行される API 操作、Amazon EKS クラスターへの不正アクセスにつながる可能性のある設定の誤りが含まれます。また、機械学習 (ML) モデルを使用して、GuardDuty は、基盤となる Amazon Elastic Compute Cloud (Amazon EC2) ホストへのルートレベルのアクセス権を持つコンテナの疑わしい起動など、特権昇格手法と一致するパターンを識別できます。新たに行えるようになった検出を網羅した詳細なリストについては、Amazon GuardDuty Findings Types を参照してください。

Q: Amazon EKS Kubernetes 監査ログをオンにする必要がありますか?

いいえ。GuardDuty は Amazon EKS Kubernetes 監査ログに直接アクセスできます。GuardDuty はこれらのログを分析のみに使用することに注意してください。GuardDuty はこれらを保存せず、お客様は、GuardDuty と共有するために、これらの Amazon EKS 監査ログを有効化したり、これらのログについての料金を支払ったりする必要もありません。セキュリティの脅威の検出に関連する監査ログのサブセットのみを消費することでコストを最適化するために、GuardDuty はインテリジェントフィルターを適用します。

Q: GuardDuty for EKS Protection の無料トライアルはありますか?

はい。30 日間の無料トライアルがあります。各リージョンの新しい Amazon GuardDuty の各アカウントには、GuardDuty (GuardDuty for EKS Protection を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、追加料金なしで、GuardDuty for EKS Protection を 30 日間無料でご試用いただけます。試用期間中は、GuardDuty コンソールの使用量のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者は、メンバーアカウントの見積コストを確認できます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

Q: 現在、Amazon GuardDuty を使用しています。GuardDuty for EKS Protection を始めるにはどうすればよいですか?

GuardDuty for EKS Protection は、個々のアカウントごとに有効にする必要があります。GuardDuty コンソールでワンクリックで GuardDuty for EKS Protection を有効にし、Kubernetes Protection のページに移動して、ご利用のアカウント用に GuardDuty for EKS Protection を有効にすることができます。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの Kubernetes Protection のページで、組織全体で Amazon EKS のモニタリングを有効にできます。これにより、すべての個々のメンバーアカウントで Amazon EKS の継続的なモニタリングが有効になります。AWS Organizations の [auto-enable] (自動有効化) 機能を使用して作成された GuardDuty アカウントの場合、[auto-enable for EKS] (EKS の自動有効化) を明示的にオンにする必要があります。あるアカウント用に有効にすると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで設定する必要はありません。

Q: 私は Amazon GuardDuty の新規ユーザーです。私のアカウントでは、GuardDuty for EKS Protection はデフォルトで有効になっていますか?

はい。コンソールまたは API を介して GuardDuty を有効にしている新規アカウントでは、デフォルトで GuardDuty for EKS Protection がオンになります。AWS Organizations の「自動有効化」機能を使用して作成された GuardDuty の新規アカウントでは、「EKS の自動有効化」がオンになっていない限り、デフォルトでは GuardDuty for EKS Protection がオンにならないことに留意してください。

Q: GuardDuty for EKS Protection を無効にするにはどうすればよいですか?

コンソールで、または API を使用してこの機能を無効にすることによって、GuardDuty for EKS Protection を無効にできます。GuardDuty コンソールで、Kubernetes Protection のページに移動します。このページでは、ご利用のアカウント用に GuardDuty for EKS Protection を無効にできます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、GuardDuty for EKS Protection を無効にすることもできます。

Q: GuardDuty for EKS Protection を無効にした場合、再度有効にするにはどうすればよいですか?

機能が無効になっている場合は、コンソールで、または API を使用してこの機能を有効にすることによって、GuardDuty for EKS Protection を有効にできます。GuardDuty コンソールで、Kubernetes Protection のページに移動します。このページでは、ご利用のアカウント用に GuardDuty for EKS Protection を有効にできます。

Q: 各 AWS アカウントと Amazon EKS クラスターで Amazon GuardDuty for Amazon EKS Protection を個別に有効にする必要がありますか?

GuardDuty for EKS Protection は、個々のアカウントごとに有効にする必要があります。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの Kubernetes Protection のページで 1 回クリックするだけで、組織全体で Amazon EKS の脅威検出を有効にできます。これにより、すべての個別のメンバーアカウントで Amazon EKS の脅威検出が可能になります。あるアカウント用に有効にすると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで手動で設定する必要はありません。

Q: Amazon EKS を使用せず、GuardDuty で EKS Protection を有効にした場合、
課金されますか?

Amazon EKS を使用しておらず、EKS Protection が有効になっている場合、GuardDuty for EKS Protection の料金は発生しません。ただし、Amazon EKS の使用を開始すると、クラスターは GuardDuty によって自動的にモニタリングされ、特定された問題に関する検出結果を受け取ります。

Q: GuardDuty サービス全体 (VPC フローログ、DNS クエリログ、CloudTrail 管理イベント分析など) を有効にせずに、GuardDuty for EKS Protection のみを有効にできますか?

Amazon GuardDuty サービスを有効にして、GuardDuty for EKS Protection を有効にする必要があります。

Q: GuardDuty for EKS Protection はマルチアカウント管理をサポートしていますか?

GuardDuty は、AWS Organizations の統合を通じてマルチアカウント管理を備えています。この統合は、セキュリティおよびコンプライアンスチームが、組織内のすべてのアカウントにわたって既存および将来のすべての Amazon EKS クラスターで GuardDuty を完全にカバーするのに役立ちます。

Q: GuardDuty は、AWS Fargate での EKS デプロイ用の Kubernetes 監査ログをモニタリングしますか

はい。GuardDuty for EKS Protection は、EC2 インスタンスにデプロイされた Amazon EKS クラスターと AWS Fargate にデプロイされた Amazon EKS クラスターの両方からの監査ログをモニタリングします。

Q: GuardDuty は EC2 または EKS Anywhere で非マネージド型の Kubernetes をモニタリングしますか?

現在、この機能は、アカウントの EC2 インスタンスまたは AWS Fargate で実行されている Amazon EKS デプロイのみをサポートしています。

Q: 設定を変更したり、ソフトウェアをデプロイしたり、Amazon EKS デプロイを変更したりする必要がありますか?

いいえ。有効にすると、GuardDuty は、脅威が存在していないかを確認するために、アカウント内の既存および新規のすべての EKS クラスターからの Kubernetes 監査ログのモニタリングを開始します。さらなるデプロイ、ログソースの有効化、設定の変更は不要です。

Q: GuardDuty for EKS Protection を使用すると、Amazon EKS におけるコンテナ実行のパフォーマンスまたはコストに影響しますか?

いいえ。GuardDuty for EKS Protection は、Amazon EKS ワークロードのデプロイのパフォーマンス、可用性、またはコストに影響を与えるものではありません。

Q: 各 AWS リージョンで個別に GuardDuty for EKS Protection を有効にする必要がありますか?

はい。Amazon GuardDuty はリージョン別のサービスであり、EKS の脅威検出は各 AWS リージョンで個別に有効にする必要があります。

Standard Product Icons (Features) Squid Ink
料金の詳細

料金の例と無料トライアルの詳細を確認する

詳細 
Sign up for a free account
無料トライアルにサインアップする

Amazon GuardDuty の無料トライアルにアクセスする。 

無料トライアルを開始 
Standard Product Icons (Start Building) Squid Ink
コンソールで構築を開始する

Amazon GuardDuty は AWS コンソールから使用を開始できます。

サインイン