タグ: guardduty

AmazonのGuardDutyを有効化してみた(その2.検知状況)

GuardDuty を有効化してから、ちょうど無料期間30日の半分、15日が経過しました。(すっかり有効化したことを忘れそうになっていましたが。。。)
そこで、現在の検知状況と無料期間が終わったあとの予想料金を調べてみました。

ポートスキャンのみを検知。以外と攻撃されていない?

ひさびさにGuardDutyを覗いてみたところ、rootログイン以外にポートスキャンらしきものが検知されていました。(真ん中のリストの真ん中の行)
カウントに89とあるので、89回スキャンされたということでしょうか?ここはよくわかりません。

右ペインの影響を受けるリソースのところにHTTP(80 Port)とあるので、このportへのアクセスはブロックしておいた方がよさそうですね。
たしかに、HTTPSでWordPressを提供しているので、HTTPは不要ですね。

また、右ペインを下までスクロールしていくと、攻撃者の情報も出てきます。

どうやら、11日前から2日前までの間、ロシアのPetersburg Internet Network ltd.というプロバイダを使っている誰かからポートスキャンされているようですね。

無料期間が過ぎても費用は0.00 USD?

十分かどうかわわかりませんが、GuardDutyは働いてくれていることがわかりましたので、今度は無料トライアルの状況を確認してみました。

するとどうでしょう、GurdDutyで監視してくれた各ログの量は以下の通りで、無料トライアル終了後の日次推定コスト0.00 USDとなっています。

CloudTrail ログ940.0 イベント
VPC フローログ25.15 MB
DNS ログ41.24 MB

まあ、このサイトは貧弱で1日に10人も見にきてくれないサイトではありますが、、、まさか0とは思いませんでした。もしかすると、1ヶ月で見ると多少費用がかかるのかもしれませんが。。。

これなら、無料期間が終了した後も使い続けてもいいかもしれません。

AmazonのGuardDutyを有効化してみた(その1.初期設定)

ただいまAWSの無料枠でインスタンスを起動し、勉強しております。その中で、Amazon GuardDuty というセキュリティ機能を使ってみたのでその有効化の手順を記載しておきます。

30日間は無料トライアル可能、有効化もボタン一発。

GuardDutyを有効化するのは非常に簡単で、事前の準備は要らず、ボタンを2回クリックするだけで有効になります。また、最初の30日は無料トライアル期間となっており、その間に有効性を確認し、不要と思えば、簡単に無効化することもできそうです。

1.GuardDuty機能の呼び出し

AWSにログインしたら、検索バーからGuradDutyを呼び出します。

2.GuardDuty画面にてボタンを2回押して有効化

GuardDutyの画面が表示されたら、まずは真ん中の[今すぐ始める]ボタンをクリックします。

すると、サービスのアクセス権限に関する注意書きが書かれている画面に遷移しますので、そこで右下の[GuardDutyの有効化]ボタンをクリックします。

以上で、GuardDutyが有効化され、検知結果画面が表示されます。なお、有効化した直後は以下の通り何も検知していませんが、30分もすれば何か表示されていると思います。

3.無料トライアル期間の確認

GuardDutyの左ペインにある「無料トライアル」をクリックすると、無料トライアル期間を確認できます。またこの画面から、実際に有効化した場合に、費用がいくらくらいかかるか確認できるみたいです。

また、同じく左ペインにある「設定」をクリックし、右ペインに表示された画面を下にスクロールしていくと、GuardDuty の停止や無効化をするボタンがあります。
簡単に無効化できそうですね。

いままでのところ、攻撃の検知は無し

いままでのところ、rootでログインしているので気をつけてねーというワーニング以外は出ていません。
WordPressのサーバに入れたmodsecurityには攻撃検知ログが結構でていたのですが。。。もう少し様子を見て見たいと思います。