このワークショップでは、Amazon GuardDuty (マネージド型脅威検出サービス)を使用した脅威の検出と修復をカバーするシナリオについて説明します。このシナリオは、GuardDuty が検出できる脅威の一部を表す、いくつかの脅威ベクトルにまたがる攻撃をシミュレートします。
さらに、GuardDuty の検出結果を表示および分析する方法、その結果に基づいてアラートを送信する方法、最後に検出結果に対する修復方法について説明します。
このシナリオで使用される AWS CloudFormation テンプレートは、Amazon EventBridge ルールと AWS Lambda 関数の組み合わせを使用して、攻撃をシミュレートし、GuardDuty の結果を自動修復するために必要なリソースを構築します。
このワークショップでは us-west-2 (オレゴン) リージョンを選択してください。
このワークショップでは次の4つのシナリオに分かれています。
| シナリオ | 説明 |
|---|---|
| 1. EC2 インスタンスの侵害 | Amazon GuardDuty、Amazon EventBridge ルール、AWS Lambda を使用して、 侵害されたホストを検出して修復します |
| 2. IAM クレデンシャルの侵害 | AWS 環境内で API 呼び出しを試行する攻撃者のホストを特定し、ホストを手動で修復します |
| 3. IAM ロールの漏洩 | 認証情報が不正使用されたホストから流出したことを識別し、それらの認証情報を使用して 外部ホストから取得された API 呼び出しを識別します。 さらに、AWS Lambda を介して実行された自動修復を確認します |
| 4. S3 バケットの侵害 | AWS 環境内にある S3 の API を不正に呼び出す攻撃者のホストを識別して、 ホストを手動で修復します |