3.2. 脅威シナリオの説明
- 侵害されたインスタンスは不正なインスタンスの EIP に ping を送信します。その EIP は GuardDuty のカスタム脅威リストに含まれています。
- GuardDuty は VPC フローログ (と CloudTrail と DNS ログ) を監視し、脅威リスト、機械学習、ベースラインなどに基づいてこれを分析しています。
- GuardDuty は脅威の検出結果を生成し、GuardDuty コンソールと EventBridge に送信します。
- EventBridge ルールは、SNS トピックと Lambda 関数をトリガーします。
- SNS は、検出結果の情報を通知メールで送信します。
- Lambda 関数は、侵害されたインスタンスを隔離します。
事前に通知設定をしたときに、インスタンスを自動的に隔離して修復の詳細を通知メールで送信する Lambda 関数も設定しています。検出に関する特定の情報のみを含めています。検出した脅威が自動で修復されたので、現在の設定を詳しく調べます。