4.2. 脅威シナリオの説明
- 不正なインスタンスが API 呼び出しを行います。インスタンスの EIP はカスタム脅威リストにあります。API 呼び出しは CloudTrail に記録されます。
- GuardDuty は、CloudTrail ログ (と VPC フローログと DNS ログ)を監視し、脅威リスト、機械学習、ベースラインなどに基づいてこれを分析しています。
- GuardDuty は脅威の検出結果を生成し、これを GuardDuty コンソールと EventBridge に送信します。
- EventBridge ルールが SNS トピックをトリガーします。
- SNS は、検出結果を記載した通知メールを送信します。