6.2. 脅威シナリオの説明
- 不正なインスタンスが API 呼び出しを行います。API 呼び出しは CloudTrail に記録されます。
- GuardDuty は、CloudTrailの 管理イベントと S3 データイベント(と VPC フローログと DNS ログ)を監視し、脅威リスト、機械学習、ベースラインなどに基づいてこれを分析しています。
- GuardDuty は検出結果を生成し、これを GuardDuty コンソールと EventBridge に送信します。
- EventBridge ルールが SNS トピックをトリガーします。
- SNS は、検出結果の情報を記載した通知メールを送信します。