目次
InspectorとGuardDutyの違い
| 観点 | Inspector | GuardDuty |
|---|---|---|
| 目的 | 脆弱性の発見(予防) | 脅威の検知(監視) |
| タイミング | スキャン時点での評価 | 継続的・リアルタイム |
| 見るもの | リソース自体の弱点 | ログ・挙動の異常 |
| 例えると | 健康診断 | 防犯カメラ・警報 |
| 主な対象 | EC2/ECR/Lambda | アカウント全体の活動 |
Inspector:脆弱性がないかを調べる
GuardDuty:攻撃や不審な動きが起きていないかを検知する
両者は競合せず補完関係にあります。
Inspectorで穴を塞ぎつつ、GuardDutyで実際の攻撃を監視する、という二段構えが一般的なベストプラクティスです。
検出結果はどちらもSecurityHubに集約して一元管理できます。
Inspectorとは
リソースの脆弱性評価を行うサービスです。対象に潜在的な弱点がないかをスキャンします。
主な対象と内容
・EC2インスタンスのソフトウェア脆弱性(CVE)
・ECR内のコンテナイメージの脆弱性
・Lambda関数のコード・依存関係の脆弱性
・ネットワーク到達性(意図せず外部公開されているポートなど)
攻撃を受ける前に、塞ぐべき穴がどこにあるかを教えてくれるサービスです。検出結果には深刻度スコアが付き、パッチ適用などの対策につなげます。
具体例:Inspectorが検出するもの
EC2に古いOpenSSLがインストールされている場合、Inspectorは次のような検出結果を出します。
EC2i-xxxxxxxxに重要度Criticalの脆弱性があります。
対象パッケージを更新してください。
まだ攻撃されていなくても、攻撃に利用される可能性のある弱点を検出します。
GuardDutyとは
脅威検知を行うサービスです。実際に起きている不審な挙動や攻撃の兆候を継続的に監視します。
主な分析データソース
・VPCフローログ(不審な通信)
・CloudTrailイベント(異常なAPI操作、認証情報の悪用)
・DNSログ(マルウェアの通信先など)
・EKS監査ログ、S3、RDSログイン、マルウェアスキャンなど
機械学習や脅威インテリジェンスを使い、マイニングマルウェアらしき通信普段と違う地域からのコンソールログイン漏洩した可能性のある認証情報の使用といった実際の脅威の兆候を検知してアラートを出します。
具体例:GuardDutyが検出するもの
普段は東京からしか操作しないIAMユーザーが、突然海外IPから大量のAPIを実行した場合、GuardDutyは次のような検出結果を出す可能性があります。
通常とは異なる場所からIAM認証情報が使用されています。
実際に発生している不審な行動を検出します。
関連の記事