Amazon GuardDuty(ガードデューティー)は、AWS(Amazon Web Services)が提供する脅威検出サービスで、AWSアカウントやワークロード、データを保護するために、悪意のあるアクティビティや異常な振る舞いを監視するツールです。簡単に言うと、「AWS環境で怪しい動きがないかを見張って、問題があれば警告してくれるセキュリティサービス」です。
GuardDutyは、AWS CloudTrail(管理イベントやデータイベント)、VPCフローログ(ネットワークトラフィック)、DNSログなど、AWSのさまざまなデータソースを分析します。これにより、以下のような脅威を検出します。1.不正アクセス異常なログインやAPI呼び出し(例: 知らない場所からのアクセス)。2.リソースの悪用EC2インスタンスが暗号通貨マイニングに使われたり、S3バケットが不正にアクセスされたりするケース。3.偵察行為ネットワークのスキャンやポートプロービングなど、攻撃者が情報を集めようとする行動。
GuardDutyは、機械学習(ML)や脅威インテリジェンス(悪意のあるIPアドレスやドメインのリストなど)を使って、異常なパターンや疑わしい行動を自動的に検出します。検出した問題は「セキュリティファインディング(Findings)」として、AWS管理コンソールやJSON形式で通知されます。