Amazon GuardDutyの新機能RDS Protectionを試してみる

みなさん、あけましておめでとうございます
サニービュー事業部の小寺です。
今日は、re:Inventで発表されたGuardDutyの新機能RDS Protectionを試していました。

RDS Protectionとは

Amazon Aurora の脅威検出を提供して、Aurora データベースに保存されているデータに対する潜在的な脅威を特定するようになりました。
Amazon GuardDuty RDS Protection は、アカウント内の既存および新規のデータベースへのアクセスアクティビティをプロファイリングして監視し、機械学習モデルを使用して、Aurora データベースへの疑わしいログインを正確に検出することができます。re:Inventのキーノート時にアップした過去記事はこちら。

※RDS Protectionとなっていますが、対応しているのはAuroraデータベースであることが前提です。
以下のバージョンが対象になっています。
・Aurora MySQL versions 2.10.2 and 3.2.1 or higher.
・Aurora PostgreSQL versions 10.17, 11.12, 12.7, 13.3, and 14.3 or higher.

試してみる

(1)まずはGuardDutyを有効化します。このアカウントは有効化していなかったので、30日間の無料利用の表示がされます。

(2)GuardDutyの左ペインの「設定」にRDS保護（プレビュー）が増えています。

有効化しようとしたら、自動的に有効化されていました。
検証用に作ったアカウントでは、GuardDutyそのものを有効化していなかったからかもしれません。

(3)検知の種類
RDS Protection機能の検知には2種類があります。RDSにログインしたときに検知が実行されます。

・CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
RDSデータベースで異常検出機械学習モデルにより、異常なログインの成功がされたことを通知します。
これは、RDS データベースのロールが侵害され、潜在的な悪意のある行為によってアクセスされた可能性があることを示しています。

・CredentialAccess:RDS/AnomalousBehavior.FailedLogin
RDSデータベースで異常検出機械学習モデルにより、異常なログインが失敗されたことを通知します。
これは、RDS データベースが潜在的な悪意のあるアクターによるブルートフォース攻撃の対象になった可能性があることを示しています。

(4）SNS経由で通知をする場合、各リージョンによりARNが設定されているので、東京リージョンのARNを確認しておきます。
詳細はこちらから。
2023年1月1日時点では、「arn:aws:sns:ap-northeast-1:741172661024:GuardDutyAnnouncements」となっています。

サブスクリプションのARNに先ほど確認したARNをコピペします。