侵入検知システムIDS; Intrusion Detection Systemはネットワークやサーバを監視し、不正または異常な通信を検知し、管理者に通知するシステム。ホスト型IDSとネットワーク型IDSがある。前者は各ホストにソフトウェアを導入して分析する。後者はネットワークトラフィックを収集して分析する。多数のホストがある場合はネットワーク型IDSが拡張性の観点で優れている。
AWSでネットワーク型IDSを実装する場合、IDS用のVPCを作成し、全てのトラフィックをこのVPCにルーティングするように設定する。その上で新しいVPCにIDSプラットフォームを構築する。
Amazon GuardDuty はAWSのネットワーク型IDSのサービスである。GuardDutyはAWS CloudTrailイベントログ、Amazon VPCフローログ、DNSログなどの複数のAWS データソースからイベントを分析する。運用しているAWSで実際に起こったイベントが分析対象である。実際のログを分析して脅威が存在するかをチェックする。
AWSでネットワーク型IDSを実装する場合、IDS用のVPCを作成し、全てのトラフィックをこのVPCにルーティングするように設定する。その上で新しいVPCにIDSプラットフォームを構築する。
Amazon GuardDuty はAWSのネットワーク型IDSのサービスである。GuardDutyはAWS CloudTrailイベントログ、Amazon VPCフローログ、DNSログなどの複数のAWS データソースからイベントを分析する。運用しているAWSで実際に起こったイベントが分析対象である。実際のログを分析して脅威が存在するかをチェックする。
