AWSでシステム内の監視を行うサービスについて少し触ったのでまとめておこうと思います。
監視系のサービス
CloudTrail
作成しているすべてのAWSサービスに対するAPI操作のログが吐かれます。
いつ、だれが、どのAWSサービスに対して、どのようなAPI操作をおこなったか、が記録されます。AWS全体のsyslogのようなかんじですかね・・
ディフォルトでS3バケットが作られここにデータが保存されることになります。
GuardDuty
AWSの機械学習技術を利用して、データ分析とセキュリティ監視を行い、検出結果とその詳細情報を可視化できるサービスのようです。
分析する対象のデータソースとしてはVPCFlowLogs、DNSクエリログ、EKSの監査ログなのです。
基本的にはセキュリティチェックを行い、不審なアクセスがあった際にこれらをチェックするようなサービスのようです。
AWSConfig
AWS内で何か設定変更をしたときに記録を残します。またそのリソースがAWS内の基準にのっとっていないとき(例えば、権限が広すぎる、不必要に管理者権限がついている)などでも併せて記録がのこされます。このルール自体は外したり、また閾値を変更したりすることが可能です。
ディフォルトでS3に記録が吐かれますが、6時間おきでの記録なので、リアルタイムでの変更を見たい場合はSNS連携するか、後述するeventBridgeにてイベントをキャッチして、別のリソースに飛ばすことができます。
また削除されたリソースを復元したり、リソースの依存関係を表示したりもできるようです。
実際の連携
実際に検知があった場合に、メールなどでこれらを検知したいケースが多いと思いますが、例えばこれらのeventが発火された時に、eventBridgeでキャッチして、SNSを紐づけておき、なんらかの通知をキャッチする、などで監視を行うことができます。