GuardDuty Lambda Protection - Amazon GuardDuty

GuardDuty Lambda Protection

Lambda Protection は、AWS 環境内で AWS Lambda 関数が呼び出されたときに潜在的なセキュリティ脅威を特定するのに役立ちます。Lambda Protection を有効にすると、GuardDuty が Lambda ネットワークアクティビティログのモニタリングを開始します。例えば、アカウントのすべての Lambda 関数が生成する VPC フローログ (VPC ネットワーキングを使用しないログも含む) や、Lambda 関数が呼び出されたときに生成されるログなどです。悪意の可能性があるコードが Lambda 関数に存在することを示す疑わしいネットワークトラフィックが識別されると、1 つ以上の Lambda Protection の検出結果タイプが生成されます。

30 日間の無料トライアル

次に、アカウントに適用される 30 日間無料トライアルの仕組みを示します。

  • 新しいリージョンの AWS アカウントで GuardDuty を初めて有効にすると、30 日間の無料トライアルが適用されます。この場合、Lambda Protection も無料トライアルに含まれているため一緒に有効になります。

  • 既に GuardDuty を使用している場合に、初めて Lambda Protection を有効にすると、このリージョンのアカウントに Lambda Protection の 30 日間無料トライアルが適用されます。

  • Lambda Protection はいつでも無効にできます。リージョンのアカウントに無料トライアルの日数が残っている場合は、Lambda Protection をいつでももう一度有効にすれば無料トライアルを使用できます。

  • 30 日間の無料トライアルでは、そのアカウントとリージョンの使用コストの見積もりを取得できます。30 日間無料トライアルが終了しても、Lambda Protection が自動的に無効になることはありません。このリージョンのアカウントで使用コストが発生し始めます。詳細については、「GuardDuty 使用コストの推定」を参照してください。

Lambda ネットワークアクティビティログは変更されることがあります。例えば、Lambda 関数を呼び出すと生成される DNS クエリデータなど、他のネットワークアクティビティに拡張されるといった場合です。他の形式のネットワークアクティビティモニタリングへの拡張により、GuardDuty が Lambda Protection で処理するデータ量が増加します。これは Lambda Protection の使用コストに直接影響します。GuardDuty が追加のネットワークアクティビティログのモニタリングを開始するたびに、リリースの少なくとも 30 日前に、Lambda Protection を有効にしたアカウントに通知が届きます。

注記

Lambda Network Activity Monitoring には Lambda@Edge 関数のログは含まれません。

Lambda Network Activity Monitoring

Lambda Protection を有効にすると、アカウントに関連付けられた Lambda 関数が呼び出されたときに生成される Lambda ネットワークアクティビティログが GuardDuty によって監視されます。これにより、Lambda 関数に対する潜在的なセキュリティ脅威を検出できます。VPC ネットワークを使用するように設定されている Lambda 関数では、Lambda for GuardDuty で作成された Elastic Network Interface (ENI) の VPC フローログを有効にする必要はありません。GuardDuty では、検出結果を生成するために処理された Lambda ネットワークアクティビティのログデータの量 (GB 単位) に対してのみ課金されます。GuardDuty では、スマートフィルターを適用し、脅威検出に関連する Lambda ネットワークアクティビティログのサブセットを分析することでコストを最適化します。

GuardDuty は Lambda ネットワークアクティビティログ (VPC や VPC 以外のフローログなど) を管理したり、アカウントへのアクセスを可能にしたりすることはありません。