Amazon GuardDuty の EKS ランタイムモニタリングをランタイムモニタリング機能に集約してみた
2025.02.10こんにちは!クラウド事業本部コンサルティング部のたかくに(@takakuni_)です。
ある日、Amazon GuardDuty の EKS ランタイムモニタリングを利用していると、次のようなアナウンスがコンソールに表記されていました。
アクションが必要です - EKS ランタイムモニタリングが有効になっています
EKS ランタイムモニタリングがアカウントで有効になっています。GuardDuty は、EKS ランタイムモニタリングのコンソールエクスペリエンスをランタイムモニタリングに統合しました。EKS ランタイムモニタリングのコンソールエクスペリエンスを引き続き使用するには、GuardDuty ではランタイムモニタリングを有効にし、 既存の EKS ランタイムモニタリング設定を ランタイムモニタリングに移行することをお勧めします。
EKS ランタイムモニタリングの設定をランタイムモニタリングに移行したら、 EKS ランタイムモニタリングを無効にします ランタイムモニタリングを無効化しても、EKS ランタイムモニタリングが有効のままの場合は、引き続き使用料が発生します。
アクションが必要...? 内容を確認してみましょう。
歴史的背景
EKS Runtime Monitoring のリリース
元々、 EKS Runtime Monitoring 機能は、 EKS Protection の中の 1 つとしてリリースされていました。
- EKS Protection
- EKS Audit Log
- EKS Runtime Monitoring (NEW!)
Amazon GuardDuty EKS Runtime Monitoring, status is always "Requires activation"? | AWS re:Postより画像引用
ECS/EC2 Runtime Monitring のリリース
re:Invent 2023 で ECS/EC2 の Runtime Monitring がリリースされました。
この登場により、あたらしく Runtime Monitoring の項目が増え、コンソール上では EKS Runtime Monitoring の設定は、Runtime Monitoring に集約されるようになりました。
- Runtime Monitoring (NEW!)
- ECS Runtime Monitoring (NEW!)
- EC2 Runtime Monitoring (NEW!)
- EKS Runtime Monitoring (Moved!)
- EKS Protection
- EKS Audit Log
[アップデート]Amazon GuardDuty ECS Runtime Monitoring が利用できるようになりました #AWSreinvent | DevelopersIOより画像引用
設定値が 2 つになった
先ほどの機能統合で、 EKS Runtime Monitoring は EKS 単体の Runtime Monitoring (EKS_RUNTIME_MONITORING) または、統合された Runtime Monitoring (RUNTIME_MONITORING) のどちらかで設定できるようになりました。
参考までに GetDetector API では、執筆時点で次のようなレスポンスが返ってきます。
GetDetector.json
{
"CreatedAt": "2024-03-28T15:05:01.315Z",
"FindingPublishingFrequency": "SIX_HOURS",
"ServiceRole": "arn:aws:iam::891377023787:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Status": "ENABLED",
"UpdatedAt": "2024-03-28T15:05:01.315Z",
"DataSources": {
"CloudTrail": {
"Status": "ENABLED"
},
"DNSLogs": {
"Status": "ENABLED"
},
"FlowLogs": {
"Status": "ENABLED"
},
"S3Logs": {
"Status": "ENABLED"
},
"Kubernetes": {
"AuditLogs": {
"Status": "ENABLED"
}
},
"MalwareProtection": {
"ScanEc2InstanceWithFindings": {
"EbsVolumes": {
"Status": "ENABLED"
}
},
"ServiceRole": "arn:aws:iam::891377023787:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
},
"Tags": {},
"Features": [
{
"Name": "CLOUD_TRAIL",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T08:11:32+00:00"
},
{
"Name": "DNS_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T08:11:32+00:00"
},
{
"Name": "FLOW_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T08:11:32+00:00"
},
{
"Name": "S3_DATA_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00"
},
{
"Name": "EKS_AUDIT_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00"
},
{
"Name": "EBS_MALWARE_PROTECTION",
"Status": "ENABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00"
},
{
"Name": "RDS_LOGIN_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00"
},
{
"Name": "EKS_RUNTIME_MONITORING",
"Status": "DISABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00"
}
]
},
{
"Name": "LAMBDA_NETWORK_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00"
},
{
"Name": "RUNTIME_MONITORING",
"Status": "DISABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00"
},
{
"Name": "ECS_FARGATE_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00"
},
{
"Name": "EC2_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2024-03-28T15:05:01+00:00"
}
]
}
]
}
アクションが必要な状態
ここまでの経緯で大体お察しだとは思うのですが、私のアカウントの場合、 EKS 単体の Runtime Monitoring を利用しており移行してねとアナウンスがありました。
{
"CreatedAt": "2022-09-02T17:11:30.938Z",
"FindingPublishingFrequency": "SIX_HOURS",
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03.393Z",
"DataSources": {
"CloudTrail": {
"Status": "ENABLED"
},
"DNSLogs": {
"Status": "ENABLED"
},
"FlowLogs": {
"Status": "ENABLED"
},
"S3Logs": {
"Status": "ENABLED"
},
"Kubernetes": {
"AuditLogs": {
"Status": "ENABLED"
}
},
"MalwareProtection": {
"ScanEc2InstanceWithFindings": {
"EbsVolumes": {
"Status": "ENABLED"
}
},
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
},
"Tags": {
"cm:Members": "SecureAccount"
},
"Features": [
{
"Name": "CLOUD_TRAIL",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T08:18:57+00:00"
},
{
"Name": "DNS_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T08:18:57+00:00"
},
{
"Name": "FLOW_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T08:18:57+00:00"
},
{
"Name": "S3_DATA_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "EKS_AUDIT_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "EBS_MALWARE_PROTECTION",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "RDS_LOGIN_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "EKS_RUNTIME_MONITORING",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
}
]
},
{
"Name": "LAMBDA_NETWORK_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "RUNTIME_MONITORING",
"Status": "DISABLED",
"UpdatedAt": "2024-06-25T07:22:22+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "ECS_FARGATE_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2024-06-25T07:22:22+00:00"
},
{
"Name": "EC2_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2024-06-25T07:22:22+00:00"
}
]
}
]
}
AWS のドキュメントでも、現在は Runtime Monitoring への移行が推奨されています。今回は移行ステップにしたがって移行してみたいと思います。
GuardDuty has consolidated the console experience for EKS Runtime Monitoring into Runtime Monitoring. GuardDuty recommends Checking EKS Runtime Monitoring configuration status and Migrating from EKS Runtime Monitoring to Runtime Monitoring.
移行してみた
ディテクターの状態確認
再掲になりますが、 GuardDuty Detector の状態を確認し、今どの設定が有効/無効になっているか確認します。
私の場合だと、以下の 2 点がわかりました。
- EKS_RUNTIME_MONITORING は有効になっている
- RUNTIME_MONITORING が無効になっている
{
"CreatedAt": "2022-09-02T17:11:30.938Z",
"FindingPublishingFrequency": "SIX_HOURS",
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03.393Z",
"DataSources": {
"CloudTrail": {
"Status": "ENABLED"
},
"DNSLogs": {
"Status": "ENABLED"
},
"FlowLogs": {
"Status": "ENABLED"
},
"S3Logs": {
"Status": "ENABLED"
},
"Kubernetes": {
"AuditLogs": {
"Status": "ENABLED"
}
},
"MalwareProtection": {
"ScanEc2InstanceWithFindings": {
"EbsVolumes": {
"Status": "ENABLED"
}
},
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
},
"Tags": {
"cm:Members": "SecureAccount"
},
"Features": [
{
"Name": "CLOUD_TRAIL",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T08:18:57+00:00"
},
{
"Name": "DNS_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T08:18:57+00:00"
},
{
"Name": "FLOW_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T08:18:57+00:00"
},
{
"Name": "S3_DATA_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "EKS_AUDIT_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "EBS_MALWARE_PROTECTION",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "RDS_LOGIN_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "EKS_RUNTIME_MONITORING",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
}
]
},
{
"Name": "LAMBDA_NETWORK_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "RUNTIME_MONITORING",
"Status": "DISABLED",
"UpdatedAt": "2024-06-25T07:22:22+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00"
},
{
"Name": "ECS_FARGATE_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2024-06-25T07:22:22+00:00"
},
{
"Name": "EC2_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2024-06-25T07:22:22+00:00"
}
]
}
]
}
前提条件の確認
おそらく既存で使っているケースであれば、クリアしていると思うのですが今一度、EKS のランタイムモニタリングを利用するにあたっての前提条件(OS やホスティングプラットフォーム等)を確認しておきましょう。
ランタイムモニタリングの有効化
前提条件を確認できたら、ランタイムモニタリングを有効化します。
私の場合は Organizations を利用していないため、スダンドアロンアカウントの手順を実施します。
EKS_RUNTIME_MONITORING と RUNTIME_MONITORING を同時に設定すると次のエラーが発生します。
An error occurred (BadRequestException) when calling the UpdateDetector operation: The request was rejected because EKS_RUNTIME_MONITORING and RUNTIME_MONITORING cannot be provided in the same request.
そのため、 update-detector は以下の形式で設定します。
update_detector.json
[
{
"Name": "S3_DATA_EVENTS",
"Status": "ENABLED"
},
{
"Name": "EKS_AUDIT_LOGS",
"Status": "ENABLED"
},
{
"Name": "EBS_MALWARE_PROTECTION",
"Status": "ENABLED"
},
{
"Name": "RDS_LOGIN_EVENTS",
"Status": "ENABLED"
},
{
"Name": "LAMBDA_NETWORK_LOGS",
"Status": "ENABLED"
},
{
"Name": "RUNTIME_MONITORING",
"Status": "ENABLED",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "ENABLED",
},
{
"Name": "ECS_FARGATE_AGENT_MANAGEMENT",
"Status": "DISABLED",
},
{
"Name": "EC2_AGENT_MANAGEMENT",
"Status": "DISABLED"
}
]
}
]
aws guardduty update-detector --detector-id 218062539b5b413bbac856b2e0128ef0 --features file://update_detector.json
更新後に実行した get-detecor の結果です。EKS_RUNTIME_MONITORING と RUNTIME_MONITORING がどちらも有効化されていることがわかります。
after_enable_runtime_monitoring.json
{
"CreatedAt": "2022-09-02T17:11:30.938Z",
"FindingPublishingFrequency": "SIX_HOURS",
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13.544Z",
"DataSources": {
"CloudTrail": {
"Status": "ENABLED"
},
"DNSLogs": {
"Status": "ENABLED"
},
"FlowLogs": {
"Status": "ENABLED"
},
"S3Logs": {
"Status": "ENABLED"
},
"Kubernetes": {
"AuditLogs": {
"Status": "ENABLED"
}
},
"MalwareProtection": {
"ScanEc2InstanceWithFindings": {
"EbsVolumes": {
"Status": "ENABLED"
}
},
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
},
"Tags": {
"cm:Members": "SecureAccount"
},
"Features": [
{
"Name": "CLOUD_TRAIL",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:46+00:00"
},
{
"Name": "DNS_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:46+00:00"
},
{
"Name": "FLOW_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:46+00:00"
},
{
"Name": "S3_DATA_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "EKS_AUDIT_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "EBS_MALWARE_PROTECTION",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "RDS_LOGIN_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "EKS_RUNTIME_MONITORING",
"Status": "ENABLED",
"UpdatedAt": "2025-02-07T17:10:03+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
}
]
},
{
"Name": "LAMBDA_NETWORK_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "RUNTIME_MONITORING",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "ECS_FARGATE_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "EC2_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
}
]
}
]
}
EKS ランタイムモニタリングの無効化
単体で機能していた EKS ランタイムモニタリングを無効化します。
aws guardduty update-detector --detector-id 218062539b5b413bbac856b2e0128ef0 --features '[{"Name" : "EKS_RUNTIME_MONITORING", "Status" : "DISABLED"}]'
再度、 get-detector で確認してみます。
EKS_RUNTIME_MONITORING は無効化され、RUNTIME_MONITORING の EKS_ADDON_MANAGEMENT は有効になりました。
{
"CreatedAt": "2022-09-02T17:11:30.938Z",
"FindingPublishingFrequency": "SIX_HOURS",
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:10:48.534Z",
"DataSources": {
"CloudTrail": {
"Status": "ENABLED"
},
"DNSLogs": {
"Status": "ENABLED"
},
"FlowLogs": {
"Status": "ENABLED"
},
"S3Logs": {
"Status": "ENABLED"
},
"Kubernetes": {
"AuditLogs": {
"Status": "ENABLED"
}
},
"MalwareProtection": {
"ScanEc2InstanceWithFindings": {
"EbsVolumes": {
"Status": "ENABLED"
}
},
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
},
"Tags": {
"cm:Members": "SecureAccount"
},
"Features": [
{
"Name": "CLOUD_TRAIL",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:10:55+00:00"
},
{
"Name": "DNS_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:10:55+00:00"
},
{
"Name": "FLOW_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:10:55+00:00"
},
{
"Name": "S3_DATA_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "EKS_AUDIT_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "EBS_MALWARE_PROTECTION",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "RDS_LOGIN_EVENTS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "EKS_RUNTIME_MONITORING",
"Status": "DISABLED",
"UpdatedAt": "2025-02-09T09:10:48+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
}
]
},
{
"Name": "LAMBDA_NETWORK_LOGS",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "RUNTIME_MONITORING",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00",
"AdditionalConfiguration": [
{
"Name": "EKS_ADDON_MANAGEMENT",
"Status": "ENABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "ECS_FARGATE_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
},
{
"Name": "EC2_AGENT_MANAGEMENT",
"Status": "DISABLED",
"UpdatedAt": "2025-02-09T09:04:13+00:00"
}
]
}
]
}
まとめ
以上、「Amazon GuardDuty の EKS ランタイムモニタリングをランタイムモニタリング機能に集約してみた」でした。
参考になれば幸いです。クラウド事業本部コンサルティング部のたかくに(@takakuni_)でした!
