抑制ルールを複数の AWS アカウントで共有して設定することは可能か教えてください

抑制ルールを複数の AWS アカウントで共有して設定することは可能か教えてください

Clock Icon2023.07.18

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていること

弊社は Amazon GuardDuty を利用して脅威検知を行っています。
今後、管理する AWS アカウントが増える予定であり、AWS Organizations 又は 招待による複数のアカウントの管理を検討中です。
一元管理する際に、誤検知や確認済み検知の場合は抑制ルールを利用して、特定の対象での検出をフィルタリングすることを考えています。 抑制ルールは複数の AWS アカウントで共有して設定することは可能でしょうか、教えてください。

どう対応すればいいの?

はい、GuardDuty 管理アカウントで適用された抑制ルールはメンバーアカウントにも適用され、抑制ルールの対象となる検出結果はメンバーアカウントでも自動的にアーカイブされます。
抑制ルール以外にも、信頼できる IP リスト、脅威リストなどを管理することが可能です。

複数アカウント環境で GuardDuty を使用すると、管理者アカウントはメンバーアカウントに代わって GuardDuty の特定の側面を管理できます。管理者アカウントが実行できる主な機能は次のとおりです。
(中略)
● 抑制ルール、信頼できる IP リスト、脅威リストを作成して管理することで、GuardDuty ネットワーク内の検出結果をカスタマイズする。複数アカウント環境でメンバーアカウントはこれらの機能にアクセスできなくなります。

注記
マルチアカウント環境では、GuardDuty 管理者のみが抑制ルールを作成できます。

マルチアカウント環境では、GuardDuty 管理者アカウントのユーザーだけが、信頼できる IP リストと脅威リストをアップロードして管理することができます。

参考資料

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.