検出結果グループを分析する

Amazon Detective の検出結果グループを使用すると、セキュリティイベントを引き起こす可能性がある複数のアクティビティを調査することができます。Amazon Detective の検出結果グループは、Detective が同じ潜在的なセキュリティインシデントに関連していることを示す複数の検出結果間でパターンまたは関係を検出すると作成されます。このグループ化は、関連する検出結果をより効率的に管理および調査するのに役立ちます。

検出結果グループを使用することで、重要度が高い GuardDuty からの検出結果の根本原因を分析できます。脅威アクターが AWS 環境を侵害しようとしている場合、通常、複数のセキュリティ検出結果や異常な動作につながる一連のアクションを実行します。これらのアクションは、多くの場合、長い時間や複数のエンティティにわたって行われます。セキュリティ上の検出結果を単独で調査すると、その重要度が誤解され、根本原因の特定が困難になる可能性があります。Amazon Detective ではこの問題に対処するため、検出結果とエンティティの関係を推測して、検出結果とエンティティをグループ化するグラフ分析手法を適用しています。関連するエンティティと検出結果を調査する出発点として、検出結果グループを検討することをお勧めします。

Detective は検出結果のデータを分析し、共有するリソースに基づいて関連する可能性が高い他の検出結果とグループ化します。例えば、同じ IAM ロールセッションで実行したアクションに関連する検出結果や、同じ IP アドレスで実行したアクションによる検出結果は、基となるアクティビティが同じである可能性が非常に高くなります。検出結果と証拠を 1 つのグループとして調査することは、Detective が行った関連付けが関連していない場合でも有益です。

検出結果は、次の基準に基づいて作成されます。

一時的な近接性 – 近い期間内に発生した検出結果は、同じインシデントに関連している可能性が高いため、多くの場合、グループ化されます。
共通エンティティ – IP アドレス、ユーザー、リソースなど、同じエンティティに関連する検出結果はグループ化されます。これは、環境のさまざまな部分にわたるインシデントの範囲を理解するのに役立ちます。
パターンと動作 – Detective は、同様のタイプの攻撃や疑わしいアクティビティなど、検出結果のパターンと動作を分析して関係を判断し、それに応じてグループ化します。
戦術、手法、手順 (TTPs) – MITRE ATT&CK などのフレームワークで説明されているように、類似した TTPs を共有する検出結果はグループ化され、協調攻撃の可能性が浮き彫りになります。

これらの基準は、調査プロセスを合理化し、同じセキュリティインシデントを表す可能性のある相関結果に集中できるようにします。

各グループには、検出結果に加えて、検出結果に関係するエンティティも含まれます。エンティティには、IP アドレスやユーザーエージェント AWS など、外のリソースを含めることができます。

注記

別の検出結果に関連している最初の GuardDuty の検出結果が発生した場合、48 時間以内に、関連するすべての検出結果とエンティティを含んだ検出結果グループが作成されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

検出結果の概要

[検出結果グループ] ページを理解する