[検出結果グループ] ページを理解する - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

[検出結果グループ] ページを理解する

検出結果グループページには、動作グラフから Amazon Detective によって収集されたすべての検出結果グループが一覧表示されます。検出結果グループの次の属性に注意してください。

グループの重要度

各検出結果グループには、関連する検出結果 AWS のセキュリティ検出結果形式 (ASFF) の重要度に基づいて重要度が割り当てられます。検出結果の ASFF 重要度値は、重要度が高いものから低いものへと順に、[重要][高][中]」、[低]、または [情報] となります。グループの重要度は、そのグループ内の検出結果の中で最も重要度の高い検出結果の重要度と等しくなります。

多数のエンティティに影響する、重要度が [重要] または [高] の検出結果で構成されるグループは、影響の大きいセキュリティ問題を表す可能性が高いため、優先的に調査する必要があります。

グループタイトル

[タイトル] 列では、各グループに一意の ID と、各グループに一意ではないタイトルが表示されます。これらは、グループの ASFF タイプの名前空間と、クラスターのその名前空間に含まれる検出結果の数に基づいて決定されます。例えば、TTP (2)、Effect (1)、Unusual behavior (2) というタイトルが付いているグループには、TTP 名前空間の 2 つの検出結果、Effect 名前空間の 1 つの検出結果、および Unusual behavior 名前空間の 2 つの検出結果から成る、合計 5 つの検出結果が含まれます。名前空間の完全なリストについては、「タイプ」を参照してください。

グループの戦術

グループの [戦術] 列には、アクティビティが分類される戦術カテゴリが表示されます。続いて表示されるリストの [戦術]・[テクニック]・[手順](tactics, techniques, and procedures: TTP) カテゴリは、MITRE ATT&CK の Enterprise Matrix に対応しています。

チェーン上の戦術を選択すると、その戦術の説明を表示できます。チェーンの下には、グループ内で検出された戦術のリストが表示されます。これらのカテゴリとその代表的なアクティビティは次のとおりです。

  • 初期アクセス — 攻撃者が他者のネットワークに侵入しようとしています。

  • 実行 — 攻撃者が他者のネットワークに侵入しようとしています。

  • 永続化 — 攻撃者が足場を固めようとします。

  • 権限昇格 — 攻撃者がより高いレベルのアクセス許可を取得しようとしています。

  • 防衛回避 — 攻撃者が検出されないようにしようとしています。

  • 認証情報アクセス — 攻撃者がアカウント名とパスワードを盗もうとしています。

  • 探索 — 攻撃者が環境を理解し、知ろうとしています。

  • 横展開 — 攻撃者が環境内を進もうとしています。

  • 収集 — 攻撃者が目標達成に必要なデータを収集しようとしています。

  • C&C (Command and Control) — 攻撃者が他者のネットワークに侵入しようとしています。

  • 持ち出し — 攻撃者がデータを盗もうとしています。

  • 影響 — 攻撃者がユーザーのシステムおよびデータを操作、中断、または破壊しようとしています。

  • その他 — 検出結果によるアクティビティが、「matrix」に記載されている「tactics」(戦術) と一致しないことを示します。

グループ内のエンティティ

[エンティティ] 列には、検出されたこのグループ内の特定エンティティの詳細が表示されます。この値を選択すると、エンティティの内訳が [アイデンティティ][ネットワーク][ストレージ][コンピューティング] のカテゴリに分けて表示されます。カテゴリごとにエンティティの例を示します。

  • ID – ユーザーやロールなどの AWS アカウント IAM プリンシパルと

  • ネットワーク - IP アドレスまたはその他のネットワークおよび VPC エンティティ

  • ストレージ - Amazon S3 バケットや DDB

  • コンピューティング - Amazon EC2 インスタンスや Kubernetes コンテナ

グループ内のアカウント

Accounts 列には、グループ内の検出結果に関連するエンティティを所有する AWS アカウントが表示されます。 AWS アカウントは名前と AWS ID でリストされるため、重要なアカウントが関与するアクティビティの調査を優先できます。

グループ内の検出結果

[検出結果] 列には、グループ内のエンティティが重要度順に一覧表示されます。検出結果には、Amazon GuardDuty からの検出結果、Amazon Inspector からの検出結果、 AWS セキュリティ検出結果、および Detective からの証拠が含まれます。グラフを選択すると、重要度ごとの正確な検出結果数を確認できます。

GuardDuty からの検出結果は Detective コアパッケージの一部であり、デフォルトで取り込まれます。Security Hub によって集計された他のすべての AWS セキュリティ検出結果は、オプションのデータソースとして取り込まれます。詳細については、「Source data used in a behavior graph」を参照してください。