GuardDuty の検出結果の集約

GuardDuty は生成された検出結果を動的に更新します。GuardDuty が同一のセキュリティ問題に関連する新たなアクティビティを検出した場合、新しい検出結果を作成する代わりに、GuardDuty は最新の情報を基に元の検出結果を更新します。この動作により、同様のレポートを複数確認しなくても進行中の問題を識別することが可能となり、既知のセキュリティ問題に関する全体的な検出結果の量を減らせます。

例えば、UnauthorizedAccess:EC2/SSHBruteForce の検出結果の場合、インスタンスへの複数のアクセスの試行が同じ検出結果 ID に集約され、検出結果の詳細の [カウント] 数が増加します。これは、その検出結果が、インスタンスの SSH ポートがそのタイプのアクティビティに対して適切に保護されていないことを示す単一のセキュリティの問題を示しているためです。ただし、GuardDuty で環境の新しいインスタンスをターゲットとする SSH アクセスのアクティビティが検出されると、一意の検出結果 ID を持つ新しい検出結果が作成され、新しいリソースに関連するセキュリティの問題があることがアラートで示されます。

検出結果が集計されると、そのアクティビティの最新のオカレンスの情報で更新されます。つまり、上記の例ではインスタンスが新しいアクターからのブルートフォースの試みのターゲットになった場合、検出結果の詳細は最も新しいソースのリモート IP を反映して更新され、古い情報は置き換えられることになります。個々のアクティビティの試行についての完全な詳細は、CloudTrail ログまたは VPC フローログに引き続き記録されます。

アラート GuardDuty で既存の検出結果を集約するのではなく、新しい検出結果を生成するようにトリガーする条件は、検出結果タイプによって異なります。各検出結果タイプの集約の条件は、ご利用のアカウントの個別のセキュリティの問題の概要を提供するために、当社のセキュリティエンジニアによって決定されます。

GuardDuty がアカウント内で攻撃シーケンス検出タイプを生成した場合、GuardDuty がアカウント内の同一シーケンス内で類似のシグナルを特定したときのみ、検出結果が集計されます。それ以外の場合、GuardDuty は別の攻撃シーケンスを生成します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

検出結果の詳細

GuardDuty の検出結果の管理