Amazon GuardDuty の概念と主要な用語

AWS リソースを含む標準の Amazon Web Services (AWS) アカウント。アカウントを使用して AWS にサインインし、GuardDuty を有効にできます。

他のアカウントを招待して、GuardDuty を有効にし、GuardDuty の AWS アカウントに関連付けることもできます。招待が承諾されると、アカウントは GuardDuty アカウントの管理者アカウントとして指定され、これに追加されたアカウントはメンバーアカウントになります。これにより、代わりにそれらのアカウントの GuardDuty の検出結果を表示および管理することができます。

管理者アカウントのユーザーは、自分のアカウントおよびすべてのメンバーアカウントの GuardDuty の検出結果を表示および管理できるだけでなく、GuardDuty の設定もできます。管理者アカウントが管理できるメンバーアカウントの数については、「GuardDuty クォータ」を参照してください。

メンバーアカウントのユーザーは、GuardDuty マネジメントコンソールまたは GuardDuty API を使用して、自分のアカウントの GuardDuty の検出結果を表示および管理するだけでなく、GuardDuty の設定もできます。メンバーアカウントのユーザーは、他のメンバーアカウントの検出結果を表示または管理することはできません。

1 つの AWS アカウントを同時に GuardDuty の管理者アカウントとメンバーアカウントにすることはできません。AWS アカウントで承諾できるメンバーシップの招待は 1 つのみです。メンバーシップの招待の承諾はオプションです。

詳細については、「Amazon GuardDuty の複数のアカウント」を参照してください。

攻撃シーケンスとは、GuardDuty が観測した複数のイベントが特定の順序で発生し、不審な活動のパターンに一致する相関関係です。GuardDuty は、その Extended Threat Detection 機能を使用して、アカウント内の基本的なデータソース、AWS リソース、タイムラインにまたがるこれらのマルチステージ攻撃を検出します。

以下のリストでは、攻撃シーケンスに関連する主要な用語を簡単に説明します。

Amazon GuardDuty はリージョンレベルのサービスです。特定の AWS リージョンで GuardDuty を有効にすると、AWS アカウントがディテクター ID に関連付けられます。この英数字 32 文字の ID は、そのリージョンのアカウントに固有です。例えば、別のリージョンで同じアカウントに対して GuardDuty を有効にすると、アカウントは別のディテクター ID に関連付けられます。detectorId の形式は 12abc34d567e8fa901bc2d34e56789f0 です。

すべての GuardDuty の検出結果、アカウント、検出結果の管理に関するアクションおよび GuardDuty サービスは、ディテクター ID を使用して API オペレーションを実行します。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

CloudWatch Events の通知頻度の設定や、GuardDuty が処理するオプションの保護プランの有効化または無効化など、GuardDuty の一部の機能は、ディテクターを介して設定されます。

データのセットのオリジンまたは場所です。AWS 環境内の不正なアクティビティや予期しないアクティビティを検出するには GuardDuty は、AWS CloudTrail イベントログ、AWS CloudTrail 管理イベント、S3 AWS CloudTrail データイベント、VPC フローログ、DNS ログのデータを分析および処理します (「GuardDuty 基本データソース」を参照)。

GuardDuty 保護プランに設定された機能オブジェクトは、AWS 環境内の不正なアクティビティや予期しないアクティビティを検出するのに役立ちます。各 GuardDuty 保護プランでは、データを分析および処理するために対応する機能オブジェクトを設定します。機能オブジェクトには、EKS 監査ログ、RDS ログインアクティビティモニタリング、Lambda ネットワークアクティビティログ、EBS ボリュームなどがあります。詳細については、「GuardDuty API の保護プランの機能名」を参照してください。

GuardDuty によって発見された潜在的なセキュリティの問題。詳細については、「Amazon GuardDuty の検出結果の理解と生成」を参照してください。

検出結果は、セキュリティ問題に関する詳細な説明と合わせて、GuardDuty コンソールに表示されます。GetFindings および ListFindings API オペレーションを呼び出して生成された検出結果を取得することもできます。

GuardDuty の検出結果は、Amazon CloudWatch Events を使用して確認することもできます。GuardDuty は、検出結果を HTTPS プロトコルを介して Amazon CloudWatch に送信します。詳細については、「Amazon EventBridge を使用した GuardDuty 検出結果の処理」を参照してください。

これは、S3 オブジェクトをスキャンするために必要なアクセス許可を持つ IAM ロールのことです。スキャンされたオブジェクトのタグ付けを有効にする場合、IAM PassRole アクセス許可により、スキャンされたオブジェクトに GuardDuty がタグを追加することができます。

バケットの Malware Protection for S3 を有効にすると、GuardDuty は Malware Protection プランのリソースを作成します。このリソースは、保護されたバケットを一意に識別する Malware Protection プラン ID に関連付けられます。Malware Protection プランのリソースを使用して、保護されたリソースに対して API オペレーションを実行します。

Amazon S3 バケットは、このバケットで Malware Protection for S3 を有効にし、その保護ステータスが [アクティブ] に変わると、保護されているとみなされます。

GuardDuty は、保護されたリソースとして S3 バケットのみをサポートします。

Malware Protection プランのリソースに関連付けられているステータス。バケットで Malware Protection for S3 を有効にすると、このステータスはバケットが正しく設定されているかどうかを表します。

Amazon Simple Storage Service (Amazon S3) バケットでは、プレフィックスを使用してストレージを整理できます。プレフィックスは、S3 バケット内のオブジェクトの論理グループです。詳細については、「Amazon S3 ユーザーガイド」の「オブジェクトの整理とリスト化」を参照してください。

GuardDuty Malware Protection for EC2 が有効になっている場合、スキャンまたはスキップする Amazon EC2 インスタンスと Amazon Elastic Block Store (EBS) ボリュームを指定できます。この機能を使用すると、EC2 インスタンスおよび EBS ボリュームに関連付けられている既存のタグを、包含タグリストまたは除外タグリストのいずれかに追加できます。包含タグリストに追加するタグに関連付けられているリソースは、マルウェアのスキャンが行われ、除外タグリストに追加されたリソースはスキャンされません。詳細については、「ユーザー定義タグ付きのスキャンオプション」を参照してください。

GuardDuty Malware Protection for EC2 が有効になっている場合、AWS アカウントで EBS ボリュームのスナップショットを保持するオプションが提供されます。GuardDuty は、EBS ボリュームのスナップショットに基づいてレプリカ EBS ボリュームを生成します。Malware Protection for EC2 スキャンがレプリカ EBS ボリュームでマルウェアを検出した場合にのみ、EBS ボリュームのスナップショットを保持できます。レプリカ EBS ボリュームでマルウェアが検出されない場合、GuardDuty は、スナップショットの保持設定に関係なく、EBS ボリュームのスナップショットを自動的に削除します。詳細については、「スナップショットの保持」を参照してください。

抑制ルールを使用すると、特定の属性の組み合わせを作成して検出結果数を抑えることができます。例えば、特定の VPC のインスタンス、特定の AMI を実行するインスタンス、特定の EC2 タグがあるインスタンスなどのみで、Recon:EC2/Portscan を自動アーカイブするために、GuardDuty フィルターを使ってルールを定義できます。このルールにより、ポートスキャンの検出結果は、条件を満たすインスタンスから自動的にアーカイブされます。ただし、暗号化通貨のマイニングなど、他の悪意のあるアクティビティを行っているインスタンスが GuardDuty によって検出された場合には、アラートが出されます。

GuardDuty 管理者アカウントで定義された抑制ルールは、GuardDuty メンバーアカウントに適用されます。GuardDuty メンバーアカウントは抑制ルールを変更できません。

抑制ルールでは、GuardDuty は依然としてすべての検出結果を生成します。抑制ルールは、すべてのアクティビティの完全で不変な履歴を維持しながら、検出結果の数を抑えます。

通常、抑制ルールの使用目的は、環境に対して誤検知と判断した検出結果を非表示にし、重要度の低い検出結果からのノイズを減らして、より大きな脅威に集中できるようにすることです。詳細については、「GuardDuty の抑制ルール」を参照してください。

AWS 環境と高度に安全な通信を行うための、信頼できる IP アドレスのリスト GuardDuty では、信頼できる IP リストに基づく検出結果は生成されません。詳細については、「Customizing threat detection with entity lists and IP address lists」を参照してください。

悪意のある既知の IP アドレスのリスト GuardDuty は、疑わしいアクティビティの可能性があるために検出結果を生成するだけでなく、これらの脅威リストに基づく検出結果も生成します。詳細については、「Customizing threat detection with entity lists and IP address lists」を参照してください。