GuardDuty の検出結果の重要度 - Amazon GuardDuty
重要度重大重要度高重要度中重要度低

GuardDuty の検出結果の重要度

GuardDuty の各検出結果には、当社のセキュリティエンジニアが定めた環境の潜在的なリスクを示す重要度と値が割り当てられます。重要度の値の範囲は 1.0~10.0 です。値が大きいほど、セキュリティリスクが高いことを示します。検出結果が示す潜在的なセキュリティの問題への対応を判断するために役立つように、GuardDuty ではこの範囲を [重大][高][中][低] の重要度に分けています。

特定のタイプの検出結果は、検出結果に固有のコンテキストによって重要度が異なることがあります。すべての GuardDuty 検出結果タイプのデフォルトの重要度レベルの統合リストを表示するには、「GuardDuty のアクティブな検出結果タイプ」を参照してください。

以下のセクションでは、GuardDuty の検出結果に対して定義された重要度レベルについて説明します。

重要度重大

値の範囲: 9.0 - 10.0

説明: 重要度重大レベルは、攻撃シーケンスが進行中であるか、最近発生した可能性があることを示します。IAM ユーザーのサインイン認証情報や Amazon S3 バケットなどの 1 つ以上の AWS リソースが侵害されている可能性があるか、既に侵害されている可能性があります。

推奨事項: GuardDuty では、すべての重要な重要度の検出結果の優先順位付けと修復を推奨しています。これらの問題はランサムウェア攻撃の一部であり、いつでも深刻化する可能性があるためです。関連するリソースの詳細を表示し、セキュリティ問題の対処を開始します。詳細については、「検出結果の修復」を参照してください。

重要度高

値の範囲: 7.0 - 8.9

説明: 重要度高は、問題になっているリソース (Amazon EC2 インスタンスや IAM ユーザーサインイン認証情報) が侵害され、不正な目的で活発に使用されていることを示します。

推奨: GuardDuty では、重要度高の検出結果のセキュリティの問題は、優先事項として処理し、リソースのそれ以上の不正使用を防ぐために直ちに修復を行うことをお勧めします。例えば、Amazon EC2 インスタンスをクリーンアップまたは終了するか、IAM 認証情報を更新します。「検出結果の修復」の手順に従って、検出結果を修復します。

重要度中

値の範囲: 4.0 - 6.9

説明: 重要度中は、通常観察される動作から逸脱する不審なアクティビティを示し、ユーズケースによってはリソースが侵害されていることを示します。

推奨事項: GuardDuty では、影響を受ける可能性のあるリソースをできるだけ早く調査することをお勧めします。修復手順は、リソースと検出結果ファミリーによって異なります。確立アプローチは、アクティビティが認可され、ユースケースと一致していることを確認することです。原因を特定できない場合やアクティビティが許可されたことを確認できない場合は、リソースが侵害されたとみなす必要があります。「検出結果の修復」の手順に従って、検出結果を修復します。

次に、重要度中の検出結果を確認する場合に考慮する事項を示します。

  • 未承認のユーザーがインストールした新しいソフトウェアでリソースの動作が変更されていないか確認してください。例えば、通常より高いトラフィックが許可されている場合や、新しいポートの通信が有効化されている場合などがあります。

  • 許可されているユーザーがコントロールプレーンの設定を変更しているかどうかを確認します (セキュリティグループの設定の変更など)。

  • 該当するリソースでアンチウィルススキャンを実行し、未承認のソフトウェアを検出します。

  • 該当する IAM ロール、ユーザー、グループ、または認証情報セットにアタッチされている許可を検証します。次のアクセス許可を変更または更新する必要がある場合があります。

重要度低

値の範囲: 1.0 - 3.9

説明: 重要度低は、環境が侵害されなかった不審なアクティビティが試行されたことを示します (ポートスキャンや侵入の失敗など)。

推奨事項: すぐに推奨されるアクションはありませんが、この情報は、誰かが環境の弱点を探していることを示している可能性があるので、念のためメモしておいてください。