GuardDuty コンソールで生成された検出結果を表示する - Amazon GuardDuty
検出結果ページの操作

GuardDuty コンソールで生成された検出結果を表示する

GuardDuty がセキュリティ問題のパターンに一致する活動を検出すると、GuardDuty は検出結果を生成します。この検出結果タイプは、このアクティビティ中に侵害された可能性があるリソースタイプに関連付けられています。GuardDuty が生成する検出結果タイプごとに関連付けられた詳細を表示できます。

GuardDuty 管理者アカウントを使用している場合は、生成された検出結果をメンバーアカウントに代わって表示できます。ただし、メンバーアカウントは、自分のアカウントで生成された検出結果を表示できます。メンバーアカウントは、他のメンバーアカウントで生成された検出結果を表示できません。

GuardDuty コンソールで検出結果を表示する手順

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. 左のナビゲーションペインで [検出結果] を選択します。

    GuardDuty は検出結果を表形式で表示します。デフォルトでは、このテーブルは [最終表示] 列の値に基づいて降順でソートされ、最新の検出結果が上部に表示されます。

    剣のアイコン ( Sword icon that represents attack sequence finding in GuardDuty console. ) が付いた発見は、攻撃シーケンスの発見を表します。

  3. 検出結果に関連する詳細を表示するには、その [タイトル] を選択します。これにより、検出結果の詳細サイドパネルが開きます。攻撃シーケンスの検出結果の場合、このサイドパネルには攻撃シーケンスの概要バージョンが含まれ、このビューを展開するには、[詳細を表示] を選択します。

    このサイドパネルにリストされているフィールドの詳細については、「検出結果の詳細」を参照してください。

  4. (オプション) 検出結果 JSON をダウンロードする

    1. [検出結果] を選択し、次に [アクション] メニューを選択します。

    2. [アクション] メニューで、[JSON の表示とエクスポート] を選択します。

    3. JSON の結果ウィンドウで、[ダウンロード] を選択します。

      注記

      場合によっては、GuardDuty は、ある検出結果が生成された後に、その結果が誤検出であることを認識することがあります。GuardDuty は検出結果の JSON 詳細に [Confidence] (信頼度) フィールドを設けて、その値をゼロに設定します。このようにして、GuardDuty はこうした検出結果を無視しても構わないことを知らせます。

      [Confidence] フィールドのない結果は誤検出とは見なされません。

検出結果ページの操作

このセクションでは、[検出結果] ページのさまざまな要素に関する重要な情報を提供します。これにより、生成された分析結果を脅威分析と対応のために分析することが可能になります。

以下のリストでは、生成された検出結果をよりよく理解するのに役立つ検出結果ページの要素について説明します。

  • 脅威タイプ:

    脅威の種類には、個々の GuardDuty 検出結果と攻撃シーケンス検出結果が含まれます。デフォルトでは、このページにはすべての検出結果が表示されます。

    検出結果テーブルビューをフィルタリングするには、[脅威タイプ[ メニューで、[攻撃シーケンスの検出結果のみ] または[個々の検出結果のみ] のいずれかを選択します。

  • リソース列とカウント列:

    検出結果テーブルの [リソース] 列には、侵害された可能性のある AWS リソースの名前が表示されます。攻撃シーケンスの検出結果の場合、この列には侵害された可能性のある AWS リソースの数が表示されます。リソース名を表示するには、[リソース] 列の下にある [番号] を選択します。

    [カウント] 列は、GuardDuty が特定の検出結果を観測した回数を示します。GuardDuty が、事前に特定されたセキュリティ問題に一致するアクティビティを検出すると、その特定の検出結果のカウントを増加させます。攻撃シーケンスの検出結果の場合、この列の値は、検出結果の生成に関連するシグナルと検出結果の合計数を示します。

  • テーブル列による検出結果のソート:

    列ヘッダーの横に矢印がある場合は、列に基づいて検出結果テーブルをソートできます。列ヘッダーを選択すると、その列の値の昇順または降順で結果を並べ替えられます。

  • 検出結果のフィルタリング:

    Account IDResource type などの特定のプロパティ属性に基づいて、検出結果テーブルをさらにフィルタリングできます。使用可能なフィルターのタイプの詳細については、GuardDuty の検出結果のフィルタリング を参照してください。

  • ステータスと保存されたルール:

    [ステータス] メニューには、[現在][アーカイブ] の 2 つの値が含まれます。デフォルトビューは、テーブル内の[現在] の検出結果です。

    特定の条件に一致する検出結果を GuardDuty が生成しないようにしたい場合、その検出結果を抑制できます。GuardDuty はその検出結果をアーカイブします。GuardDuty が再度この検出結果を検知した場合、この観測結果について通知されません。アーカイブされた検出結果を具体的に表示するには、[ステータス] メニューで [アーカイブ済み] を選択します。

    保存されたルールは、指定した条件に一致する検出結果を自動的にフィルタリングしてアクションを実行するのに役立つ機能です。アクションには、検出結果のアーカイブや今後の通知からの抑制が含まれる場合があります。

    詳細については、「抑制ルール」を参照してください。