GuardDuty の検出結果と抑制ルール - AWS Security Incident Response ユーザーガイド

GuardDuty の検出結果と抑制ルール

AWS Security Incident Response は、CrowdStrike、FortinetCNAPP (Lacework)、Trend Micro からのすべての GuardDuty 検出結果と Security Hub CSPM 検出結果をプロアクティブに取り込み、トリアージして、応答します。当社の自動トリアージテクノロジーは、内部分析要件を排除します。このサービスは、GuardDuty と Security Hub で無害な検出結果に対する抑制ルールと自動アーカイブルールを作成します。GuardDuty コンソールの「検出結果」でこれらのルールを表示または変更します。

有効な GuardDuty 抑制ルールをすばやく確認するには:

  1. GuardDuty コンソールにアクセスします。

  2. [検出結果] を選択します。

    AWS のサービスは、EventBridge のデフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンに一致すると、EventBridge は、そのルールで指定されたターゲットに、イベントを送信します。

  3. 下矢印を選択し、抑制ルールの命名規則に注意してください。

注記

SIEM テクノロジーを使用している組織では、GuardDuty 検出結果のボリュームが時間の経過とともに大幅に減少しており、Security Incident Response サービスと SIEM 両方の効率が向上しています。