Amazon GuardDuty の Security Hub コントロール
これらの AWS Security Hub CSPM コントロールは、Amazon GuardDuty サービスとリソースを評価します。コントロールは、すべての AWS リージョン で使用できるとは限りません。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[GuardDuty.1] GuardDuty を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 RA-3(4)、NIST.800-53.r5 SA-11(1)、NIST.800-53.r5 SA-11(6)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SA-8(21)、NIST.800-53.r5 SA-8(25)、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-5(1)、NIST.800-53.r5 SC-5(3)、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(1)、NIST.800-53.r5 SI-4(13)、NIST.800-53.r5 SI-4(2)、NIST.800-53.r5 SI-4(22)、NIST.800-53.r5 SI-4(25)、NIST.800-53.r5 SI-4(4)、NIST.800-53.r5 SI-4(5)、NIST.800-171.r2 3.4.2、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/11.4、PCI DSS v4.0.1/11.5.1
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ :AWS::::Account
AWS Config ルール :guardduty-enabled-centralized
スケジュールタイプ: 定期的
パラメータ: なし
このコントロールは、GuardDuty アカウントおよびリージョンで Amazon GuardDuty が有効になっているかどうかをチェックします。
GuardDuty は、サポートされているすべての AWS リージョンで有効にすることが強く推奨されています。このように設定することで、ユーザーが能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する結果を GuardDuty で生成できます。これにより GuardDuty で、IAM などのグローバルな AWS のサービス の CloudTrail イベントもモニタリングできます。
修正
GuardDuty を有効にするには、「Amazon GuardDuty ユーザーガイド」の「GuardDuty の開始方法」を参照してください。
[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ :AWS::GuardDuty::Filter
AWS Config ルール: tagged-guardduty-filter (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 |
No default value
|
このコントロールは、Amazon GuardDuty フィルターにパラメータ requiredTagKeys で定義された特定のキーを含むタグがあるかどうかをチェックします。フィルターにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、フィルターにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは AWS リソースに割り当てることができるラベルで、各タグはキーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール)、および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。ABAC の詳細については、「IAM ユーザーガイド」の「What is ABAC for AWS?」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグは、AWS Billing を含む多くの AWS のサービス からアクセスできます。タグ付けのベストプラクティスの詳細については、「AWS 全般のリファレンス」の「AWS リソースのタグ付け」を参照してください。
修正
GuardDuty フィルターにタグを追加するには、「Amazon GuardDutyリファレンス」の「TagResource」を参照してください。
[GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ :AWS::GuardDuty::IPSet
AWS Config ルール: tagged-guardduty-ipset (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 |
No default value
|
このコントロールは、Amazon GuardDuty IPSet にパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。IPSet にタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、IPSet にキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは AWS リソースに割り当てることができるラベルで、各タグはキーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール)、および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。ABAC の詳細については、「IAM ユーザーガイド」の「What is ABAC for AWS?」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグは、AWS Billing を含む多くの AWS のサービス からアクセスできます。タグ付けのベストプラクティスの詳細については、「AWS 全般のリファレンス」の「AWS リソースのタグ付け」を参照してください。
修正
GuardDuty IPSet にタグを追加するには、「Amazon GuardDutyリファレンス」の「TagResource」を参照してください。
[GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール: tagged-guardduty-detector (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 |
No default value
|
このコントロールは、Amazon GuardDuty ディテクターにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。ディテクターにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ディテクターがキーでタグ付けされていない場合に失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは AWS リソースに割り当てることができるラベルで、各タグはキーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール)、および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。ABAC の詳細については、「IAM ユーザーガイド」の「What is ABAC for AWS?」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグは、AWS Billing を含む多くの AWS のサービス からアクセスできます。タグ付けのベストプラクティスの詳細については、「AWS 全般のリファレンス」の「AWS リソースのタグ付け」を参照してください。
修正
GuardDuty ディテクターにタグを追加するには、「Amazon GuardDutyリファレンス」の「TagResource」を参照してください。
[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール :guardduty-eks-protection-audit-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty EKS 監査ログモニタリングが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで GuardDuty EKS 監査ログモニタリングが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで EKS 監査ログモニタリングが有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。組織内のメンバーアカウントの EKS 監査ログのモニタリング機能を有効または無効にできるのは、委任管理者アカウントのみです。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任 GuardDuty 管理者に GuardDuty EKS 監査ログモニタリングが有効になっていない停止されたメンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
GuardDuty EKS 監査ログのモニタリングは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの疑わしいアクティビティの可能性を検出するのに役立ちます。EKS 監査ログのモニタリングは、ユーザー、Kubernetes API を使用するアプリケーション、およびコントロールプレーンからの時系列アクティビティをキャプチャします。
修正
GuardDuty EKS 監査ログモニタリングを有効にするには、「Amazon GuardDuty ユーザーガイド」の「EKS 監査ログモニタリング」を参照してください。
[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります
関連する要件: PCI DSS v4.0.1/11.5.1
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール :guardduty-lambda-protection-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty Lambda Protection が有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty Lambda Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで Lambda Protection が有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者は、組織内の既存のメンバーアカウントに対して Lambda Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任 GuardDuty 管理者に GuardDuty Lambda Protection が有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
GuardDuty Lambda Protection は、AWS Lambda 関数が呼び出されたときに潜在的なセキュリティ脅威を特定するのに役立ちます。Lambda Protection を有効にすると、GuardDuty は AWS アカウント の Lambda 関数に関連付けられた Lambda ネットワークアクティビティログのモニタリングを開始します。Lambda 関数が呼び出され GuardDuty が Lambda 関数に潜在的に悪意のあるコードが存在することを示す疑わしいネットワークトラフィックを特定した場合、GuardDuty は検出結果を生成します。
修正
GuardDuty Lambda Protection を有効にするには、「Amazon GuardDutyユーザーガイド」の「Lambda Protection の設定」を参照してください。
[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります
関連する要件: PCI DSS v4.0.1/11.5.1
カテゴリ: 検出 > 検出サービス
重要度: 中
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール :guardduty-eks-protection-runtime-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、自動エージェント管理による GuardDuty EKS ランタイムモニタリングが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで自動エージェント管理による GuardDuty EKS ランタイムモニタリングが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントに自動エージェント管理が有効になっている EKS Runtime Monitoring がない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントのエージェント管理を自動化して EKS ランタイムモニタリング機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任 GuardDuty 管理者に GuardDuty EKS ランタイムモニタリングが有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
Amazon GuardDuty の EKS Protection は、脅威検出の範囲を提供し、AWS 環境内の Amazon EKS クラスターを保護するのに役立ちます。EKS Runtime Monitoring は、オペレーティングシステムレベルのイベントを使用して、EKS クラスター内の EKS ノードとコンテナにおける潜在的な脅威を検出するのに役立ちます。
修正
自動エージェント管理で EKS ランタイムモニタリングを有効にするには、「Amazon GuardDuty ユーザーガイド」の「GuardDuty ランタイムモニタリングの有効化」を参照してください。
[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール :guardduty-malware-protection-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty Malware Protection が有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty Malware Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで Malware Protection が有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントに対して Malware Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任された GuardDuty 管理者に GuardDuty Malware Protection が有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
GuardDuty Malware Protection for EC2 は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスおよびコンテナワークロードにアタッチされた Amazon Elastic Block Store (Amazon EBS) ボリュームをスキャンすることで、マルウェアの潜在的な存在を検出することに役立ちます。Malware Protection は、スキャン時に特定の EC2 インスタンスおよびコンテナワークロードを含めるか除外するかを決定できるスキャンオプションを提供します。EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームのスナップショットを GuardDuty アカウントに保持するオプションも提供します。スナップショットは、マルウェアが検出されて Malware Protection の検出結果が生成された場合にのみ保持されます。
修正
EC2 で GuardDuty Malware Protection を有効にするには、「Amazon GuardDuty ユーザーガイド」の「GuardDuty で開始されたマルウェアスキャンの設定」を参照してください。
[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります
関連する要件: PCI DSS v4.0.1/11.5.1
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール :guardduty-rds-protection-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty RDS Protection が有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで GuardDuty RDS Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで RDS Protection が有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントに対して RDS Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任された GuardDuty 管理者に GuardDuty RDS Protection が有効になっていない停止メンバーアカウントがある場合にFAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
GuardDuty の RDS Protection は、RDS ログインアクティビティを分析してプロファイリングし、Amazon Aurora データベース (Aurora MySQL 互換エディションおよび Aurora PostgreSQL 互換エディション) への潜在的なアクセス脅威がないかどうかを調べます。この機能により、潜在的に疑わしいログイン動作を特定できます。RDS Protection は追加のインフラストラクチャが不要で、データベースインスタンスのパフォーマンスに影響を与えないように設計されています。RDS Protection がデータベースへの脅威を示す潜在的に疑わしいログイン試行または異常なログイン試行を検出すると、GuardDuty は侵害の可能性があるデータベースに関する詳細な新しい検出結果を生成します。
修正
GuardDuty RDS Protection を有効にするには、「Amazon GuardDuty ユーザーガイド」の「GuardDuty RDS Protection」を参照してください。
[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります
関連する要件: PCI DSS v4.0.1/11.5.1
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール :guardduty-s3-protection-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty S3 Protection が有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty S3 Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで S3 Protection が有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントに対して S3 Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任された GuardDuty 管理者に GuardDuty S3 Protection が有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
S3 Protectionにより、GuardDuty は、オブジェクトレベルの API オペレーションをモニタリングし、Amazon Simple Storage Service (Amazon S3) バケット内のデータに関する潜在的なセキュリティリスクを特定できるようになります。GuardDuty は AWS CloudTrail 管理イベントと CloudTrail S3 データイベントを分析して S3 リソースに対する脅威をモニタリングします。
修正
GuardDuty S3 Protection を有効にするには、「Amazon GuardDuty ユーザーガイド」の「Amazon S3 protection in Amazon GuardDuty」を参照してください。
[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール :guardduty-runtime-monitoring-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon GuardDuty でランタイムモニタリングが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty ランタイムモニタリングが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで GuardDuty ランタイムモニタリングが無効になっている場合、コントロールは失敗します。
マルチアカウント環境で組織内のアカウントの GuardDuty ランタイムモニタリングを有効または無効にできるのは、委任 GuardDuty 管理者アカウントのみです。さらに、GuardDuty が組織内のアカウントの AWS ワークロードとリソースのランタイムモニタリングに使用するセキュリティエージェントを設定および管理できるのは、GuardDuty 管理者のみです。GuardDuty メンバーアカウントは、自分のアカウントのランタイムモニタリングを有効化、設定、または無効化することはできません。
GuardDuty ランタイムモニタリングは、オペレーティングシステムレベル、ネットワーク、ファイルのイベントを監視して分析し、環境内の特定の AWS ワークロードにおける潜在的な脅威を検出するのに役立ちます。GuardDuty セキュリティエージェントを使用して、ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続などのランタイム動作を可視化します。Amazon EKS クラスターや Amazon EC2 インスタンスなど、潜在的な脅威をモニタリングするリソースタイプごとに、セキュリティエージェントを有効にして管理できます。
修正
GuardDuty ランタイムモニタリングの設定と有効化の詳細については、「Amazon GuardDuty ユーザーガイド」の「GuardDuty ランタイムモニタリング」と「GuardDuty ランタイムモニタリングの有効化」を参照してください。
[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 中
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール :guardduty-ecs-protection-runtime-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、AWS Fargate で Amazon ECS クラスターのランタイムモニタリングを行うために Amazon GuardDuty 自動セキュリティエージェントが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントでセキュリティエージェントが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントでセキュリティエージェントが無効になっている場合、コントロールは失敗します。
マルチアカウント環境では、このコントロールは委任 GuardDuty 管理者アカウントでのみ検出結果を生成します。これは、組織内のアカウントの ECS-Fargate リソースのランタイムモニタリングを有効または無効にできるのは 委任 GuardDuty 管理者のみであるためです。GuardDuty メンバーアカウントは、自分のアカウントに対してこれを行うことはできません。さらに、このコントロールは、GuardDuty がメンバーアカウントで停止されていて、メンバーアカウントで ECS-Fargate リソースのランタイムモニタリングが無効になっている場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、GuardDuty 管理者が GuardDuty を使用して、停止されたメンバーアカウントと管理者アカウントの関連付けを解除する必要があります。
GuardDuty ランタイムモニタリングは、オペレーティングシステムレベル、ネットワーク、ファイルのイベントを監視して分析し、環境内の特定の AWS ワークロードにおける潜在的な脅威を検出するのに役立ちます。GuardDuty セキュリティエージェントを使用して、ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続などのランタイム動作を可視化します。潜在的な脅威をモニタリングするリソースタイプごとに、セキュリティエージェントを有効にして管理できます。これには、AWS Fargate 上の Amazon ECS クラスターが含まれます。
修正
ECS-Fargate リソースの GuardDuty ランタイムモニタリングを行うために、セキュリティエージェントを有効にして管理するには、GuardDuty を直接使用する必要があります。ECS-Fargate リソースに対してこの機能を手動で有効化または管理することはできません。セキュリティエージェントの有効化と管理の詳細については、「Amazon GuardDuty ユーザーガイド」の「Prerequisites for AWS Fargate (Amazon ECS only) support」と「Managing the automated security agent for AWS Fargate (Amazon ECS only)」を参照してください。
[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 中
リソースタイプ :AWS::GuardDuty::Detector
AWS Config ルール :guardduty-ec2-protection-runtime-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon EC2 インスタンスのランタイムモニタリングを行うために Amazon GuardDuty 自動セキュリティエージェントが有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントでセキュリティエージェントが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントでセキュリティエージェントが無効になっている場合、コントロールは失敗します。
マルチアカウント環境では、このコントロールは委任 GuardDuty 管理者アカウントでのみ検出結果を生成します。これは、組織内のアカウントの Amazon EC2 インスタンスのランタイムモニタリングを有効または無効にできるのは 委任 GuardDuty 管理者のみであるためです。GuardDuty メンバーアカウントは、自分のアカウントに対してこれを行うことはできません。さらに、このコントロールは、GuardDuty がメンバーアカウントで停止されていて、メンバーアカウントで EC2 インスタンスのランタイムモニタリングが無効になっている場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、GuardDuty 管理者が GuardDuty を使用して、停止されたメンバーアカウントと管理者アカウントの関連付けを解除する必要があります。
GuardDuty ランタイムモニタリングは、オペレーティングシステムレベル、ネットワーク、ファイルのイベントを監視して分析し、環境内の特定の AWS ワークロードにおける潜在的な脅威を検出するのに役立ちます。GuardDuty セキュリティエージェントを使用して、ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続などのランタイム動作を可視化します。潜在的な脅威をモニタリングするリソースタイプごとに、セキュリティエージェントを有効にして管理できます。これには Amazon EC2 インスタンスが含まれます。
修正
EC2 インスタンスの GuardDuty ランタイムモニタリングを行うために自動セキュリティエージェントを設定して管理する方法については、「Amazon GuardDuty ユーザーガイド」の「Prerequisites for Amazon EC2 instance support」と「Enabling the automated security agent for Amazon EC2 instances」を参照してください。
