メニュー
Amazon GuardDuty
Amazon Guard Duty ユーザーガイド

Amazon GuardDuty の結果

AWS 環境で、潜在的に悪意のある予期せぬアクティビティを検出すると、Amazon GuardDuty によって結果が生成されます。GuardDuty の結果は、GuardDuty コンソールの [Findings] ページ、GuardDuty の CLI、または API オペレーションを使用して表示および管理できます。GuardDuty の結果は、Amazon CloudWatch イベントを使用して表示することもできます。詳細については、「Amazon CloudWatch Events での Amazon GuardDuty 結果のモニタリング」を参照してください。

このセクションでは、次の情報を説明します。

GuardDuty の結果の使用

GuardDuty の結果を表示および管理するには、次の手順を使用します。

GuardDuty の結果を見つけて分析し、管理するには (コンソール)

  1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開き、[Findings] を選択します。

  2. 特定の結果を選択して、詳細を表示します。

    詳細ペインが表示され、次の情報を確認できます。

    • 結果の概要セクション。次の情報が含まれます。

      • 結果タイプ – 潜在的なセキュリティ問題の簡潔で読みやすい説明。詳細については、「Amazon GuardDuty の結果タイプ」を参照してください。

      • 重要度 – 結果に割り当てられた重要度レベル (非常事態、高、中、低、情報)。詳細については、「GuardDuty 結果の重大度」を参照してください。

      • リージョン – 結果が作成された AWS リージョン。

        注記

        サポートされるリージョンの詳細については、「Amazon GuardDuty とは」を参照してください。

      • 回数 – AWS アカウントで GuardDuty を有効にした後で GuardDuty で結果が生成された回数。

      • アカウント ID – この結果の生成を GuardDuty に促したアクティビティが発生した AWS アカウントの ID。

      • リソース ID – この結果の生成を GuardDuty に促したアクティビティが発生した AWS リソースの ID。

      • 脅威リスト名 – この結果の生成を GuardDuty に促したアクティビティに関与した IP アドレスが含まれている脅威リストの名前。

      • 最終アクセス – この結果の生成を GuardDuty に促したアクティビティが発生した時間。

    • 結果の [Resource affected] セクション。次の情報が含まれます。

      • リソースロール – 該当のリソースは攻撃対象となる可能性があるため、この値は通常 Target に設定されます。

      • リソースタイプ – 該当するリソースのタイプ。この値は、AccessKey または Instance のいずれかです。現在、サポートされている結果タイプは EC2 インスタンスまたは AWS 認証情報のいずれかに対する悪意のあるアクティビティの可能性を示します。詳細については、「Amazon GuardDuty によって検出されたセキュリティ問題の修復」を参照してください。

      • インスタンス ID – 結果の生成を GuardDuty に促したアクティビティに関与した EC2 インスタンスの ID。

      • ポート – 結果の生成を GuardDuty に促したアクティビティ中に使用された接続のポート番号。

      • アクセスキー ID – 結果の生成を GuardDuty に促したアクティビティに関与したユーザーのアクセスキー ID。

      • プリンシパル ID – 結果の生成を GuardDuty に促したアクティビティに関与したユーザーのプリンシパル ID。

      • ユーザー型 – 結果の生成を GuardDuty に促したアクティビティに関与したユーザーのタイプ。

      • ユーザー名 – 結果の生成を GuardDuty に促したアクティビティに関与したユーザーの名前。

    • 結果の [Action] セクション。次のような情報が含まれます。

      • アクションタイプ – 結果アクティビティのタイプ。次のいずれかの値を指定できます: NETWORK_CONNECTION、AWS_API_CALL、または DNS_REQUEST。

      • API – 呼び出されて、結果の生成を GuardDuty に促した API オペレーションの名前。

      • サービス名 – この結果を生成した AWS のサービス (GuardDuty) の名前。

      • 接続方向 – 結果の生成を GuardDuty に促したアクティビティで確認されたネットワーク接続方向。

      • プロトコル – 結果の生成を GuardDuty に促したアクティビティで確認されたネットワーク接続プロトコル。

    • 結果の [Actor] セクション。次のような情報が含まれます。

      • 場所 – 結果の生成を GuardDuty に促したアクティビティに関与した IP アドレスの位置情報。

      • 組織名 – 結果の生成を GuardDuty に促したアクティビティに関与した IP アドレスの ISP 組織情報。

      • IP アドレス – 結果の生成を GuardDuty に促したアクティビティに関与した IP アドレス。

      • ポート – 結果の生成を GuardDuty に促したアクティビティに関与したポート番号。

      • ドメイン – 結果の生成を GuardDuty に促したアクティビティに関与したドメイン。

    • 結果の [Additional information] セクション。次のような情報が含まれます。

      • 脅威リスト名 – 結果の生成を GuardDuty に促したアクティビティに関与した IP アドレスが含まれている脅威リストの名前。

      • サンプル – これが結果サンプルかどうかを示します。

      • 異常 – 履歴で確認されていないアクティビティの詳細。これらには、通常とは異なる (以前に確認されていない) ユーザー、場所、時間などが含まれます。

      • 異常プロトコル – 結果の生成を GuardDuty に促したアクティビティに関与したネットワーク接続プロトコル。

  3. 分析する結果をアーカイブまたはエクスポートするには、[Actions] メニューを選択します。

  4. 結果を有用または無用とマークしてフィードバックを提供するには、上向きの親指ボタンまたは下向きの親指ボタンを選択します。

GuardDuty 結果の重大度

GuardDuty の結果ごとに重要度レベルと値が割り当てられます。これにより、結果相互を優先順位付けする必要性が減り、結果が示すセキュリティ問題の可能性に対するレスポンスを決定できます。GuardDuty の結果の重要度レベルごとに推奨される応答方法は、以下のとおりです。

  • 非常事態 (GetFindings レスポンスの severity パラメータの値は 9.0〜10.0 の範囲になります) – 該当するリソース (EC2 インスタンス、または IAM ユーザー認証情報のセット) は侵害されており、承認されていない目的に活発に使用されています。このセキュリティ問題は優先事項として対応し、直ちに修正措置を講じることをお勧めします。たとえば、EC2 インスタンスをクリーンアップまたは終了するか、IAM 認証情報を更新します。

  • (GetFindings レスポンスの severity パラメータの値は 7.0〜8.9 の範囲になります) – 該当するリソース (EC2 インスタンス、または IAM ユーザー認証情報のセット) は侵害されており、承認されていない目的に活発に使用されています。このセキュリティ上の問題は優先度として対応し、直ちに手順を修正することをお勧めします。たとえば、EC2 インスタンスをクリーンアップまたは終了するか、IAM 認証情報を更新します。

  • (GetFindings レスポンスの severity パラメータの値は 4.0〜6.9 の範囲になります) – 不審なアクティビティを示します。たとえば、大量のトラフィックが返されている先のリモートホストが Tor ネットワークの背後に隠れていたり、アクティビティが通常確認されている動作から逸脱していたりします。できるだけ早く、関連するリソースを調査することをお勧めします。いくつかの修正手順を次に示します。

    • 未承認のユーザーがインストールした新しいソフトウェアでリソースの動作が変更されていないか確認してください。たとえば、通常より高いトラフィックが許可されている場合や、新しいポートの通信が有効化されている場合などがあります。

    • 承認済ユーザーによって、コントロールパネル設定が変更されていないか (例: セキュリティグループ設定の変更) を確認します。

    • 該当するリソースでアンチウィルススキャンを実行し、未承認のソフトウェアを検出します。

    • 該当する IAM ロール、ユーザー、グループ、または認証情報セットにアタッチされているアクセス許可を検証します。以下のアクセス許可を変更または更新する必要がある場合があります。

  • (GetFindings レスポンスの severity パラメータの値は 0.1〜3.9 の範囲になります) – リソースが侵害される前にブロックした不審なアクティビティまたは悪意のあるアクティビティを示します。直ちに推奨されるアクションはありませんが、今後対応する上で参考にしてください。

  • 情報 (GetFindings レスポンスの severity パラメータの値は 0 に設定されます) – リソースが侵害される前にブロックした不審なアクティビティまたは悪意のあるアクティビティを示します。直ちに推奨されるアクションはありませんが、今後対応する上で参考にしてください。

GuardDuty のサンプル結果の生成

結果サンプルを使用して、GuardDuty が生成するさまざまな検索タイプを視覚化し、分析することができます。結果のサンプルを生成すると、GuardDuty によって最新の結果リストにデータが入力され、サポートされている検索タイプごとに 1 つの結果サンプルが強調表示されます。GuardDuty の検索タイプの詳細については、「Amazon GuardDuty の結果タイプ」を参照してください。

サンプル結果を生成するには、次の手順を使用します。

  1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開きます。

  2. ナビゲーションペインで [Settings] の [General] を選択します。

  3. [Settings] ページで、[Sample findings] の [Generate sample findings] を選択します。

  4. ナビゲーションペインで [Findings] の [Current] を選択します。サンプル結果が [Current findings] ページに表示されます。結果サンプルのタイトルは必ず [SAMPLE] から始まります。特定のサンプル結果を選択して、詳細を表示します。