GuardDuty を使用した の例 AWS CLI - AWS SDK コード例

Doc AWS SDK Examples リポジトリには、他にも SDK の例があります。 AWS GitHub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty を使用した の例 AWS CLI

次のコード例は、 AWS Command Line Interface で を使用してアクションを実行し、一般的なシナリオを実装する方法を示しています GuardDuty。

アクションはより大きなプログラムからのコードの抜粋であり、コンテキスト内で実行する必要があります。アクションは個々のサービス機能を呼び出す方法を示していますが、関連するシナリオやサービス間の例ではアクションのコンテキストが確認できます。

「シナリオ」は、同じサービス内で複数の関数を呼び出して、特定のタスクを実行する方法を示すコード例です。

各例には、 へのリンクが含まれています。このリンクには GitHub、コンテキスト内でコードをセットアップして実行する方法の手順が記載されています。

トピック

アクション

次の例は、accept-invitation を使用する方法を説明しています。

AWS CLI

現在のリージョン GuardDuty のメンバーアカウントになるための招待を承諾するには

次のaccept-invitation例は、現在のリージョン GuardDuty のメンバーアカウントになるための招待を受け入れる方法を示しています。

aws guardduty accept-invitation \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --master-id 123456789111 \ --invitation-id d6b94fb03a66ff665f7db8764example

このコマンドでは何も出力されません。

詳細については、「 GuardDuty ユーザーガイド」の「招待による GuardDuty アカウントの管理」を参照してください。

  • API の詳細については、「 コマンドリファレンスAcceptInvitation」の「」を参照してください。 AWS CLI

次の例は、archive-findings を使用する方法を説明しています。

AWS CLI

検出結果を現在のリージョンにアーカイブするには

この例では、検出結果を現在のリージョンにアーカイブする方法を示します。

aws guardduty archive-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-ids d6b94fb03a66ff665f7db8764example 3eb970e0de00c16ec14e6910fexample

このコマンドでは何も出力されません。

詳細については、「 GuardDuty ユーザーガイド」の「招待による GuardDuty アカウントの管理」を参照してください。

  • API の詳細については、「 コマンドリファレンスArchiveFindings」の「」を参照してください。 AWS CLI

次の例は、create-detector を使用する方法を説明しています。

AWS CLI

現在のリージョン GuardDuty で を有効にするには

この例では、現在のリージョン GuardDutyで を有効にする新しいディテクターを作成する方法を示します。

aws guardduty create-detector \ --enable

出力:

{ "DetectorId": "b6b992d6d2f48e64bc59180bfexample" }

詳細については、「 ユーザーガイド」の「Amazon GuardDuty を有効にする」を参照してください。 GuardDuty

  • API の詳細については、「 コマンドリファレンスCreateDetector」の「」を参照してください。 AWS CLI

次の例は、create-filter を使用する方法を説明しています。

AWS CLI

現在のリージョンの新しいフィルターを作成するには

この例では、特定のイメージから作成されたインスタンスのすべてのポートスキャン結果に一致するフィルターを作成します。

aws guardduty create-filter \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --action ARCHIVE \ --name myFilter \ --finding-criteria '{"Criterion": {"type": {"Eq": ["Recon:EC2/Portscan"]},"resource.instanceDetails.imageId": {"Eq": ["ami-0a7a207083example"]}}}'

出力:

{ "Name": "myFilter" }

詳細については、「 GuardDuty ユーザーガイド」の「調査結果のフィルタリング」を参照してください。

  • API の詳細については、「 コマンドリファレンスCreateFilter」の「」を参照してください。 AWS CLI

次の例は、create-ip-set を使用する方法を説明しています。

AWS CLI

信頼できる IP セットを作成するには

次のcreate-ip-set例では、現在のリージョンで信頼できる IP セットを作成してアクティブ化します。

aws guardduty create-ip-set \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --name new-ip-set \ --format TXT --location s3://AWSDOC-EXAMPLE-BUCKET/customtrustlist.csv --activate

出力:

{ "IpSetId": "d4b94fc952d6912b8f3060768example" }

詳細については、「 ユーザーガイド」の「信頼できる IP リストと脅威リストの使用」を参照してください。 GuardDuty

  • API の詳細については、「 コマンドリファレンスCreateIpSet」の「」を参照してください。 AWS CLI

次の例は、create-members を使用する方法を説明しています。

AWS CLI

新しいメンバーを現在のリージョンの GuardDuty マスターアカウントに関連付けるには。

この例では、現在のアカウントで GuardDuty マスターとして管理されるメンバーアカウントを関連付ける方法を示します。

aws guardduty create-members --detector-id b6b992d6d2f48e64bc59180bfexample \ --account-details AccountId=111122223333,Email=first+member@example.com AccountId=111111111111 ,Email=another+member@example.com

出力:

{ "UnprocessedAccounts": [] }

詳細については、「 ユーザーガイド」の「複数のアカウントの管理 GuardDuty 」を参照してください。

  • API の詳細については、「 コマンドリファレンスCreateMembers」の「」を参照してください。 AWS CLI

次の例は、create-publishing-destination を使用する方法を説明しています。

AWS CLI

現在のリージョン GuardDuty の結果をエクスポートする発行先を作成するには

この例では、 GuardDuty 結果の発行先を作成する方法を示します。

aws guardduty create-publishing-destination \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --destination-type S3 \ --destination-properties DestinationArn=arn:aws:s3:::yourbucket,KmsKeyArn=arn:aws:kms:us-west-1:111122223333:key/84cee9c5-dea1-401a-ab6d-e1de7example

出力:

{ "DestinationId": "46b99823849e1bbc242dfbe3cexample" }

詳細については、「 ユーザーガイド」の「検出結果のエクスポート」を参照してください。 GuardDuty

  • API の詳細については、「 コマンドリファレンスCreatePublishingDestination」の「」を参照してください。 AWS CLI

次の例は、create-sample-findings を使用する方法を説明しています。

AWS CLI

現在のリージョンにサンプル GuardDuty 検出結果を作成するには。

この例では、提供されたタイプのサンプル検出結果を作成する方法を示します。

aws guardduty create-sample-findings \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --finding-types UnauthorizedAccess:EC2/TorClient UnauthorizedAccess:EC2/TorRelay

このコマンドでは何も出力されません。

詳細については、「 ユーザーガイド」の「検出結果のサンプルGuardDuty 」を参照してください。

  • API の詳細については、「 コマンドリファレンスCreateSampleFindings」の「」を参照してください。 AWS CLI

次の例は、create-threat-intel-set を使用する方法を説明しています。

AWS CLI

現在のリージョンに新しい脅威情報セットを作成するには

この例では、脅威情報セットを にアップロード GuardDuty し、すぐにアクティブ化する方法を示します。

aws guardduty create-threat-intel-set \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --name myThreatSet \ --format TXT \ --location s3://EXAMPLEBUCKET/threatlist.csv \ --activate

出力:

{ "ThreatIntelSetId": "20b9a4691aeb33506b808878cexample" }

詳細については、「 GuardDuty ユーザーガイド」の「信頼できる IP と脅威のリスト」を参照してください。

  • API の詳細については、「 コマンドリファレンスCreateThreatIntelSet」の「」を参照してください。 AWS CLI

次の例は、decline-invitations を使用する方法を説明しています。

AWS CLI

現在のリージョン内の別のアカウントによって管理される Guardduty の招待を拒否するには

この例では、メンバーシップの招待を拒否する方法を示します。

aws guardduty decline-invitations \ --account-ids 111122223333

出力:

{ "UnprocessedAccounts": [] }

詳細については、「 ユーザーガイド」の「招待による GuardDuty アカウントの管理 GuardDuty 」を参照してください。

  • API の詳細については、「 コマンドリファレンスDeclineInvitations」の「」を参照してください。 AWS CLI

次の例は、delete-detector を使用する方法を説明しています。

AWS CLI

現在のリージョンでディテクターを削除し GuardDuty、 を無効にするには。

この例では、ディテクターを削除する方法を示します。成功すると、そのディテクターに関連付けられたリージョン GuardDuty で無効になります。

aws guardduty delete-detector \ --detector-id b6b992d6d2f48e64bc59180bfexample

このコマンドでは何も出力されません。

詳細については、「 GuardDuty ユーザーガイド」の「一時停止または無効化 GuardDuty」を参照してください。

  • API の詳細については、「 コマンドリファレンスDeleteDetector」の「」を参照してください。 AWS CLI

次の例は、delete-filter を使用する方法を説明しています。

AWS CLI

現在のリージョンの既存のフィルターを削除するには

この例では、フィルターの削除を作成する方法を示します。

aws guardduty delete-filter \ --detector-id b6b992d6d2f48e64bc59180bfexample \ --filter-name byebyeFilter

このコマンドでは何も出力されません。

詳細については、「 GuardDuty ユーザーガイド」の「調査結果のフィルタリング」を参照してください。

  • API の詳細については、「 コマンドリファレンスDeleteFilter」の「」を参照してください。 AWS CLI

次の例は、disable-organization-admin-account を使用する方法を説明しています。

AWS CLI

組織 GuardDuty 内の の委任管理者としてアカウントを削除するには

この例では、 の委任管理者としてアカウントを削除する方法を示します GuardDuty。

aws guardduty disable-organization-admin-account \ --admin-account-id 111122223333

このコマンドでは何も出力されません。

詳細については、「 ユーザーガイド」のAWS 「組織によるアカウントの管理GuardDuty 」を参照してください。

次の例は、disassociate-from-master-account を使用する方法を説明しています。

AWS CLI

現在のリージョンの現在のマスターアカウントとの関連付けを解除するには

次のdisassociate-from-master-account例では、現在の AWS リージョンの現在の GuardDuty マスターアカウントからアカウントの関連付けを解除します。

aws guardduty disassociate-from-master-account \ --detector-id d4b040365221be2b54a6264dcexample

このコマンドでは何も出力されません。

詳細については、「 ユーザーガイド」の GuardDuty 「マスターアカウントとメンバーアカウントの関係を理解する GuardDuty 」を参照してください。

  • API の詳細については、「 コマンドリファレンスDisassociateFromMasterAccount」の「」を参照してください。 AWS CLI

次の例は、get-detector を使用する方法を説明しています。

AWS CLI

特定のディテクターの詳細を取得するには

次のget-detector例では、指定されたディテクターの設定の詳細を表示します。

aws guardduty get-detector \ --detector-id 12abc34d567e8fa901bc2d34eexample

出力:

{ "Status": "ENABLED", "ServiceRole": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Tags": {}, "FindingPublishingFrequency": "SIX_HOURS", "UpdatedAt": "2018-11-07T03:24:22.938Z", "CreatedAt": "2017-12-22T22:51:31.940Z" }

詳細については、「 GuardDuty ユーザーガイド」の「 の概念と用語」を参照してください。

  • API の詳細については、「 コマンドリファレンスGetDetector」の「」を参照してください。 AWS CLI

次の例は、get-findings を使用する方法を説明しています。

AWS CLI

例 1: 特定の検出結果の詳細を取得するには

次のget-findings例では、指定した検出結果の完全な JSON 検出結果の詳細を取得します。

aws guardduty get-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-id 1ab92989eaf0e742df4a014d5example

出力:

{ "Findings": [ { "Resource": { "ResourceType": "AccessKey", "AccessKeyDetails": { "UserName": "testuser", "UserType": "IAMUser", "PrincipalId": "AIDACKCEVSQ6C2EXAMPLE", "AccessKeyId": "ASIASZ4SI7REEEXAMPLE" } }, "Description": "APIs commonly used to discover the users, groups, policies and permissions in an account, was invoked by IAM principal testuser under unusual circumstances. Such activity is not typically seen from this principal.", "Service": { "Count": 5, "Archived": false, "ServiceName": "guardduty", "EventFirstSeen": "2020-05-26T22:02:24Z", "ResourceRole": "TARGET", "EventLastSeen": "2020-05-26T22:33:55Z", "DetectorId": "d4b040365221be2b54a6264dcexample", "Action": { "ActionType": "AWS_API_CALL", "AwsApiCallAction": { "RemoteIpDetails": { "GeoLocation": { "Lat": 51.5164, "Lon": -0.093 }, "City": { "CityName": "London" }, "IpAddressV4": "52.94.36.7", "Organization": { "Org": "Amazon.com", "Isp": "Amazon.com", "Asn": "16509", "AsnOrg": "AMAZON-02" }, "Country": { "CountryName": "United Kingdom" } }, "Api": "ListPolicyVersions", "ServiceName": "iam.amazonaws.com", "CallerType": "Remote IP" } } }, "Title": "Unusual user permission reconnaissance activity by testuser.", "Type": "Recon:IAMUser/UserPermissions", "Region": "us-east-1", "Partition": "aws", "Arn": "arn:aws:guardduty:us-east-1:111122223333:detector/d4b040365221be2b54a6264dcexample/finding/1ab92989eaf0e742df4a014d5example", "UpdatedAt": "2020-05-26T22:55:21.703Z", "SchemaVersion": "2.0", "Severity": 5, "Id": "1ab92989eaf0e742df4a014d5example", "CreatedAt": "2020-05-26T22:21:48.385Z", "AccountId": "111122223333" } ] }

詳細については、「 GuardDuty ユーザーガイド」の「検出結果」を参照してください。

  • API の詳細については、「 コマンドリファレンスGetFindings」の「」を参照してください。 AWS CLI

次の例は、get-ip-set を使用する方法を説明しています。

AWS CLI

指定された信頼できる IP セットの詳細を取得するには

次のget-ip-set例は、指定された信頼できる IP セットのステータスと詳細を示しています。

aws guardduty get-ip-set \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --ip-set-id d4b94fc952d6912b8f3060768example

出力:

{ "Status": "ACTIVE", "Location": "s3://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customlist.csv", "Tags": {}, "Format": "TXT", "Name": "test-ip-set" }

詳細については、「 ユーザーガイド」の「信頼できる IP リストと脅威リストの使用」を参照してください。 GuardDuty

  • API の詳細については、「 コマンドリファレンスGetIpSet」の「」を参照してください。 AWS CLI

次の例は、get-master-account を使用する方法を説明しています。

AWS CLI

現在のリージョンのマスターアカウントの詳細を取得するには

次のget-master-account例では、現在のリージョンのディテクターに関連付けられたマスターアカウントのステータスと詳細を表示します。

aws guardduty get-master-account \ --detector-id 12abc34d567e8fa901bc2d34eexample

出力:

{ "Master": { "InvitationId": "04b94d9704854a73f94e061e8example", "InvitedAt": "2020-06-09T22:23:04.970Z", "RelationshipStatus": "Enabled", "AccountId": "123456789111" } }

詳細については、「 ユーザーガイド」の GuardDuty 「マスターアカウントとメンバーアカウントの関係を理解する GuardDuty 」を参照してください。

  • API の詳細については、「 コマンドリファレンスGetMasterAccount」の「」を参照してください。 AWS CLI

次の例は、list-detectors を使用する方法を説明しています。

AWS CLI

現在のリージョンで使用可能なディテクターを一覧表示するには

次のlist-detectors例では、現在の AWS リージョンで使用可能なディテクターを一覧表示します。

aws guardduty list-detectors

出力:

{ "DetectorIds": [ "12abc34d567e8fa901bc2d34eexample" ] }

詳細については、「 GuardDuty ユーザーガイド」の「 の概念と用語」を参照してください。

  • API の詳細については、「 コマンドリファレンスListDetectors」の「」を参照してください。 AWS CLI

次の例は、list-findings を使用する方法を説明しています。

AWS CLI

例 1: 現在のリージョンのすべての結果を一覧表示するには

次のlist-findings例では、現在のリージョンのすべての findingIdsを重要度の高いものから低いものの順に一覧表示しています。

aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --sort-criteria '{"AttributeName": "severity","OrderBy":"DESC"}'

出力:

{ "FindingIds": [ "04b8ab50fd29c64fc771b232dexample", "5ab8ab50fd21373735c826d3aexample", "90b93de7aba69107f05bbe60bexample", ... ] }

詳細については、「 GuardDuty ユーザーガイド」の「検出結果」を参照してください。

例 2: 特定の検出結果基準に一致する現在のリージョンの結果を一覧表示するには

次のlist-findings例では、指定したfindingIdsのリストを表示します。

aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-criteria '{"Criterion":{"type": {"Eq":["UnauthorizedAccess:EC2/SSHBruteForce"]}}}'

出力:

{ "FindingIds": [ "90b93de7aba69107f05bbe60bexample", "6eb9430d7023d30774d6f05e3example", "2eb91a2d060ac9a21963a5848example", "44b8ab50fd2b0039a9e48f570example", "9eb8ab4cd2b7e5b66ba4f5e96example", "e0b8ab3a38e9b0312cc390ceeexample" ] }

詳細については、「 GuardDuty ユーザーガイド」の「検出結果」を参照してください。

例 3: JSON ファイル内で定義された特定の検出結果基準セットに一致する現在のリージョンの検出結果を一覧表示するには

次のlist-findings例では、アーカイブされていないすべての findingIds「testuser」という名前の IAM ユーザーを使用します。

aws guardduty list-findings \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --finding-criteria file://myfile.json

myfile.json の内容:

{"Criterion": { "resource.accessKeyDetails.userName":{ "Eq":[ "testuser" ] }, "service.archived": { "Eq": [ "false" ] } } }

出力:

{ "FindingIds": [ "1ab92989eaf0e742df4a014d5example" ] }

詳細については、「 GuardDuty ユーザーガイド」の「検出結果」を参照してください。

  • API の詳細については、「 コマンドリファレンスListFindings」の「」を参照してください。 AWS CLI

次の例は、list-invitations を使用する方法を説明しています。

AWS CLI

現在のリージョンのメンバーアカウントになるための招待の詳細を一覧表示するには

次のlist-invitations例では、現在のリージョン GuardDuty のメンバーアカウントになるための招待の詳細とステータスを一覧表示します。

aws guardduty list-invitations

出力:

{ "Invitations": [ { "InvitationId": "d6b94fb03a66ff665f7db8764example", "InvitedAt": "2020-06-10T17:56:38.221Z", "RelationshipStatus": "Invited", "AccountId": "123456789111" } ] }

詳細については、「 GuardDuty ユーザーガイド」の「招待による GuardDuty アカウントの管理」を参照してください。

  • API の詳細については、「 コマンドリファレンスListInvitations」の「」を参照してください。 AWS CLI

次の例は、list-ip-sets を使用する方法を説明しています。

AWS CLI

現在のリージョンの信頼できる IP セットを一覧表示するには

次のlist-ip-sets例では、現在の AWS リージョンの信頼できる IP セットを一覧表示します。

aws guardduty list-ip-sets \ --detector-id 12abc34d567e8fa901bc2d34eexample

出力:

{ "IpSetIds": [ "d4b94fc952d6912b8f3060768example" ] }

詳細については、「 ユーザーガイド」の「信頼できる IP リストと脅威リストの使用」を参照してください。 GuardDuty

  • API の詳細については、「 コマンドリファレンスListIpSets」の「」を参照してください。 AWS CLI

次の例は、list-members を使用する方法を説明しています。

AWS CLI

現在のリージョンのすべてのメンバーを一覧表示するには

次のlist-members例では、現在のリージョンのすべてのメンバーアカウントとその詳細を一覧表示します。

aws guardduty list-members \ --detector-id 12abc34d567e8fa901bc2d34eexample

出力:

{ "Members": [ { "RelationshipStatus": "Enabled", "InvitedAt": "2020-06-09T22:49:00.910Z", "MasterId": "123456789111", "DetectorId": "7ab8b2f61b256c87f793f6a86example", "UpdatedAt": "2020-06-09T23:08:22.512Z", "Email": "your+member@example.com", "AccountId": "123456789222" } ] }

詳細については、「 ユーザーガイド」の GuardDuty 「マスターアカウントとメンバーアカウントの関係を理解する GuardDuty 」を参照してください。

  • API の詳細については、「 コマンドリファレンスListMembers」の「」を参照してください。 AWS CLI

次の例は、update-ip-set を使用する方法を説明しています。

AWS CLI

信頼できる IP セットを更新するには

次のupdate-ip-set例は、信頼できる IP セットの詳細を更新する方法を示しています。

aws guardduty update-ip-set \ --detector-id 12abc34d567e8fa901bc2d34eexample \ --ip-set-id d4b94fc952d6912b8f3060768example \ --location https://AWSDOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com/customtrustlist2.csv

このコマンドでは何も出力されません。

詳細については、「 ユーザーガイド」の「信頼できる IP リストと脅威リストの使用」を参照してください。 GuardDuty

  • API の詳細については、「 コマンドリファレンスUpdateIpSet」の「」を参照してください。 AWS CLI