検出結果グループを分析する - Amazon Detective
[検出結果グループ] ページを理解する検出結果グループ内の重要度 [情報] の検出結果検出結果グループプロファイル検出結果グループの視覚化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

検出結果グループを分析する

Amazon Detective の検出結果グループを使用すると、セキュリティイベントを引き起こす可能性がある複数のアクティビティを調査することができます。検出 GuardDuty 結果グループを使用して、重要度の高い検出結果の根本原因を分析できます。脅威アクターが AWS 環境を侵害しようとすると、通常、複数のセキュリティ検出結果や異常な動作につながる一連のアクションを実行します。これらのアクションは、多くの場合、長い時間や複数のエンティティにわたって行われます。セキュリティ上の検出結果を単独で調査すると、その重要度が誤解され、根本原因の特定が困難になる可能性があります。Amazon Detective ではこの問題に対処するため、検出結果とエンティティの関係を推測して、検出結果とエンティティをグループ化するグラフ分析手法を適用しています。関連するエンティティと検出結果を調査する出発点として、検出結果グループを検討することをお勧めします。

Detective は検出結果のデータを分析し、共有するリソースに基づいて関連する可能性が高い他の検出結果とグループ化します。例えば、同じ IAM ロールセッションで実行したアクションに関連する検出結果や、同じ IP アドレスで実行したアクションによる検出結果は、基となるアクティビティが同じである可能性が非常に高くなります。検出結果と証拠を 1 つのグループとして調査することは、Detective が行った関連付けが関連していない場合でも有益です。

各グループには、検出結果に加えて、検出結果に関係するエンティティも含まれます。エンティティには、IP アドレスやユーザーエージェント AWS など、 外のリソースを含めることができます。

注記

別の GuardDuty 検出結果に関連する最初の検出結果が発生すると、関連するすべての検出結果と関連するすべてのエンティティを含む検出結果グループが 48 時間以内に作成されます。

[検出結果グループ] ページを理解する

[検出結果グループ] ページには、Amazon Detective が動作グラフから収集したすべての検出結果グループがリスト表示されます。検出結果グループの次の属性に注目してください。

グループの重要度

各検出結果グループには、関連する検出結果 AWS のセキュリティ検出結果形式 (ASFF) の重要度に基づいて重要度が割り当てられます。検出結果の ASFF 重要度値は、重要度が高いものから低いものへと順に、[重要][高][中]」、[低]、または [情報] となります。グループの重要度は、そのグループ内の検出結果の中で最も重要度の高い検出結果の重要度と等しくなります。

多数のエンティティに影響する、重要度が [重要] または [高] の検出結果で構成されるグループは、影響の大きいセキュリティ問題を表す可能性が高いため、優先的に調査する必要があります。

グループタイトル

[タイトル] 列では、各グループに一意の ID と、各グループに一意ではないタイトルが表示されます。これらは、グループの ASFF タイプの名前空間と、クラスターのその名前空間に含まれる検出結果の数に基づいて決定されます。例えば、TTP (2)、Effect (1)、Unusual behavior (2) というタイトルが付いているグループには、TTP 名前空間の 2 つの検出結果、Effect 名前空間の 1 つの検出結果、および Unusual behavior 名前空間の 2 つの検出結果から成る、合計 5 つの検出結果が含まれます。名前空間の完全なリストについては、「タイプ」を参照してください。

グループの戦術

グループの [戦術] 列には、アクティビティが分類される戦術カテゴリが表示されます。続いて表示されるリストの [戦術]・[テクニック]・[手順](tactics, techniques, and procedures: TTP) カテゴリは、MITRE ATT&CK の Enterprise Matrix に対応しています。

チェーン上の戦術を選択すると、その戦術の説明を表示できます。チェーンの下には、グループ内で検出された戦術のリストが表示されます。これらのカテゴリとその代表的なアクティビティは次のとおりです。

  • 初期アクセス — 攻撃者が他者のネットワークに侵入しようとしています。

  • 実行 — 攻撃者が他者のネットワークに侵入しようとしています。

  • 永続化 — 攻撃者が足場を固めようとします。

  • 権限昇格 — 攻撃者がより高いレベルのアクセス許可を取得しようとしています。

  • 防衛回避 — 攻撃者が検出されないようにしようとしています。

  • 認証情報アクセス — 攻撃者がアカウント名とパスワードを盗もうとしています。

  • 探索 — 攻撃者が環境を理解し、知ろうとしています。

  • 横展開 — 攻撃者が環境内を進もうとしています。

  • 収集 — 攻撃者が目標達成に必要なデータを収集しようとしています。

  • C&C (Command and Control) — 攻撃者が他者のネットワークに侵入しようとしています。

  • 持ち出し — 攻撃者がデータを盗もうとしています。

  • 影響 — 攻撃者がユーザーのシステムおよびデータを操作、中断、または破壊しようとしています。

  • その他 — 検出結果によるアクティビティが、「matrix」に記載されている「tactics」(戦術) と一致しないことを示します。

グループ内のエンティティ

[エンティティ] 列には、検出されたこのグループ内の特定エンティティの詳細が表示されます。この値を選択すると、エンティティの内訳が [アイデンティティ][ネットワーク][ストレージ][コンピューティング] のカテゴリに分けて表示されます。カテゴリごとにエンティティの例を示します。

  • ID - ユーザーやロールなどの AWS アカウント IAM プリンシパルと 。

  • ネットワーク - IP アドレスまたはその他のネットワークおよび VPC エンティティ

  • ストレージ - Amazon S3 バケットや DDB

  • コンピューティング - Amazon EC2 インスタンスや Kubernetes コンテナ

グループ内のアカウント

アカウント列には、グループ内の検出結果に関係するエンティティを所有する AWS アカウントが示されます。 AWS アカウントは名前と AWS ID でリストされるため、重要なアカウントに関連するアクティビティの調査に優先順位を付けることができます。

グループ内の検出結果

[検出結果] 列には、グループ内のエンティティが重要度順に一覧表示されます。検出結果には、Amazon GuardDuty の検出結果、Amazon Inspector の検出結果、 AWS セキュリティの検出結果、Detective からの証拠が含まれます。グラフを選択すると、重要度ごとの正確な検出結果数を確認できます。

GuardDuty 検出結果は Detective コアパッケージの一部であり、デフォルトで取り込まれます。Security Hub によって集計された他のすべての AWS セキュリティ検出結果は、オプションのデータソースとして取り込まれます。詳細については、「Source data used in a behavior graph」を参照してください。

検出結果グループ内の重要度 [情報] の検出結果

Amazon Detective は、過去 45 日以内に収集された動作グラフのデータに基づいて、検出結果グループに関連する追加の情報を特定します。Detective はこの情報を、重要度が [情報] である検出結果として表示します。証拠は、検出結果グループ内で見たときに疑わしいと思われる異常なアクティビティや不明な動作を浮き彫りにする、裏付けとなる情報です。証拠としては、新たに観察された位置情報や、検出結果の時間範囲内に観察された API コールなどが挙げられます。証拠の検出結果は Detective でのみ表示でき、 には送信されません AWS Security Hub。

Detective は MaxMind GeoIP データベースを使用してリクエストの場所を決定します。 MaxMind は、国レベルでデータの精度が非常に高くなりますが、精度は国や IP の種類などの要因によって異なります。の詳細については MaxMind、MaxMind 「IP Geolocation」を参照してください。GeoIP データのいずれかが正しくないと思われる場合は、MaxMind 正しい GeoIP2 データ で Maxmind に修正リクエストを送信できます。

さまざまなプリンシパルタイプ (IAM ユーザーや IAM ロールなど) の証拠を確認できます。一部の証拠タイプでは、[すべてのアカウント] について証拠を確認できます。つまり、証拠は動作グラフ全体に影響するということです。すべてのアカウントについて証拠の検出結果が見つかった場合は、個々の IAM ロールについて、同じタイプの、情報を提供する証拠の検出結果も少なくとも 1 つ、新たに表示されます。例えば、[すべてのアカウントで見つかった新しい位置情報] の検出結果が表示された場合、[特定のプリンシパルで見つかった新しい位置情報] の検出結果も表示されます。

検出結果グループ内の証拠のタイプ

  • 見つかった新しい位置情報

  • 見つかった新しい ASO (Autonomous System Organization: 自律システム組織)

  • 見つかった新しいユーザーエージェント

  • 発行された新しい API コール

  • すべてのアカウントで見つかった新しい位置情報

  • すべてのアカウントで見つかった新しい IAM プリンシパル

検出結果グループプロファイル

グループタイトルを選択すると、検出結果グループプロファイルが開き、そのグループに関する詳細が表示されます。[検出結果グループプロファイル] ページの [詳細] パネルには、検出結果グループの親と子に対し、1,000 件までのエンティティと検出結果を表示できます。

グループプロフィールページには、グループに設定された時間範囲が表示されます。この時間範囲とは、グループに含まれる最も古い検出結果または証拠の日付と時刻から、グループ内の最も新しい検出結果または証拠の日付と時刻までの範囲を指します。また、[検出結果グループの重要度] も確認できます。これは、グループ内の検出結果の中で重要度が最も高いカテゴリを指します。このプロファイルパネルの他の詳細としては、以下のものがあります。

  • [関係する戦術] チェーンには、グループ内の検出結果から作成された戦術が表示されます。戦術は、「MITRE ATT&CK Matrix for Enterprise」に基づいています。戦術は、攻撃の代表的な進行状況 (初期ステージから最新ステージまでのどのステージか) を表す、色付きの点線で表示されます。つまり、チェーンの一番左の円は通常、攻撃者がお客様環境へのアクセスを取得または維持しようとしている、それほど深刻ではないアクティビティを表しています。逆に、右側のアクティビティは最も深刻で、データの改ざんや破壊が含まれる場合があります。

  • このグループと他のグループとの関係。場合によっては、既存のグループのエンティティが関係する検出結果など、新たに検出された関係に基づいて、これまで接続されていなかった 1 つ以上の検出結果グループが新しいグループにマージされることがあります。この場合、Amazon Detective は親グループを非アクティブ化し、子グループを作成します。どのグループの系統も親グループまでトレースできます。グループには、次の関係を含めることができます。

    • 子検出結果グループ - 他の 2 つの検出結果グループに含まれる検索結果が新しい検出結果に含まれる場合に作成される検出結果グループ。任意の子グループについて、検出結果の親グループがリスト表示されます。

    • 親検出結果グループ - 検出結果グループから子グループが作成されると、その検出結果グループは親になります。検出結果グループが親の場合、関連する子も一緒にリスト表示されます。親グループがアクティブな子グループにマージされると、その親グループのステータスは [非アクティブ] になります。

プロファイルパネルが開く情報タブは 2 つあります。[関係するエンティティ] タブと [関係する検出結果] タブです。これらを使用すると、グループに関する詳細を表示できます。

[調査を実行] を使用して、調査レポートを生成します。生成されたレポートには、侵害を示す異常な動作が詳しく記載されています。

グループ内のプロファイルパネル

関係するエンティティ

グループ内の検出結果にリンクされているエンティティなど、検出結果グループ内のエンティティを示します。各エンティティに付けられたタグも表示されるので、タグに基づいて重要なエンティティをすばやく識別できます。エンティティを選択すると、そのエンティティのプロファイルが表示されます。

関係する検出結果

検出結果の重要度、関係するすべてのエンティティ、その検出結果が最初と最後に確認された日時など、各検出結果に関する詳細を示します。リストで検出結果タイプを選択すると、[検出結果の詳細] パネルが開き、その検出結果の詳細が表示されます。[関係する検出結果] パネルの一部として、Detective が動作グラフから収集した証拠に基づく [情報] の検出結果が表示される場合があります。

検出結果グループの視覚化

Amazon Detective では、検出結果グループのインタラクティブな視覚化を行うことができます。この視覚化は、少ない労力で問題をより迅速かつ詳細に調査できるようにするために設計されました。検出結果グループの [視覚化] パネルには、検出結果グループに含まれる検出結果とエンティティが表示されます。このインタラクティブな視覚化を使用して、検出結果グループの影響を分析、理解、トリアージできます。このパネルでは、[関係するエンティティ] と [関係する検出結果] のテーブルに表示される情報が視覚化されます。視覚的な表示から、検出結果またはエンティティを選択してさらに分析できます。

検出結果が集約された Detective 検出結果グループは、同じタイプのリソースに関係している検出結果のクラスターです。集約された検出結果を参照することで、検出グループの構成をすばやく判断し、セキュリティ上の問題をより迅速に解釈できます。検出結果グループの詳細パネルでは、比較的類似した検出結果をまとめて表示する、検出結果表示の拡張を行うことができます。例えば、同じ種類の、[情報] の検出結果と [中] の検出結果が証拠ノードとして集約されます。現時点では、検出結果グループのタイトル、ソース、タイプ、および重要度と、集約した検出結果を表示できます。

このインタラクティブパネルでは、次のことができます。

  • [調査を実行] を使用して、調査レポートを生成します。生成されたレポートには、侵害を示す異常な動作が詳しく記載されています。

  • 検出結果グループの詳細および集約された検出結果を表示することで、関係する証拠、エンティティ、および検出結果を分析する。

  • エンティティと検出結果のラベルを表示して、セキュリティ上の問題がある可能性のある、影響を受けたエンティティを特定します。[ラベル] はオフに切り替えることができます。

  • エンティティと検出結果を並べ替えて、それらの相互関係をよりよく理解できるようにします。検出結果グループ内の選択した項目を移動して、エンティティと検出結果をグループから分離します。

  • 証拠、エンティティ、および検出結果を選択して、それらに関する詳細を表示します。複数の項目を選択するには、command/control を選択した上で項目を選択するか、ポインタを使って項目をドラッグアンドドロップします。

  • すべてのエンティティと検出結果が検出結果グループウィンドウに収まるようにレイアウトを調整する。検出結果グループでどのエンティティタイプが一般的かを確認できます。

注記

検出結果グループの [視覚化] パネルでは、最大 100 個のエンティティと検出結果を含めた検出結果グループを表示できます。

[レイアウトを選択してください] を選択すると、検出結果とエンティティをサークル力指向、またはグリッドレイアウトで表示できます。[力指向] レイアウトでは、項目間のリンクの長さが一定になり、リンクが均等に分散されるように、エンティティと検出結果が配置されます。これにより、重複を減らすことができます。選択したレイアウトによって、[視覚化] パネル内での検出結果の配置が決まります。

検出結果グループに含まれるエンティティと検出結果の相互接続を示す視覚化パネル。[力指向] レイアウトでは、項目間のリンクの長さが一定になり、リンクが均等に分散されるように、エンティティと検出結果が配置されます。

上図の凡例は、現在のグラフ内のエンティティと検出結果に応じて変化する動的なものです。各視覚要素が何を表しているのかを識別するのに役立ちます。