Runtime Monitoring の検出結果タイプ - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Runtime Monitoring の検出結果タイプ

Amazon は、 GuardDuty 以下のランタイムモニタリング結果を生成し、Amazon EKS クラスター内の Amazon EC2 ホストとコンテナ、Fargate と Amazon ECS ワークロード、Amazon EC2 インスタンスのオペレーティングシステムレベルの動作に基づいて潜在的な脅威を示します。

注記

Runtime Monitoring の検出結果タイプは、ホストから収集されたランタイムログに基づいています。ログには、悪意のある攻撃者によってコントロールされる可能性のあるファイルパスなどのフィールドが含まれています。 GuardDuty これらのフィールドは結果にも含まれ、ランタイムコンテキストを提供します。Runtime Monitoring GuardDuty の結果をコンソールの外部で処理する場合は、結果フィールドをサニタイズする必要があります。例えば、検出結果フィールドをウェブページに表示するときに、検索フィールドを HTML でエンコードできます。

CryptoCurrency:Runtime/BitcoinTool.B

Amazon EC2 インスタンスまたはコンテナが暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナで暗号通貨関連アクティビティに紐づけられた IP アドレスがクエリされていることを知らせるものです。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの検出結果パネルに「リソースタイプ」を表示します。 GuardDuty

修復のレコメンデーション

暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナを使用する場合、またはこれらのいずれかがブロックチェーンのアクティビティに関与している場合は、この CryptoCurrency:Runtime/BitcoinTool.B 検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。 AWS ご使用の環境に当てはまる場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B という値を使用します。2 つ目のフィルター条件は、インスタンスの [インスタンス ID]、または暗号通貨やブロックチェーン関連のアクティビティに関わるコンテナの [コンテナイメージ ID] です。詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Backdoor:Runtime/C&CActivity.B

Amazon EC2 インスタンスまたはコンテナは、既知のコマンドとコントロールサーバーに関連付けられる IP をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナが既知のコマンドとコントロール (C&C) サーバーに関連付けられた IP をクエリしていることを知らせるものです。リストされているインスタンスまたはコンテナが侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットとは、一般的なタイプのマルウェアに感染しコントロールされたインターネットコネクテッドデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。

注記

クエリされた IP が log4j 関連の場合、関連付けられた検出結果のフィールドには次の値が含まれます。

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの検出結果パネルで「リソースタイプ」 GuardDuty を確認してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

UnauthorizedAccess:Runtime/TorRelay

Amazon EC2 インスタンスまたはコンテナが Tor リレーとして Tor ネットワークに接続しています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この結果から、 AWS 環境内の EC2 インスタンスまたはコンテナが Tor リレーとして動作していると思われる方法で Tor ネットワークに接続していることが分かります。Tor は匿名通信を有効化するソフトウェアです。ある Tor リレーから別の Tor リレーにクライアントの不正なトラフィックを転送することで、通信の匿名性を高めます。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルで「Resource type」 GuardDuty を表示します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

UnauthorizedAccess:Runtime/TorClient

Amazon EC2 インスタンスまたはコンテナが Tor Guard または Authority ノードに接続しています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この結果から、 AWS 環境内の EC2 インスタンスまたはコンテナが Tor Guard または Authority ノードに接続していることがわかります。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、この EC2 インスタンスまたはコンテナが侵害された可能性があり、Tor ネットワーク上のクライアントとして動作していることを示している場合があります。この発見は、 AWS 攻撃者の正体を隠す目的でリソースに不正にアクセスしたことを示している可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、コンソールの検出結果パネルで「リソースタイプ」を確認してください。 GuardDuty

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/BlackholeTraffic

Amazon EC2 インスタンスまたはコンテナが既知のブラックホールであるリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

この結果から、リストされている EC2 AWS インスタンスまたは環境内のコンテナが、ブラックホール (またはシンクホール) の IP アドレスと通信しようとしたことが原因で侵害されている可能性があることがわかります。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの検出結果パネルで Resource type を確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DropPoint

Amazon EC2 インスタンスまたはコンテナが、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

この結果から、 AWS 環境内の EC2 インスタンスまたはコンテナが、マルウェアによってキャプチャされた認証情報やその他の盗まれたデータを保持していることが判明しているリモートホストの IP アドレスと通信しようとしていることがわかります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、コンソールの検出結果パネルで [リソースタイプ] を表示します。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Amazon EC2 インスタンスまたはコンテナが暗号通貨のアクティビティに関連付けられているドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナで、ビットコイン、またはその他の暗号通貨関連アクティビティに紐づけたドメインがクエリされていることを知らせるものです。脅威アクターは、コンピューティングリソースを不正な暗号通貨マイニングに不正に転用するため、コンピュートリソースを乗っ取ろうとする可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナがを使用する場合、またはこれらのいずれかがブロックチェーンのアクティビティに関与している場合は、この CryptoCurrency:Runtime/BitcoinTool.B!DNS 検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。 AWS ご使用の環境に当てはまる場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター検索条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B!DNS という値を使用します。2 つ目のフィルター条件では、暗号通貨またはブロックチェーンアクティビティに関与するインスタンスの [インスタンス ID]、またはコンテナの [コンテナイメージ ID] である必要があります。詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Backdoor:Runtime/C&CActivity.B!DNS

Amazon EC2 インスタンスまたはコンテナが、既知のコマンドとコントロールサーバーに関連付けられるドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境のリスト化した EC2 インスタンスおよびコンテナが既知のコマンドとコントロール (C&C) サーバーに関連付けられているドメインをクエリしていることを知らせるものです。リスト化した EC2 インスタンスまたはコンテナは侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットとは、一般的なタイプのマルウェアに感染し制御されたインターネットコネクテッドデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。

注記

クエリされたドメイン名が log4j 関連の場合、関連付けられた検出結果のフィールドには次の値が含まれます。

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

注記

GuardDuty この結果タイプがどのように生成されるかをテストするには、guarddutyc2activityb.comテストドメインに対して (Linux または Windows dig nslookup の場合はを使用して) インスタンスから DNS リクエストを行います。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、 GuardDuty コンソールの検出結果パネルで「リソースタイプ」を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/BlackholeTraffic!DNS

Amazon EC2 インスタンスまたはコンテナがブラックホールの IP アドレスにリダイレクトされるドメイン名をクエリしています。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナがブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしているため、侵害されている可能性があることを知らせるものです。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DropPoint!DNS

Amazon EC2 インスタンスまたはコンテナが、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストのドメイン名をクエリしています。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

この結果から、 AWS 環境内の EC2 インスタンスまたはコンテナが、マルウェアによってキャプチャされた認証情報やその他の盗まれたデータを保持していることが判明しているリモートホストのドメイン名を問い合わせていることがわかります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、コンソールの検出結果パネルで [リソースタイプ] を表示します。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DGADomainRequest.C!DNS

Amazon EC2 インスタンスまたはコンテナがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスまたはコンテナが侵害されている場合があります。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせるものです。リソースが侵害されている可能性があります。

DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータであり、一般的なタイプのマルウェアに感染して制御されたインターネットのコネクテッドデバイスのコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。

注記

この調査結果は、 GuardDuty 脅威インテリジェンスフィードの既知の DGA ドメインに基づいています。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルで「リソースタイプ」を確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DriveBySourceTraffic!DNS

Amazon EC2 インスタンスまたはコンテナがドライブバイダウンロード攻撃の既知の攻撃元であるリモートホストのドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、自動ダウンロード攻撃の既知のソースであるリモートホストのドメイン名をクエリしているため、リスト化した AWS 環境の EC2 インスタンスまたはコンテナが侵害された可能性があることを知らせるものです。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールを開始する場合があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/PhishingDomainRequest!DNS

Amazon EC2 インスタンスまたはコンテナがフィッシング攻撃に関与しているドメインをクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境の EC2 インスタンスまたはコンテナがフィッシング攻撃に関与しているドメインをクエリしようとしていることを知らせるものです。フィッシングドメインは、個人を特定できる情報、銀行やクレジットカードの詳細情報とパスワードなど、ユーザーが機密データを提供するように仕向ける、正当な機関になりすました人物によって設定されます。EC2 インスタンスまたはコンテナがフィッシングウェブサイトに保存されている機密データを検索しようとしたり、フィッシングウェブサイトをセットアップしようとしたりする可能性があります。EC2 インスタンスまたはコンテナが侵害されている可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/AbusedDomainRequest.Reputation

Amazon EC2 インスタンスまたはコンテナが、既知の悪用されたドメインに関連付けられた評価の低いドメイン名をクエリしています。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境内にリストされている EC2 インスタンスまたはコンテナが、既知の悪用されたドメインまたは IP アドレスに関連付けられたレピュテーションの低いドメイン名をクエリしていることを知らせるものです。悪用したドメインの例としては、動的 DNS プロバイダーだけでなく、無料のサブドメイン登録を提供する最上位のドメイン名 (TLD) と第 2 位のドメイン名 (2LD) があります。脅威アクターは、無料または低コストでドメインを登録するこれらのサービスを使用する傾向があります。このカテゴリの評価の低いドメインは、レジストラのパーキング IP アドレスを決定する有効期限切れドメインであり、アクティブになっていない可能性があります。パーキング IP は、レジストラがどのサービスにもリンクされていないドメインのトラフィックを管理する場所です。脅威アクターが一般的にこれらのレジストラのサービスまたは C&C のサービス、マルウェアディストリビューションに使用するため、リストされた Amazon EC2 インスタンスまたはコンテナは侵害される可能性があります。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/BitcoinDomainRequest.Reputation

Amazon EC2 インスタンスまたはコンテナが、暗号通貨関連のアクティビティに関連付けられている評判の低いドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナで、ビットコイン、またはその他の暗号通貨関連アクティビティに紐づけた評判の低いドメイン名がクエリされていることを知らせるものです。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナを使用する場合、またはこれらのリソースがブロックチェーンのアクティビティに関与している場合は、この検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。 AWS ご使用の環境に当てはまる場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に Impact:Runtime/BitcoinDomainRequest.Reputation という値を使用します。2 番目のフィルター条件は、インスタンスの [インスタンス ID] か、コンテナの [コンテナイメージ ID] が暗号通貨やブロックチェーン関連のアクティビティに関係しているかどうかです。詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/MaliciousDomainRequest.Reputation

Amazon EC2 インスタンスまたはコンテナが、悪意のある既知のドメインに関連付けられた評判の低いドメインをクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境内にリストされている EC2 インスタンスまたはコンテナが、悪意のある既知のドメインまたは IP アドレスに関連付けられたレピュテーションの低いドメイン名をクエリしていることを知らせるものです。例えば、ドメインを既知のシンクホール IP アドレスに関連付けることができます。シンクホールドメインは、以前に脅威アクターに制御されたドメインであり、ドメインへのリクエストは、インスタンスが侵害されていることを示している場合があります。これらのドメインは、悪意のある既知のキャンペーンやドメイン生成アルゴリズムと相関している可能性もあります。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの検出結果パネルで「リソースタイプ」 GuardDuty を確認してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/SuspiciousDomainRequest.Reputation

Amazon EC2 インスタンスまたはコンテナが、年齢や低人気により、本質的に疑わしい、低評判のドメイン名をクエリしています。

デフォルトの重要度: [Low] (低)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナが悪意があると疑われたり、過去に悪意のあるドメインだったため評判の低いドメイン名をクエリしていることを知らせるものですが、当社の評判モデルは、既知の脅威と明確に関連付けることができませんでした。これらのドメインは通常、新たに観察されるか、または少量のトラフィックを受信します。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

UnauthorizedAccess:Runtime/MetadataDNSRebind

Amazon EC2 インスタンスまたはコンテナがインスタンスメタデータサービスに解決される DNS ルックアップを実行しています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

注記

現在、この検出結果タイプは AMD64 アーキテクチャでのみサポートされています。

この結果から、 AWS 環境内の EC2 インスタンスまたはコンテナが EC2 メタデータ IP アドレス (169.254.169.254) に解決されるドメインをクエリしていることがわかります。この種類の DNS クエリは、インスタンスが DNS リバイディング技術の対象であることを示している可能性があります。この手法は、インスタンスに関連付けらた IAM 認証情報など、EC2 インスタンスからメタデータを取得するために使用できます。

DNS リバインディングには、EC2 インスタンスで実行されているアプリケーションをだまして URL から返されるデータをロードすることが含まれます。URL のドメイン名は EC2 メタデータ IP アドレス (169.254.169.254) に解決されます。これにより、アプリケーションは EC2 メタデータにアクセスし、攻撃者がそのメタデータを使用できるようにする可能性があります。

EC2 インスタンスが URL の追加を許可する脆弱なアプリケーションを実行している場合や、EC2 インスタンスで実行されているウェブブラウザで、誰かが URL にアクセスする場合のみ、DNS リバインディングを使用して EC2 メタデータにアクセスできます。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、コンソールの結果パネルで [リソースタイプ] を表示します。 GuardDuty

修復のレコメンデーション

この検出結果に応じて、EC2 インスタンスまたはコンテナで実行されている脆弱性アプリケーションがあるか、誰が検出結果で識別したドメインへアクセスするためブラウザを使用しているかを評価する必要があります。根本的な原因が脆弱なアプリケーションである場合は、脆弱性を修復します。ユーザーが識別したドメインを閲覧した場合、ドメインをブロックするか、ユーザーがそのドメインにアクセスできないようにします。この検出結果が上記のいずれかのケースに関連していると判断した場合は、EC2 インスタンスに関連付けられたセッションを取り消す必要があります

AWS 一部の顧客は、メタデータ IP アドレスを権限のある DNS サーバー上のドメイン名に意図的にマッピングしています。ご利用の環境でこのような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に UnauthorizedAccess:Runtime/MetaDataDNSRebind という値を使用します。2 番目のフィルター条件は、[DNS リクエストドメイン] またはコンテナの [コンテナイメージ ID] です。[DNS リクエストのドメイン] を使用します。値はメタデータの IP アドレス (169.254.169.254) にマッピングしたドメインと一致する必要があります。抑制ルール作成の詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/NewBinaryExecuted

コンテナで新しく作成、または最近変更されたバイナリファイルが実行されました。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

この検出結果から、コンテナ内で新たに作成、または変更されたバイナリファイルが実行されたことがわかります。実行時にコンテナを不変に保つことがベストプラクティスであり、バイナリファイル、スクリプト、またはライブラリはコンテナの存続期間中に作成または変更しないでください。この動作は、悪意のある攻撃者がコンテナにアクセスし、潜在的な侵害の一環としてマルウェアやその他のソフトウェアをダウンロードして実行したことを示しています。この種のアクティビティは侵害の兆候である可能性もありますが、一般的な使用パターンでもあります。そのため、 GuardDuty このアクティビティの疑わしいインスタンスを特定するメカニズムを使用し、疑わしいインスタンスについてのみこの検出タイプを生成します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルで「リソースタイプ」を確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/DockerSocketAccessed

コンテナ内のプロセスは、Docker ソケットを使用して Docker デーモンと通信しています。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

Docker ソケットは、Docker デーモン (dockerd) がクライアントとの通信に使用する Unix ドメインソケットです。クライアントは、Docker ソケットを介して Docker デーモンと通信してコンテナを作成するなど、さまざまなアクションを実行できます。コンテナプロセスが Docker ソケットにアクセスするのは疑わしい状況です。コンテナプロセスは、Docket ソケットと通信して特権コンテナを作成することで、コンテナからエスケープしてホストレベルのアクセスを得ることができます。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/RuncContainerEscape

コンテナのホストアクセスを取得しようとしたことが検出されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果から、ホストの runC バイナリファイルが上書きされた可能性があることがわかります。runC は、Docker や Containerd などの高レベルのコンテナランタイムがコンテナを生成して実行するために使用する低レベルのコンテナランタイムです。runC はコンテナを作成する低レベルのタスクを実行する必要があるため、常に root 権限で実行されます。過去のよく知られた脆弱性 1 では、変更された RunC バイナリが実行されたときに、悪意のあるコンテナがホストの RunC バイナリファイルをオーバーライドして、ホストへのルートレベルのアクセス権を取得することが可能でした。

また、この検出結果は、悪意のある攻撃者が次の 2 つのコンテナタイプのいずれかでコマンドを実行した可能性があることを示している可能性もあります。

  • 攻撃者がコントロールするイメージを含んだ新しいコンテナ。

  • 攻撃者が以前に書き込み許可でアクセスできた既存のコンテナ。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、コンソールの検出結果パネルで「Resource type」を確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

runC を介したコンテナエスケープが Amazon EKS クラスターで検出されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果から、コントロールグループ (cgroup) リリースエージェントファイルを変更しようとした試みが検出されたことがわかります。Linux はコントロールグループ (cgroup) を使用して、プロセスの集合のリソース使用量を制限したり、説明したり、分離したりします。各 cgroup にはリリースエージェントファイル (release_agent) があります。これは cgroup 内のいずれかのプロセスが終了したときに Linux が実行するスクリプトです。リリースエージェントファイルは常にホストレベルで実行されます。コンテナ内の脅威アクターは、cgroup に属するリリースエージェントファイルに任意のコマンドを書き込むことで、ホストに逃げることができます。その cgroup 内のプロセスが終了すると、アクターによって書き込まれたコマンドが実行されます。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルでリソースタイプを確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/ProcessInjection.Proc

proc ファイルシステムを使用したプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。proc ファイルシステム (procfs) は、プロセスの仮想メモリをファイルとして表示する Linux の特別なファイルシステムです。そのファイルのパスは /proc/PID/mem で、PID はプロセスの固有の ID です。脅威アクターは、このファイルに書き込んで、プロセスにコードを挿入できます。この検出結果により、このファイルへの書き込みを試みる可能性が明らかになりました。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/ProcessInjection.Ptrace

ptrace システムコールを使用したプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは ptrace システムコールを使って、別のプロセスにコードを挿入できる。この検出結果により、ptrace システムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

仮想メモリへの直接書き込みによるプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは、process_vm_writev などのシステムコールを使用して、別のプロセスの仮想メモリにコードを直接挿入することができます。この検出結果により、プロセスの仮想メモリに書き込むためのシステムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルに「リソースタイプ」 GuardDuty を表示します。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/ReverseShell

コンテナまたは Amazon EC2 インスタンス内のプロセスによってリバースシェルが作成されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

リバースシェルは、ターゲットホストからアクターのホストへの接続で作成されるシェルセッションです。これは、アクターのホストからターゲットのホストに対して開始される通常のシェルとは逆です。脅威アクターは、ターゲットへの最初のアクセス権を取得した後、リバースシェルを作成してターゲット上でコマンドを実行します。この検出結果により、リバースシェルの作成を試みる可能性が明らかになりました。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。

DefenseEvasion:Runtime/FilelessExecution

コンテナまたは Amazon EC2 インスタンス内のプロセスが、メモリからコードを実行しています。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

この検出結果により、ディスク上のメモリ内の実行可能ファイルを使用してプロセスが実行されたときに通知されます。これは、ファイルシステムのスキャンによる検出を回避するために、悪意のある実行可能ファイルをディスクに書き込まないようにする、一般的な防御回避の手法です。この手法はマルウェアによって使用されていますが、正当な使用例もいくつかあります。例の 1 つは、コンパイルされたコードをメモリーに書き込み、メモリーから実行する just-in-time (JIT) コンパイラーです。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルで Resource type を確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/CryptoMinerExecuted

コンテナまたは Amazon EC2 インスタンスが、暗号通貨マイニングアクティビティに関連するバイナリファイルを実行しています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この結果から、 AWS 環境内のコンテナまたは EC2 インスタンスが、暗号通貨マイニングアクティビティに関連するバイナリファイルを実行していることがわかります。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの結果パネルで Resource type を確認してください。 GuardDuty

修復のレコメンデーション

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、 GuardDuty コンソールの結果の詳細で「リソースタイプ」を表示し、を参照してくださいRuntime Monitoring 検出結果の修正

Execution:Runtime/NewLibraryLoaded

新しく作成または最近変更されたライブラリが、コンテナ内のプロセスによってロードされました。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

この検出結果から、ライブラリが実行時にコンテナ内で作成または変更され、コンテナ内で実行されているプロセスによって読み込まれたことがわかります。ベストプラクティスは、実行時にはコンテナを不変のままにし、コンテナの存続期間中はバイナリファイル、スクリプト、またはライブラリを作成または変更しないことです。新しく作成または変更されたライブラリをコンテナにロードすると、不審なアクティビティが発生する可能性があります。この動作は、悪意のある攻撃者が潜在的な侵害の一環としてコンテナにアクセスし、マルウェアやその他のソフトウェアをダウンロードして実行した可能性があることを示しています。この種のアクティビティはセキュリティ侵害の兆候である可能性もありますが、一般的な使用パターンでもあります。そのため、 GuardDuty このアクティビティの疑わしいインスタンスを特定するメカニズムを使用し、疑わしいインスタンスについてのみこの検出タイプを生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールの結果の詳細で「リソースタイプ」 GuardDuty を確認してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

コンテナ内のプロセスが、実行時にホストファイルシステムをマウントしました。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

複数のコンテナエスケープ手法では、実行時にホストファイルシステムをコンテナ内にマウントします。この検出結果から、コンテナ内のプロセスがホストファイルシステムをマウントしようとした可能性があり、ホストへのエスケープが試みられた可能性があることがわかります。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、 GuardDutyコンソールの結果の詳細で「リソースタイプ」を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/UserfaultfdUsage

あるプロセスが、userfaultfd システム呼び出しを使用してユーザースペースのページフォールトを処理しました。

デフォルトの重要度: [Medium] (中)

  • 機能: Runtime Monitoring

通常、ページフォールトはカーネルスペースのカーネルによって処理されます。しかし、userfaultfd システムコールを使うと、プロセスはユーザースペースのファイルシステムのページフォールトを処理できるようになります。これはユーザースペースのファイルシステムの実装を可能にする便利な機能です。一方で、潜在的に悪意のあるプロセスによってユーザースペースからカーネルを妨害するためにも使用される可能性があります。userfaultfd システムコールを使ってカーネルを中断させることは、カーネルの競合状態を悪用している最中にレースウィンドウを延長するため、一般的に悪用の手法です。userfaultfd を使用すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス上で不審なアクティビティが行われたことを示している可能性があります。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、 GuardDutyコンソールの結果の詳細で「リソースタイプ」を表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/SuspiciousTool

コンテナまたは Amazon EC2 インスタンスは、ペンテストエンゲージメントなどの攻撃的なセキュリティシナリオで頻繁に使用されるバイナリファイルまたはスクリプトを実行しています。

デフォルトの重要度: 可変

この結果の重大度は、検出された疑わしいツールが二重使用と見なされるのか、それとも攻撃的な使用のみを目的としているのかによって、高くなることも低くなることもあります。

  • 機能: Runtime Monitoring

この結果から、環境内の EC2 インスタンスまたはコンテナで疑わしいツールが実行されたことがわかります。 AWS これには、ペンテスト業務で使用されたバックドアツール、ネットワークスキャナー、ネットワークスニファーなどが含まれます。これらのツールはすべて無害な状況でも使用できますが、悪意のある脅威アクターによって頻繁に使用されます。攻撃的なセキュリティツールを見ると、関連する EC2 インスタンスまたはコンテナが侵害されている可能性があります。

GuardDuty 関連する実行時のアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、コンソールの結果の詳細で Resource type を確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/SuspiciousCommand

Amazon EC2 インスタンスまたはコンテナで、侵害を示す不審なコマンドが実行されました。

デフォルトの重要度: 可変

検出された悪意のあるパターンの影響に応じて、この検出タイプの重大度は「低」、「中」、「高」のいずれかになります。

  • 機能: Runtime Monitoring

この結果は、疑わしいコマンドが実行されたことを通知し、 AWS 環境内の Amazon EC2 インスタンスまたはコンテナが侵害されたことを示します。これは、疑わしいソースからファイルがダウンロードされて実行されたか、実行中のプロセスのコマンドラインに既知の悪意のあるパターンが表示されていることを意味する場合があります。これはさらに、システム上でマルウェアが実行されていることを示しています。

GuardDuty 関連する実行時のアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、コンソールの結果の詳細で Resource type を確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/SuspiciousCommand

リストされている Amazon EC2 インスタンスまたはコンテナでコマンドが実行され、ファイアウォールや重要なシステムサービスなどの Linux 防御メカニズムを変更または無効にしようとします。

デフォルトの重要度: 可変

どの防御メカニズムが変更されたか無効になっているかによって、この検出タイプの重要度は「高」、「中」、「低」のいずれかになります。

  • 機能: Runtime Monitoring

この結果から、ローカルシステムのセキュリティサービスから攻撃を隠そうとするコマンドが実行されたことがわかります。これには、UNIX ファイアウォールの無効化、ローカル IP テーブルの変更、crontabエントリの削除、ローカルサービスの無効化、機能の引き継ぎなどのアクションが含まれます。LDPreloadどのような変更も非常に疑わしく、侵害の兆候となる可能性があります。したがって、これらのメカニズムはシステムのさらなる侵害を検出または防止します。

GuardDuty 関連する実行時のアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。侵害の可能性があるリソースを特定するには、コンソールの検出結果の詳細で Resource type を表示します。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/PtraceAntiDebugging

コンテナまたは Amazon EC2 インスタンス内のプロセスが、ptrace システムコールを使用してデバッグ対策を実行しました。

デフォルトの重要度: [Low] (低)

  • 機能: Runtime Monitoring

この結果は、Amazon EC2 AWS インスタンスまたは環境内のコンテナで実行されているプロセスが、ptrace PTRACE_TRACEME システムコールをオプションとともに使用したことを示しています。このアクティビティにより、アタッチされたデバッガーが実行中のプロセスから切り離されます。デバッガーがアタッチされていなければ、効果はありません。ただし、アクティビティ自体に疑いが生じます。これは、マルウェアがシステム上で実行されていることを示している可能性があります。マルウェアは分析を回避するためにアンチデバッグ手法を頻繁に使用しますが、これらの手法は実行時に検出できます。

GuardDuty 関連する実行時のアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、コンソールの結果の詳細で Resource type を確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/MaliciousFileExecuted

既知の悪意のある実行ファイルが Amazon EC2 インスタンスまたはコンテナで実行されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この結果から、既知の悪意のある実行ファイルが Amazon EC2 AWS インスタンスまたは環境内のコンテナで実行されたことが通知されます。これは、インスタンスまたはコンテナが侵害された可能性があり、マルウェアが実行されたことを示す強力な指標です。

マルウェアは分析を回避するためにアンチデバッグ手法を頻繁に使用しますが、これらの手法は実行時に検出できます。

GuardDuty 関連する実行時のアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、コンソールの結果の詳細で Resource type を確認してください。 GuardDuty

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。