Amazon の検出 GuardDuty 結果の管理

GuardDuty には、結果のソート、保存、管理に役立ついくつかの重要な機能が用意されています。これらの特徴によって、特定の環境に合わせて検出結果を調整したり、重要度の低い検出結果のノイズを減らしたり、特殊な AWS 環境の脅威に焦点を当てたりすることができます。このページのトピックを参照して、これらの機能を使用して の検出結果の値を増やす方法を理解 GuardDutyしてください。

トピック:

[要約] ダッシュボード

コンソールで使用できる GuardDuty概要ダッシュボードのコンポーネントについて説明します。

検出結果のフィルタリング

指定した基準に基づいて GuardDuty 結果をフィルタリングする方法について説明します。

抑制ルール

サプレッションルールを使用して に GuardDuty アラートを送信する検出結果を自動的にフィルタリングする方法について説明します。抑制ルールは、フィルターに基づいて検出結果を自動的にアーカイブします。

信頼できる IP リストと 脅威リストの使用

パブリックにルーティング可能な IP アドレスに基づいて、IP リストと脅威リストを使用して GuardDuty モニタリングスコープをカスタマイズします。信頼できる IP リストは、信頼できると思われる IP から非 DNS の検出結果が生成されないようにします。一方、Threat Intel Lists は、ユーザー定義 IP からのアクティビティを GuardDuty から警告します。 IPs

検出結果のエクスポート

生成された検出結果を Amazon S3 バケットにエクスポートして、 で 90 日間の検出結果保持期間を経過したレコードを維持できるようにします GuardDuty。この履歴データを使用して、アカウント内の潜在的な疑わしいアクティビティを追跡し、推奨される修復ステップが成功したかどうかを評価します。

Amazon CloudWatch Events を使用した GuardDuty 結果へのカスタムレスポンスの作成

Amazon CloudWatch イベントを通じて GuardDuty 検出結果の自動通知を設定します。また、 CloudWatch イベントを通じて他のタスクを自動化して、検出結果への対応に役立てることもできます。

Malware Protection for EC2 スキャン中にリソースをスキップする CloudWatch ログと理由を理解する

EC2 の GuardDuty Malware Protection の CloudWatch ログを監査する方法と、影響を受けた Amazon EC2 インスタンスまたは Amazon EBS ボリュームがスキャンプロセス中にスキップされた理由について説明します。

Malware Protection for EC2 GuardDuty での誤検出の報告

GuardDuty Malware Protection for EC2 での誤検出エクスペリエンスと、誤検出の脅威検出を報告する方法について説明します。