Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

GuardDuty 拡張脅威検出

PDF
RSS
フォーカスモード
GuardDuty 拡張脅威検出 - Amazon GuardDuty
関連する保護プランを有効にする追加リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty 拡張脅威検出は、 内のデータソース、複数のタイプの AWS リソース、および時間にわたる複数ステージ攻撃を自動的に検出します AWS アカウント。この機能を使用すると、GuardDuty はさまざまなタイプのデータソースをモニタリングすることで観察する複数のイベントのシーケンスに焦点を当てます。拡張脅威検出は、これらのイベントを関連付けて、 AWS 環境に対する潜在的な脅威として存在するシナリオを特定し、攻撃シーケンスの検出結果を生成します。

1 つの検出結果には、攻撃シーケンス全体を含めることができます。例えば、次のようなシナリオを検出できます。

  1. 脅威アクターがコンピューティングワークロードに不正アクセスする。

  2. 次に、アクターは特権のエスカレーションや永続性の確立などの一連のアクションを実行します。

  3. 最後に、アクターは Amazon S3 リソースからデータを抽出します。

拡張脅威検出は、 AWS 認証情報の誤用に関連する侵害や、 でのデータ侵害の試みを伴う脅威シナリオを対象としています AWS アカウント。詳細については、「攻撃シーケンスの検出結果タイプ」を参照してください。

これらの脅威シナリオの性質上、GuardDuty はすべての攻撃シーケンス検出タイプを重大と見なします。

次のリストは、拡張脅威検出に関する主要な情報を示しています。

デフォルトで有効

特定の のアカウントで Amazon GuardDuty を有効にすると AWS リージョン、拡張脅威検出もデフォルトで有効になります。拡張脅威検出の使用に関連する追加コストはありません。デフォルトでは、すべての のイベントを関連付けます基本データソース。ただし、S3 Protection など、より多くの GuardDuty 保護プランを有効にすると、イベントソースの範囲を広げることで、追加のタイプの攻撃シーケンス検出が開かれます。これは、より包括的な脅威分析と攻撃シーケンスの検出の向上に役立つ可能性があります。詳細については、「関連する保護プランを有効にする」を参照してください。

拡張脅威検出の仕組み

GuardDuty は、API アクティビティや GuardDuty の検出結果など、複数のイベントを関連付けます。これらのイベントは Signals と呼ばれます。環境内に、それ自体が明確な潜在的な脅威として存在しないイベントが発生する場合があります。GuardDuty はそれらを弱いシグナルと呼んでいます。拡張脅威検出を使用すると、GuardDuty は複数のアクションのシーケンスが疑わしいアクティビティと一致する可能性があるタイミングを特定し、アカウントに攻撃シーケンスの検出結果を生成します。これらの複数のアクションには、弱いシグナルや、アカウントで既に特定された GuardDuty の検出結果が含まれる場合があります。

GuardDuty は、アカウントで進行中の潜在的な動作や最近の攻撃動作 (24 時間のローリング時間枠内) を特定するように設計されています。例えば、攻撃者がコンピューティングワークロードへの意図しないアクセスを取得すると、攻撃が開始する可能性があります。アクターは、列挙、権限のエスカレーション、 AWS 認証情報の流出など、一連のステップを実行します。これらの認証情報は、さらなる侵害やデータへの悪意のあるアクセスに使用される可能性があります。

GuardDuty コンソールの拡張脅威検出ページ

デフォルトでは、GuardDuty コンソールの拡張脅威検出ページには、ステータスが有効と表示されます。GuardDuty コンソールで拡張脅威検出ページにアクセスするには、次のステップを実行します。

  1. GuardDuty コンソールは https://console.aws.amazon.com/guardduty/ で開くことができます。

  2. 左側のナビゲーションペインで、拡張脅威検出を選択します。

    このページでは、拡張脅威検出の対象となる脅威シナリオについて詳しく説明します。

攻撃シーケンスの検出結果の理解と管理

攻撃シーケンスの検出結果は、アカウント内の他の GuardDuty の検出結果と同じです。GuardDuty コンソールの検出結果ページで表示できます。結果の表示については、「」を参照してくださいGuardDuty コンソールの検出結果ページ

他の GuardDuty の検出結果と同様に、攻撃シーケンスの検出結果も Amazon EventBridge に自動的に送信されます。設定に基づいて、攻撃シーケンスの検出結果は発行先 (Amazon S3 バケット) にもエクスポートされます。新しい発行先を設定するか、既存の発行先を更新するには、「」を参照してください生成された検出結果を Amazon S3 にエクスポートする

次の動画では、拡張脅威検出を使用する方法を示します。

リージョン内の任意の GuardDuty アカウントでは、拡張脅威検出機能が自動的に有効になります。デフォルトでは、この機能はすべての で複数のイベントを考慮します基本データソース。この機能を活用するには、ユースケースに焦点を当てたすべての GuardDuty 保護プランを有効にする必要はありません。

拡張脅威検出は、より多くの保護プランを有効にすると、包括的な脅威分析と攻撃シーケンスのカバレッジのための幅広いセキュリティシグナルを強化するように設計されています。GuardDuty では、次の理由により、アカウントで GuardDuty S3 Protection を有効にすることをお勧めします。

拡張脅威検出で S3 Protection を有効にする利点

GuardDuty が Amazon Simple Storage Service (Amazon S3) バケット内のデータ侵害を含む可能性のある攻撃シーケンスを検出するには、アカウントで S3 Protection を有効にする必要があります。これにより、GuardDuty は複数のデータソース間でより多様なシグナルを関連付けることができます。GuardDuty は、専用の S3 Protection プランを使用して、攻撃シーケンスの複数のステージの 1 つである可能性がある検出結果を特定します。例えば、GuardDuty の基本的な脅威検出だけでは、GuardDuty は Amazon S3 APIs での IAM 権限検出アクティビティから始まる潜在的な攻撃シーケンスを特定し、バケットリソースポリシーをより寛容にする変更など、その後の S3 コントロールプレーンの変更を検出できます。S3 Protection を有効にすると、GuardDuty は脅威検出の範囲を拡張します。また、S3 バケットへのアクセスがより許容的になった後に発生する可能性のあるデータ流出アクティビティを検出する機能も得られます。

S3 Protection が有効になっていない場合、GuardDuty は個々の を生成できませんS3 Protection の検出結果タイプ。したがって、GuardDuty は関連する検出結果を含む複数ステージの攻撃シーケンスを検出できません。したがって、GuardDuty はデータの侵害に関連する攻撃シーケンスを生成できません。

追加リソース

攻撃シーケンスの詳細については、以下のセクションを参照してください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.