概念と用語

Amazon を使い始めるにあたり GuardDuty、Amazon の主要な概念について学ぶことでメリットが得られます。

アカウント

AWS リソースを含む標準のAmazon Web Services (AWS) アカウント。 AWS 自分のアカウントでサインインして有効にできます GuardDuty。

また、他のアカウントを招待して有効にしたり、 GuardDuty AWS 自分のアカウントと関連付けたりすることもできます GuardDuty。招待が承認されると、自分のアカウントが管理者アカウントとして指定され、 GuardDuty 追加されたアカウントがメンバーアカウントになります。その後、 GuardDuty それらのアカウントの調査結果をそのアカウントに代わって表示および管理できます。

管理者アカウントのユーザーは、 GuardDuty自分のアカウントとすべてのメンバーアカウントの調査結果を設定 GuardDuty 、表示、管理できます。最大 10,000 件のメンバーアカウントを登録できます GuardDuty。

メンバーアカウントのユーザーは、 GuardDuty 自分のアカウントの結果を (管理コンソールまたは GuardDuty API から) 設定 GuardDuty 、表示、 GuardDuty 管理できます。メンバーアカウントのユーザーは、他のメンバーアカウントの検出結果を表示または管理することはできません。

AWS GuardDuty アカウントは同時に管理者アカウントとメンバーアカウントになることはできません。 AWS アカウントで承諾できるメンバーシップの招待は 1 つのみです。メンバーシップの招待の承諾はオプションです。

詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。

ディテクター

GuardDuty GuardDuty すべての結果はサービスを表すオブジェクトであるディテクターに関連付けられます。ディテクタは地域単位であり、 AWS リージョン GuardDuty 動作する各ディテクタには固有のディテクタが必要です。 GuardDuty リージョンで有効にすると、固有の32英数字のDetecdetectorId を持つ新しいディテクタがそのリージョンで生成されます。detectorId の形式は 12abc34d567e8fa901bc2d34e56789f0 です。

アカウントと現在の地域に合ったものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId

注記

複数アカウント環境では、メンバーアカウントのすべての検出結果が管理者アカウントのディテクターに関連付けられます。

CloudWatch イベントの通知頻度の設定や、処理対象となるオプションのデータソースの有効化または無効化など、 GuardDuty 一部の機能はディテクターによって設定されます。 GuardDuty

データソース

データのセットのオリジンまたは場所です。環境内の不正なアクティビティや予期しないアクティビティを検出するため。 AWS GuardDuty AWS CloudTrail イベントログ、 AWS CloudTrail 管理イベント、S3 のデータイベント、VPC フローログ、DNS ログ、EKS 監査ログ、RDS ログインアクティビティモニタリング、EBS AWS CloudTrail ボリュームからのデータを分析して処理します。詳細については、「基礎データソース」を参照してください。

機能

GuardDuty 保護計画に合わせて設定された機能オブジェクトは、環境内の不正なアクティビティや予期しないアクティビティを検出するのに役立ちます。 AWS GuardDuty 各保護プランは、データを分析および処理するための対応する機能オブジェクトを設定します。機能オブジェクトには、EKS 監査ログ、RDS ログインアクティビティモニタリング、EBS ボリュームなどがあります。詳細については、「GuardDuty での機能のアクティベーション」を参照してください。

検出結果

GuardDuty によって発見された潜在的なセキュリティの問題。詳細については、「Amazon GuardDuty 調査結果を理解する」を参照してください。

GuardDuty 結果はコンソールに表示され、セキュリティ問題の詳細な説明が含まれます。GetFindingsおよび ListFindingsAPI オペレーションを呼び出して、生成された結果を取得することもできます。

また、Amazon GuardDuty CloudWatch イベントを通じて調査結果を確認することもできます。 GuardDuty CloudWatch HTTPSプロトコルを介して結果をAmazonに送信します。詳細については、「Amazon CloudWatch Events を使用した GuardDuty 結果へのカスタムレスポンスの作成」を参照してください。

スキャンオプション

GuardDuty マルウェア防御を有効にすると、スキャンまたはスキップする Amazon EC2 インスタンスと Amazon Elastic Block Store (EBS) ボリュームを指定できます。この機能を使用すると、EC2 インスタンスおよび EBS ボリュームに関連付けられている既存のタグを、包含タグリストまたは除外タグリストのいずれかに追加できます。包含タグリストに追加するタグに関連付けられているリソースは、マルウェアのスキャンが行われ、除外タグリストに追加されたリソースはスキャンされません。詳細については、「ユーザー定義タグ付きのスキャンオプション」を参照してください。

スナップショットの保持

GuardDuty マルウェア対策を有効にすると、EBS ボリュームのスナップショットをアカウント内に保持するオプションが表示されます。 AWS GuardDuty EBS ボリュームのスナップショットに基づいてレプリカ EBS ボリュームを生成します。Malware Protection スキャンがレプリカ EBS ボリュームでマルウェアを検出した場合にのみ、EBS ボリュームのスナップショットを保持できます。レプリカ EBS ボリュームでマルウェアが検出されない場合は、スナップショットの保存設定に関係なく、EBS GuardDuty ボリュームのスナップショットを自動的に削除します。詳細については、「スナップショットの保持」を参照してください。

抑制ルール

抑制ルールを使用すると、特定の属性の組み合わせを作成して検出結果数を抑えることができます。たとえば、 GuardDuty フィルターを使用して、特定の VPC 内のインスタンス、特定の AMI を実行しているインスタンス、または特定の EC2 Recon:EC2/Portscan タグを持つインスタンスのみから自動アーカイブするルールを定義できます。このルールにより、ポートスキャンの検出結果は、条件を満たすインスタンスから自動的にアーカイブされます。ただし、暗号通貨マイニングなど、 GuardDuty 他の悪意のあるアクティビティを行っているインスタンスを検出した場合でも、アラートを出すことができます。

GuardDuty 管理者アカウントで定義されている抑制ルールは、メンバーアカウントに適用されます。 GuardDuty GuardDuty メンバーアカウントは抑制ルールを変更できません。

GuardDuty 抑制ルールを使用しても、すべての結果が引き続き生成されます。抑制ルールは、すべてのアクティビティの完全で不変な履歴を維持しながら、検出結果の数を抑えます。

通常、抑制ルールの使用目的は、環境に対して誤検知と判断した検出結果を非表示にし、重要度の低い検出結果からのノイズを減らして、より大きな脅威に集中できるようにすることです。詳細については、「抑制ルール」を参照してください。

信頼できる IP リスト

AWS 環境との通信を安全に行うための、信頼できる IP アドレスのリスト。 GuardDuty 信頼できる IP リストに基づく結果は生成されません。詳細については、「信頼できる IP リストと 脅威リストの使用」を参照してください。

脅威 IP リスト

悪意のある既知の IP アドレスのリスト GuardDuty 疑わしいアクティビティがあることが原因で検出結果が生成されるだけでなく、これらの脅威リストに基づいて結果も生成されます。詳細については、「信頼できる IP リストと 脅威リストの使用」を参照してください。