概念と用語

Amazon の使用を開始すると GuardDuty、その主要な概念について学ぶことでメリットが得られます。

アカウント

AWS リソースを含む標準の Amazon Web Services (AWS) アカウント。アカウント AWS で にサインインし、 を有効にできます GuardDuty。

他のアカウントを招待して、 で AWS アカウントを有効に GuardDuty して関連付けることもできます GuardDuty。招待が承諾されると、アカウントが管理者アカウント GuardDuty として指定され、追加されたアカウントがメンバーアカウントになります。その後、それらのアカウントの結果を代理 GuardDuty で表示および管理できます。

管理者アカウントのユーザーは、自分のアカウントと GuardDutyすべてのメンバーアカウントの結果を設定 GuardDuty および表示および管理できます。には、最大 10,000 個のメンバーアカウントを設定できます GuardDuty。

メンバーアカウントのユーザーは、自分のアカウントで ( GuardDuty マネジメントコンソールまたは GuardDuty API を介して) GuardDuty 結果を設定したり GuardDuty 、表示および管理したりできます。メンバーアカウントのユーザーは、他のメンバーアカウントの検出結果を表示または管理することはできません。

は、 GuardDuty 管理者アカウントとメンバーアカウントを同時に AWS アカウント 使用することはできません。は、メンバーシップの招待を 1 つだけ受け入れ AWS アカウント ることができます。メンバーシップの招待の承諾はオプションです。

詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。

ディテクター

Amazon GuardDuty はリージョンレベルのサービスです。特定の GuardDuty で を有効にすると AWS リージョン、 AWS アカウント はディテクター ID に関連付けられます。この 32 文字の英数字 ID は、そのリージョンのアカウントに固有です。例えば、別のリージョンで同じアカウント GuardDuty に対して を有効にすると、アカウントは別のディテクター ID に関連付けられます。detectorId の形式は 12abc34d567e8fa901bc2d34e56789f0 です。

GuardDuty 検出結果とサービスの管理に関するすべての検出結果、アカウント、およびアクションは、 GuardDutyディテクター ID を使用して API オペレーションを実行します。

アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。

注記

複数アカウント環境では、メンバーアカウントのすべての検出結果が管理者アカウントのディテクターに関連付けられます。

CloudWatch イベント通知頻度の設定や、 が処理 GuardDuty するオプションの保護プランの有効化または無効化など、一部の GuardDuty 機能はディテクターを介して設定されます。

内で S3 の Malware Protection を使用する GuardDuty

が有効になっているアカウントで Malware Protection for S3 GuardDuty を有効にすると、保護されたリソースの有効化、編集、無効化などの Malware Protection for S3 アクションはディテクター ID に関連付けられません。

脅威検出オプション Malware Protection for S3 を有効にして GuardDuty 選択しない場合、アカウント用に作成されるディテクター ID はありません。

基礎データソース

データのセットのオリジンまたは場所です。 AWS 環境内の不正または予期しないアクティビティを検出するには、 は AWS CloudTrail イベントログ、 AWS CloudTrail 管理イベント、S3 AWS CloudTrail のデータイベント、VPC フローログ、DNS ログからのデータを GuardDuty 分析して処理します。「」を参照してください基礎データソース。

機能

GuardDuty 保護プラン用に設定された特徴量オブジェクトは、 AWS 環境内の不正または予期しないアクティビティを検出するのに役立ちます。各 GuardDuty 保護プランは、データを分析および処理するための対応する機能オブジェクトを設定します。一部の機能オブジェクトには、EKS 監査ログ、RDS ログインアクティビティモニタリング、Lambda ネットワークアクティビティログ、EBS ボリュームが含まれます。詳細については、「での機能のアクティベーション GuardDuty」を参照してください。

結果

GuardDuty によって発見された潜在的なセキュリティの問題。詳細については、「Amazon GuardDuty の検出結果について」を参照してください。

結果は GuardDuty コンソールに表示され、セキュリティ問題の詳細な説明が含まれています。GetFindings および ListFindings API オペレーションを呼び出すことで、生成された結果を取得することもできます。

また、Amazon CloudWatch イベントを通じて GuardDuty 検出結果を確認することもできます。 は、検出結果を HTTPS プロトコル CloudWatch 経由で Amazon GuardDuty に送信します。詳細については、「Amazon CloudWatch Events を使用した GuardDuty 結果へのカスタムレスポンスの作成」を参照してください。

IAM PassRole

これは、S3 オブジェクトをスキャンするために必要なアクセス許可を持つ IAM ロールです。スキャンされたオブジェクトのタグ付けが有効になっている場合、IAM アクセス PassRole 許可はスキャンされたオブジェクトにタグ GuardDuty を追加するのに役立ちます。

Malware Protection プランリソース

バケットの S3 の Malware Protection を有効にすると、 は EC2 プランリソースの Malware Protection GuardDuty を作成します。このリソースは、保護されたバケットの一意の識別子である EC2 プラン ID の Malware Protection に関連付けられています。Malware Protection プランリソースを使用して、保護されたリソースに対して API オペレーションを実行します。

保護されたバケット (保護されたリソース）

Amazon S3 バケットは、このバケットで Malware Protection for S3 を有効にし、その保護ステータスがアクティブ に変わると、保護されていると見なされます。

GuardDuty は、保護されたリソースとして S3 バケットのみをサポートします。

保護ステータス

Malware Protection プランリソースに関連付けられているステータス。バケットの Malware Protection for S3 を有効にすると、このステータスはバケットが正しく設定されているかどうかを表します。

S3 オブジェクトプレフィックス

Amazon Simple Storage Service (Amazon S3) バケットでは、プレフィックスを使用してストレージを整理できます。プレフィックスは、S3 バケット内のオブジェクトの論理グループです。詳細については、「Amazon S3 ユーザーガイド」の「オブジェクトの整理と一覧表示」を参照してください。 Amazon S3

スキャンオプション

GuardDuty Malware Protection for EC2 が有効になっている場合、スキャンまたはスキップする Amazon EC2 インスタンスと Amazon Elastic Block Store (EBS) ボリュームを指定できます。この機能を使用すると、EC2 インスタンスおよび EBS ボリュームに関連付けられている既存のタグを、包含タグリストまたは除外タグリストのいずれかに追加できます。包含タグリストに追加するタグに関連付けられているリソースは、マルウェアのスキャンが行われ、除外タグリストに追加されたリソースはスキャンされません。詳細については、「ユーザー定義タグ付きのスキャンオプション」を参照してください。

スナップショットの保持

GuardDuty Malware Protection for EC2 を有効にすると、EBS ボリュームのスナップショットを AWS アカウント内に保持するオプションが提供されます。 は、EBS ボリュームのスナップショットに基づいてレプリカ EBS ボリューム GuardDuty を生成します。EBS ボリュームのスナップショットは、Malware Protection for EC2 スキャンがレプリカ EBS ボリューム内のマルウェアを検出した場合にのみ保持できます。レプリカ EBS ボリュームでマルウェアが検出されない場合、 は、スナップショットの保持設定に関係なく、EBS ボリュームのスナップショット GuardDuty を自動的に削除します。詳細については、「スナップショットの保持」を参照してください。

抑制ルール

抑制ルールを使用すると、特定の属性の組み合わせを作成して検出結果数を抑えることができます。例えば、 GuardDuty フィルターを使用してルールを定義し、特定の VPC、特定の AMI の実行、または特定の EC2 タグを持つインスタンスのみRecon:EC2/Portscanから自動アーカイブできます。このルールにより、ポートスキャンの検出結果は、条件を満たすインスタンスから自動的にアーカイブされます。ただし、 が暗号通貨マイニングなどの他の悪意のあるアクティビティを行っているインスタンス GuardDuty を検出した場合、アラートは引き続き許可されます。

GuardDuty 管理者アカウントで定義された抑制ルールは、 GuardDuty メンバーアカウントに適用されます。 GuardDuty メンバーアカウントは抑制ルールを変更できません。

抑制ルールを使用すると、 GuardDuty Seltitle はすべての検出結果を生成します。抑制ルールは、すべてのアクティビティの完全で不変な履歴を維持しながら、検出結果の数を抑えます。

通常、抑制ルールの使用目的は、環境に対して誤検知と判断した検出結果を非表示にし、重要度の低い検出結果からのノイズを減らして、より大きな脅威に集中できるようにすることです。詳細については、「抑制ルール」を参照してください。

信頼できる IP リスト

環境との AWS 非常に安全な通信のための信頼された IP アドレスのリスト。 は、信頼された IP GuardDuty リストに基づいて検出結果を生成しません。詳細については、「信頼できる IP リストと 脅威リストの使用」を参照してください。

脅威 IP リスト

悪意のある既知の IP アドレスのリスト は、疑わしい可能性のあるアクティビティが原因で検出結果を生成するだけでなく、これらの脅威リストに基づいて検出結果 GuardDuty も生成します。詳細については、「信頼できる IP リストと 脅威リストの使用」を参照してください。