Amazon GuardDuty でデータソースを使用する方法を説明します。 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon GuardDuty でデータソースを使用する方法を説明します。

AWS 環境で許可されず、予期されないアクティビティを検出するために、GuardDuty は AWS CloudTrail イベントログ、VPC フローログおよび DNS ログを分析して処理して、次の AWS リソースタイプに関連する異常を検出します。IAM アクセスキー、EC2 インスタンス、S3 バケット これらのデータソースから GuardDuty への通信中は、ログデータはすべて暗号化されます。GuardDuty はこれらのログのさまざまなフィールドを抽出して、プロファイリングと異常の検出を行った後、ログを破棄します。

次のセクションでは、GuardDuty でサポートされている各データソースを使用する方法の詳細を説明します。

AWS CloudTrail イベントログ

AWS CloudTrail は、アカウントの AWS API の呼び出し履歴を提供します。履歴には、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、高レベルの AWS サービスを使用した API の呼び出しが含まれます。CloudTrail では、CloudTrail をサポートするサービス用に AWS API を呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定することもできます。詳細については、AWS CloudTrail ユーザーガイドを参照してください。GuardDuty は、CloudTrail 管理イベントと、オプションで S3 の CloudTrail データイベントの両方を監視できます。

GuardDuty を有効にすると、ただちに CloudTrail イベントログの分析が開始されます。また、イベントの単独ストリームおよび重複ストリームを介して、CloudTrail から S3 データイベントを使用します。CloudTrail イベントへのアクセスには追加料金はかかりません。

GuardDuty は CloudTrail イベントを管理したり、既存の CloudTrail 設定に影響を与えたりしません。CloudTrail イベントのアクセスと保持を直接管理するには、CloudTrail サービスコンソールまたは API を使用する必要があります。詳細については、「」を参照してください。CloudTrail イベント履歴でのイベントの表示

GuardDuty が AWS CloudTrail グローバルイベントを処理する方法

GuardDuty で CloudTrail をデータソースとして使用する場合のもう一つの重要な点は、CloudTrail のグローバルイベントの取扱いと処理です。ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。AWS IAM、AWS STS、S3、Amazon CloudFront や Route 53 などのグローバルサービスの場合、イベントはグローバルサービスが含まれた任意の証跡に配信され、発生した場所が米国東部 (バージニア北部) リージョンであるとログに記録されます。詳細については、「グローバルサービスイベントについて」を参照してください。

GuardDuty は、CloudTrail がすべてのリージョンに送信するグローバルイベントを含む、リージョンに届くすべてのイベントを処理します。これにより、GuardDuty は各リージョンでユーザーとロールプロファイルを維持し、悪意のある認証情報をリージョン間で確実に検出できます。

サポートされているすべての AWS リージョンで GuardDuty を有効にすることを強くお勧めします。こうすることで、お客様が能動的に使用していないリージョンでも、GuardDuty が許可されていないアクティビティや異常なアクティビティに関する検索結果を生成できます。また、これにより、グローバルGuardDuty AWS のサービスについても AWS CloudTrail イベントをモニタリングできます。サポートされているすべてのリージョンで GuardDuty が有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。

AWS CloudTrail マネジメントイベント

管理イベントはコントロールプレーンイベントとも呼ばれ、AWS アカウントのリソースで実行される管理オペレーションについての洞察が得られます。次に、GuardDuty で処理できる CloudTrail 管理イベントの例をいくつか示します。

次に、GuardDuty がモニタリングする CloudTrail 管理イベントの例を示します。
  • セキュリティの設定 (IAM AttachRolePolicy API オペレーション)

  • データをルーティングするルールの設定 (Amazon EC2 CreateSubnet API オペレーション)

  • ログ記録の設定 (AWS CloudTrail API オペレーション)

AWS CloudTrail S3 データイベント

データイベントは、データプレーンオペレーションとも呼ばれ、リソース上またはリソース内で実行されたリソースオペレーションについての洞察が得られます。彼らは多くの場合、高ボリュームのアクティビティです。

以下は、GuardDuty が監視できる CloudTrail S3 データイベントの例です。

オブジェクトのGetObject、ListObjects、DeleteObject、および PutObject API の操作です。

S3 データイベント監視は、GuardDuty で始まる新しいアカウントに対してデフォルトで有効になっています。S3 データイベント監視の前に既に GuardDuty の使用を開始していたアカウントは、このデータソースを有効にするためにオプトインする必要があります。このデータソースはオプションで、任意のアカウント (地域) に対していつでも有効または無効にできます。S3 をデータソースとして設定する方法の詳細については、」Amazon GuardDuty における Amazon S3 保護

VPC フローログ

VPC フローログは、VPC の Amazon EC2 ネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャします。詳細については、「VPC フローログ」を参照してください。

GuardDuty を有効にすると、ただちに VPC フローログのデータの分析が開始されます。フローログの単独ストリームおよび重複ストリームの VPC フローログ機能から直接 VPC フローログイベントを使用します。このプロセスによる既存のフローログ設定への影響はありません。

GuardDuty は、フローログを管理しません。また、アカウントによるフローログへのアクセスを可能にすることはありません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。

フローログへの GuardDuty アクセスには追加料金はかかりません。ただし、保持するフローログを有効にするか、アカウントで使用した場合は、既存の料金表が適用されます。詳細については、「VPC フローログ」を参照してください。

DNS ログ

EC2 インスタンスで AWS DNS リゾルバーを使用している場合 (デフォルト設定)、GuardDuty は、内部の AWS DNS リゾルバーを介して、リクエストと応答の DNS ログにアクセスして処理することができます。サードパーティの DNS リゾルバー (例:OpenDNS または GoogleDNS) を使用している場合、または独自の DNS リゾルバーを設定している場合は、GuardDuty でこのデータソースからデータにアクセスしたり処理したりすることはできません。