基礎データソース - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

基礎データソース

GuardDuty は、基本的なデータソースを使用して、既知の悪意のあるドメインや IP アドレスとの通信を検出し、潜在的に異常な動作や不正なアクティビティを特定します。これらのソースから への転送中に GuardDuty、すべてのログデータが暗号化されます。 GuardDuty は、プロファイリングと異常検出のためにこれらのログソースからさまざまなフィールドを抽出し、これらのログを破棄します。

リージョンで GuardDuty 初めて を有効にすると、すべての基本的なデータソースの脅威検出を含む 30 日間の無料トライアルがあります。この無料トライアル中およびそれ以降は、 GuardDuty コンソールの使用状況ページで、推定月間使用量をデータソース別に分類してモニタリングできます。委任された GuardDuty 管理者アカウントとして、 を有効にした組織のメンバーアカウント別に分類された推定月額使用コストを表示できます GuardDuty。

GuardDuty で を有効にすると AWS アカウント、次のセクションで説明するログソースのモニタリングが自動的に開始されます。がこれらのデータソースの分析と処理を開始 GuardDuty して関連するセキュリティ検出結果を生成するために、他のものを有効にする必要はありません

AWS CloudTrail イベントログ

AWS CloudTrail は AWS Management Console、、 SDK、コマンドラインツール、特定の AWS サービスを使用して行われた AWS API コールなど、 アカウントの API コールの履歴を提供します。 CloudTrail また、 は、 をサポートするサービスの AWS APIs を呼び出したユーザーとアカウント CloudTrail、呼び出し元の IP アドレス、呼び出しが呼び出された時刻を特定するのにも役立ちます。 AWS SDKs 詳細については、「AWS CloudTrail ユーザーガイド」の「AWS CloudTrailとは」を参照してください。

GuardDuty は CloudTrail 管理イベントもモニタリングします。を有効にすると GuardDuty、イベントの独立した重複ストリーム CloudTrail を介して から直接 CloudTrail 管理イベントの使用が開始され、 CloudTrail イベントログが分析されます。が に記録されたイベント GuardDuty にアクセスする場合、追加料金は発生しません CloudTrail。

GuardDuty は CloudTrail イベントを管理したり、既存の CloudTrail 設定に影響を与えたりしません。同様に、 CloudTrail 設定は がイベントログを GuardDuty 消費して処理する方法には影響しません。 CloudTrail イベントへのアクセスと保持を管理するには、 CloudTrail サービスコンソールまたは API を使用します。詳細については、「 AWS CloudTrail ユーザーガイド」の「イベント履歴を含む CloudTrail イベントの表示」を参照してください。

が AWS CloudTrail グローバルイベント GuardDuty を処理する方法

ほとんどの AWS サービスでは、 CloudTrail イベントは作成された AWS リージョン に記録されます。 AWS Identity and Access Management (IAM) AWS Security Token Service 、 (AWS STS)、Amazon Simple Storage Service (Amazon S3) CloudFront、Amazon 、Amazon Route 53 (Route 53) などのグローバルサービスでは、イベントは発生したリージョンでのみ生成されますが、グローバルに重要です。

は、ネットワーク設定やユーザーアクセス許可などのセキュリティ値を持つ CloudTrail グローバルサービスイベントを GuardDuty 消費し、それらのイベントをレプリケートして、 を有効にした各リージョンで処理します GuardDuty。この動作は、各リージョンのユーザープロファイルとロールプロファイル GuardDuty を維持するのに役立ちます。これは、異常なイベントを検出するのに不可欠です。

で有効 AWS リージョン になっているすべての GuardDuty で を有効にすることを強くお勧めします AWS アカウント。これにより、アクティブに使用していない可能性のあるリージョンでも、不正または異常なアクティビティに関する検出結果 GuardDuty が生成されます。

AWS CloudTrail 管理イベント

管理イベントは、コントロールプレーンイベントとも呼ばれます。これらのイベントは、 AWS アカウントのリソースで実行される管理オペレーションに関するインサイトを提供します。

以下は、 がモニタリングする CloudTrail GuardDuty管理イベントの例です。
  • セキュリティの設定 (IAM AttachRolePolicy API オペレーション)

  • データをルーティングするルールの設定 (Amazon EC2 CreateSubnet API オペレーション)

  • ログ記録の設定 (AWS CloudTrail CreateTrail API オペレーション)

VPC Flow Logs

Amazon VPC の VPC フローログ機能は、 AWS 環境内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされたネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャします。

を有効にすると GuardDuty、アカウント内の Amazon EC2 インスタンスから VPC フローログの分析がすぐに開始されます。GuardDuty は、フローログの単独ストリームおよび重複ストリームを通じて、VPC フローログ機能から直接、VPC フローログイベントを消費します。このプロセスによる既存のフローログ設定への影響はありません。

GuardDuty Lambda 保護

Lambda Protection は、Amazon に対するオプションの強化です GuardDuty。現在、Lambda Network Activity Monitoring には、VPC ネットワークを使用しないログも含め、アカウントのすべての Lambda 関数からの Amazon VPC フローログが含まれています。Lambda 関数を潜在的なセキュリティ脅威から保護するには、 GuardDuty アカウントで Lambda Protection を設定する必要があります。詳細については、「GuardDuty Lambda 保護」を参照してください。

でのランタイムモニタリング GuardDuty

EC2 インスタンスの EKS Runtime Monitoring または Runtime Monitoring でセキュリティエージェントを (手動または を介して GuardDuty) 管理し、現在 Amazon EC2 インスタンスにデプロイされ、このインスタンス収集されたランタイムイベントタイプから を受け取った場合、 GuardDuty はこの Amazon EC2 インスタンスからの VPC フローログの分析 AWS アカウント に対して に課金 GuardDuty しません。これにより、アカウントの 2 倍の使用コスト GuardDuty を回避できます。

GuardDuty は、フローログを管理したり、アカウントでアクセスできるようにしたりしません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。

DNS ログ

Amazon EC2 インスタンスに AWS DNS リゾルバーを使用する場合 (デフォルト設定)、 GuardDuty は内部 DNS リゾルバーを介してリクエストとレスポンスの AWS DNS ログにアクセスして処理できます。OpenDNS や GoogleDNS などの別の OpenDNS リゾルバーを使用する場合、または独自の DNS リゾルバーを設定した場合、 はこのデータソースのデータにアクセスして処理 GuardDuty することはできません。 GoogleDNS

を有効にすると GuardDuty、すぐに独立したデータストリームから DNS ログの分析が開始されます。このデータストリームは、Route 53 リゾルバークエリログ記録機能を通じて提供されるデータとは別のものです。この機能の設定は分析には影響 GuardDutyしません。

注記

GuardDuty は、 で起動された Amazon EC2 インスタンスの DNS ログのモニタリングをサポートしていません。これは、 Amazon Route 53 Resolver クエリログ記録機能がその環境で使用できない AWS Outposts ためです。