基礎データソース - Amazon GuardDuty
AWS CloudTrail イベントログAWS CloudTrail 管理イベントVPC Flow LogsDNS ログ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

基礎データソース

GuardDuty 基礎となるデータソースを使用して、既知の悪質なドメインや IP アドレスとの通信を検出し、異常な動作を特定します。これらのソースからへの転送中 GuardDuty、ログデータはすべて暗号化されます。 GuardDutyプロファイリングや異常検出のためにこれらのログソースからさまざまなフィールドを抽出し、これらのログを破棄します。

以下のセクションでは、 GuardDuty サポートされている各データソースの使用方法について説明します。 GuardDuty で有効にすると AWS アカウント、 GuardDuty これらのログソースの監視が自動的に開始されます。

AWS CloudTrail イベントログ

AWS CloudTrail 、 AWS SDK、コマンドラインツール、 AWS および特定のサービスを使用して行われた API 呼び出しを含む、アカウントの API 呼び出しの履歴が表示されます。 AWS AWS Management Console CloudTrail また、 AWS サポートしているサービスの API を呼び出したユーザーやアカウント CloudTrail、呼び出しが呼び出されたソース IP アドレス、呼び出しが呼び出された時刻を特定するのにも役立ちます。詳細については、「AWS CloudTrail ユーザーガイド」の「AWS CloudTrailとは」を参照してください。

GuardDuty また、管理イベントも監視します CloudTrail 。有効にすると GuardDuty、 CloudTrail CloudTrail 独立した重複したイベントストリームを通じて管理イベントを直接消費し始め、イベントログを分析します CloudTrail 。 GuardDuty に記録されたイベントにアクセスしても、追加料金は発生しません。 CloudTrail

GuardDuty CloudTrail イベントを管理したり、 CloudTrail 既存の設定に影響を与えたりすることはありません。同様に、 CloudTrail GuardDuty 設定はイベントログの使用方法や処理方法には影響しません。 CloudTrail イベントのアクセスと保存を管理するには、 CloudTrail サービスコンソールまたは API を使用してください。詳細については、AWS CloudTrail ユーザーガイドの CloudTrail イベント履歴によるイベントの表示」を参照してください。

GuardDuty AWS CloudTrail グローバルイベントの処理方法

AWS ほとんどのサービスでは、 CloudTrail AWS リージョン イベントは作成された場所に記録されます。 AWS Identity and Access Management (IAM)、()、 AWS Security Token Service Amazon Simple Storage Service (Amazon S3)、Amazon、Amazon CloudFront、Amazon Route 53 (Route 53) などのグローバルサービスの場合、イベントは発生したリージョンでのみ生成されますが、イベントにはグローバルな意味があります。AWS STS

GuardDuty CloudTrail がネットワーク設定やユーザー権限などのセキュリティ上の価値を持つグローバルサービスイベントを消費すると、それらのイベントが複製され、有効になっている各リージョンで処理されます。 GuardDutyこの動作は、異常イベントの検出に不可欠な、 GuardDuty 各リージョンのユーザーとロールのプロファイルを管理するのに役立ちます。

GuardDuty AWS リージョン で有効になっているすべての機能を有効にすることを強くお勧めします。 AWS アカウントこれにより、 GuardDuty あまり使用していない地域でも、不正なアクティビティや異常なアクティビティに関する調査結果を得ることができます。

AWS CloudTrail 管理イベント

管理イベントは、コントロールプレーンイベントとも呼ばれます。これらのイベントは、 AWS アカウント内のリソースに対して実行される管理操作に関する洞察を提供します。

CloudTrail GuardDuty監視する管理イベントの例を以下に示します。

  • セキュリティの設定 (IAM AttachRolePolicy API オペレーション)

  • データをルーティングするルールの設定 (Amazon EC2 CreateSubnet API オペレーション)

  • ロギングの設定 (AWS CloudTrail CreateTrailAPI オペレーション)

VPC Flow Logs

Amazon VPC の VPC フローログ機能は、環境内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続されたネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャします。 AWS

有効にすると GuardDuty、アカウント内の Amazon EC2 インスタンスからの VPC フローログの分析がすぐに開始されます。GuardDuty は、フローログの単独ストリームおよび重複ストリームを通じて、VPC フローログ機能から直接、VPC フローログイベントを消費します。このプロセスによる既存のフローログ設定への影響はありません。

GuardDuty Lambda 保護

Lambda プロテクションは Amazon のオプション機能強化です。 GuardDuty現在、Lambda Network Activity Monitoring には、VPC ネットワークを使用しないログも含め、アカウントのすべての Lambda 関数からの Amazon VPC フローログが含まれています。Lambda 関数を潜在的なセキュリティ脅威から保護するには、アカウントに Lambda Protection を設定する必要があります。 GuardDuty 詳細については、「GuardDuty Lambda 保護」を参照してください。

GuardDuty ランタイム監視

EC2 インスタンス用の EKS ランタイムモニタリングまたは Runtime Monitoring でセキュリティエージェントを (手動または経由で GuardDuty) 管理しGuardDuty 、現在 Amazon EC2 インスタンスにデプロイされ、収集されたランタイムイベントタイプ GuardDuty このインスタンスからセキュリティエージェントを受信した場合、この Amazon AWS アカウント EC2 インスタンスからの VPC フローログの分析には料金はかかりません。これにより、アカウントの使用コストが 2 GuardDuty 倍になるのを防ぐことができます。

GuardDuty フローログを管理したり、アカウントからアクセスできるようにしたりすることはありません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。

DNS ログ

Amazon EC2 インスタンスに AWS DNS リゾルバーを使用する場合(デフォルト設定)、内部 AWS DNS リゾルバーを介してリクエストとレスポンス DNS GuardDuty ログにアクセスして処理できます。OpenDNS や GoogleDNS などの別の DNS リゾルバーを使用している場合、または独自の DNS リゾルバーを設定している場合、 GuardDuty このデータソースのデータにアクセスして処理することはできません。

有効にすると GuardDuty、独立したデータストリームからの DNS ログの分析がすぐに開始されます。このデータストリームは、Route 53 リゾルバークエリログ記録機能を通じて提供されるデータとは別のものです。 GuardDutyこの機能の設定は分析には影響しません。

注記

GuardDuty は、起動した Amazon EC2 インスタンスの DNS ログのモニタリングをサポートしていません。これは、 AWS Outposts Amazon Route 53 Resolver その環境ではクエリロギング機能が使用できないためです。