基礎データソース - Amazon GuardDuty
AWS CloudTrail イベントログAWS CloudTrail 管理イベントVPC Flow LogsDNS ログ

基礎データソース

GuardDuty は基本的なデータソースを使用して、既知の悪質なドメインや IP アドレスとの通信を検出し、異常な動作を特定します。これらのソースから GuardDuty への通信中、ログデータはすべて暗号化されます。GuardDuty は、プロファイリングや異常の検出用のログソースから様々なフィールドを抽出して、これらのログを破棄します。

次のセクションでは、GuardDuty でサポートされている各データソースを使用する方法を説明します。AWS アカウント で GuardDuty を有効にすると、GuardDuty は自動的にこれらのログソースのモニタリングを開始します。

AWS CloudTrail イベントログ

AWS CloudTrail は、アカウントの AWS API コールの履歴を提供します。これには、AWS Management Console、AWS SDK、コマンドラインツール、特定の AWS のサービスを使用した API コールが含まれます。CloudTrail は、CloudTrail をサポートするサービス用の AWS API をどのユーザーとアカウントが呼び出したか、呼び出し元のソース IP アドレス、呼び出しの発生時間を特定するのにも役立ちます。詳細については、「AWS CloudTrail ユーザーガイド」の「AWS CloudTrail とは」を参照してください。GuardDuty は CloudTrail 管理イベントもモニタリングします。

GuardDuty を有効にすると、直ちに CloudTrail イベントログの分析が開始されます。CloudTrail 管理を CloudTrail から直接、独立イベントストリームと重複イベントストリームで消費します。GuardDuty で CloudTrail イベントへのアクセスには追加料金はかかりません。

GuardDuty は CloudTrail イベントを管理したり、いかなる方法にでも既存の CloudTrail 設定に影響を与えたりすることはありません。CloudTrail イベントのアクセスと保持を直接管理するには、CloudTrail サービスコンソールまたは API を使用する必要があります。詳細については、「CloudTrail Event 履歴でのイベントの表示」を参照してください。

GuardDuty が AWS CloudTrail グローバルイベントを処理する方法

GuardDuty が CloudTrail をデータソースとして使用する方法に関するもう 1 つの重要な点は、CloudTrail グローバルイベントの取扱いと処理です。ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。IAM、AWS Security Token Service、Amazon S3、Amazon CloudFront、Route 53 などのグローバルサービスに関して、イベントはグローバルサービスを含む追跡に配信され、米国東部 (バージニア北部) リージョンで発生したとログに記録します。詳細については、「About Global Service Events」(グローバルサービスイベントについて) を参照してください。

GuardDuty は、CloudTrail がすべてのリージョンに送信するグローバルイベントを含むリージョンに届くすべてのイベントを処理します。これにより、GuardDuty はリージョンこどにユーザープロファイルとロールプロファイルを維持し、リージョンを超えて使用される悪意のある認証情報を正確に検出できます。

AWS は、サポートされているすべてのリージョンで GuardDuty を有効にすることを強くお勧めします。このように設定することで、GuardDuty はアクティブに使用されていないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検出結果を生成できます。これにより、GuardDuty がグローバルな AWS のサービス用の AWS CloudTrail イベントをモニタリングできます。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。

AWS CloudTrail 管理イベント

管理イベントは、コントロールプレーンイベントとも呼ばれます。これらのイベントでは、AWS アカウントのリソースで実行される管理オペレーションについてのインサイトが得られます。

次は、GuardDuty がモニタリングする CloudTrail 管理イベントの例です。

  • セキュリティの設定 (IAM AttachRolePolicy API オペレーション)

  • データをルーティングするルールの設定 (Amazon EC2 CreateSubnet API オペレーション)

  • ログ記録の設定 (AWS CloudTrail CreateTrail API オペレーション)

VPC Flow Logs

Amazon VPC の VPC フローログ機能は、AWS 環境内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続されたネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャします。

GuardDuty を有効にすると、アカウント内の Amazon EC2 インスタンスからの VPC フローログの分析がすぐに開始されます。GuardDuty は、フローログの単独ストリームおよび重複ストリームを通じて、VPC フローログ機能から直接、VPC フローログイベントを消費します。このプロセスによる既存のフローログ設定への影響はありません。

GuardDuty Lambda Protection

Lambda Protection は Amazon GuardDuty の拡張機能です (オプション)。現在、Lambda Network Activity Monitoring には、VPC ネットワークを使用しないログも含め、アカウントのすべての Lambda 関数からの Amazon VPC フローログが含まれています。Lambda 関数を潜在的なセキュリティ脅威から保護するには、GuardDuty アカウントで Lambda 保護を設定する必要があります。詳細については、「GuardDuty Lambda Protection」を参照してください。

GuardDuty EKS Protection

アカウントの EKS Runtime Monitoring を有効にすると、GuardDuty は引き続き、アカウント内の EKS EC2 ノードからの VPC Flow Logs に基づいてセキュリティ検出結果の分析と生成を行います。これにより、GuardDuty は VPC フローログカバレッジに固有の脅威検出機能に基づくセキュリティカバレッジを引き続き提供できます。これにより、EKS Runtime Monitoring のカバレッジにギャップが生じた場合でも、GuardDuty が引き続き対応できるようになります。ただし、EKS EC2 ノードからの EKS Runtime Monitoring と VPC フローログモニタリングの両方とも請求されません。

GuardDuty が EKS EC2 ノードからランタイムイベントを受信している場合、インスタンスからの VPC フローログの分析については請求されません。また、GuardDuty が EKS EC2 ノードからランタイムイベントを受け取っていない場合、インスタンスからのランタイムイベントの分析については請求されません。

GuardDuty はフローログを管理したり、アカウントへのアクセスを可能にしたりしません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。

DNS ログ

Amazon EC2 インスタンス (デフォルト設定) で AWS DNS リゾルバーを使用している場合、GuardDuty は、内部の AWS DNS リゾルバーを介して、リクエストと応答の DNS ログにアクセスして処理することができます。OpenDNS や GoogleDNS などの別の DNS リゾルバーを使用している場合、または独自の DNS リゾルバーを設定している場合、GuardDuty は、このデータソースのデータにアクセスして処理できません。

GuardDuty を有効にすると、独立データストリームから DNS ログの分析がすぐに開始されます。このデータストリームは、Route 53 リゾルバークエリログ記録機能を通じて提供されるデータとは別のものです。この機能の設定は、GuardDuty の解析には影響しません。