でデータソースを使用する方法Amazon GuardDuty - Amazon GuardDuty

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

でデータソースを使用する方法Amazon GuardDuty

環境で許可されず、予期されないアクティビティを検出するために、AWS は GuardDuty イベントログ、VPC フローログ、および DNS ログを分析して処理し、AWS リソースタイプ (IAM アクセスキー、EC2 インスタンス、S3 バケット) に関連する異常を検出します。AWS CloudTrailこれらのデータソースから GuardDuty への通信中、ログデータはすべて暗号化されます。GuardDuty はこれらのログのさまざまなフィールドを抽出して、プロファイリングと異常の検出を行った後、ログを破棄します。

次のセクションでは、GuardDuty でサポートされている各データソースを使用する方法の詳細を説明します。

AWS CloudTrail イベントログ

AWS CloudTrail はアカウントの AWS API コールの履歴を提供します。履歴には、AWS マネジメントコンソール、AWS SDKs、コマンドラインツール、高レベルの AWS サービスを使用して実行された API コールが含まれます。CloudTrail では、AWS をサポートするサービス用に APIs を呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定することもできます。CloudTrail詳細については、「AWS CloudTrail User Guide」を参照してください。GuardDuty は、S3 の CloudTrail 管理イベントとオプションの CloudTrail データイベントの両方をモニタリングできます。

を有効にすると、GuardDuty イベントログの分析がすぐに開始されます。CloudTrailイベントの単独ストリームおよび重複ストリームを通じて、CloudTrail から直接 CloudTrail 管理イベントと S3 データイベントを使用します。は追加料金なしで GuardDuty イベントにアクセスできます。CloudTrail

GuardDuty は、CloudTrail イベントを管理したり、既存の CloudTrail 設定に影響を与えたりしません。イベントへのアクセスと保持期間を直接管理するには、CloudTrail サービスコンソールまたは API を使用する必要があります。CloudTrail詳細については、「 イベント履歴でのイベントの表示CloudTrail」を参照してください。

が GuardDuty グローバルイベントを処理する方法AWS CloudTrail

GuardDuty で CloudTrail をデータソースとして使用する場合のもう一つの重要な点は、CloudTrail のグローバルイベントの取扱いと処理です。ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。AWS IAM、AWS STS、S3、Amazon CloudFront、および Route 53 などのグローバルサービスの場合、イベントはグローバルサービスが含まれた任意の証跡に配信され、発生した場所は 米国東部(バージニア北部) リージョンであるとログに記録されます。詳細については、「グローバルサービスイベントについて.」を参照してください。

GuardDuty は、CloudTrail がすべてのリージョンに送信するグローバルイベントを含む、リージョンに届くすべてのイベントを処理します。これにより、GuardDuty は各リージョンでユーザーとロールプロファイルを維持し、悪意のある認証情報をリージョン間で確実に検出できます。

GuardDuty は、サポートされているすべての AWS リージョンで有効にすることを強くお勧めします。このように設定することで、お客様が能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます。また、GuardDuty では、グローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。

AWS CloudTrail 管理イベント

管理イベントは、コントロールプレーンイベントとも呼ばれ、AWS アカウントのリソースで実行される管理オペレーションについての洞察を提供します。で処理できる CloudTrail 管理イベントの例をいくつか以下に示します。GuardDuty

以下は、CloudTrail でモニタリングする GuardDuty 管理イベントの例です。
  • セキュリティの設定 (IAM AttachRolePolicy API オペレーション)

  • データのルーティングに関するルールの設定 (Amazon EC2 CreateSubnet API オペレーション)

  • ログ記録の設定 (AWS CloudTrail CreateTrail API オペレーション)

AWS CloudTrail S3 データイベント

データイベント (データプレーンオペレーションとも呼ばれます) は、リソース上またはリソース内で実行されたリソースオペレーションについての洞察を提供します。それらは、多くの場合、高ボリュームのアクティビティです。

が監視できる CloudTrail S3 データイベントの例を以下に示します。GuardDuty

GetObject、ListObjects、DeleteObject、および PutObject API オペレーション。

新しいアカウントでは、GuardDuty で始まる S3 データイベントのモニタリングがデフォルトで有効になっています。S3 データイベントのモニタリング前に GuardDuty の使用をすでに開始していたアカウントは、このデータソースを有効にするためにオプトインする必要があります。このデータソースはオプションであり、任意のアカウントまたはリージョンに対していつでも有効または無効にできます。S3 をデータソースとして設定する方法の詳細については、「での Amazon S3保護Amazon GuardDuty」を参照してください。

VPC フローログ

VPC フローログは、Amazon EC2 のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャします。詳細については、「VPC フローログ.」を参照してください。

GuardDuty を有効にすると、ただちに VPC フローログのデータの分析が開始されます。フローログの単独ストリームおよび重複ストリームの VPC フローログ機能から直接 VPC フローログイベントを使用します。このプロセスによる既存のフローログ設定への影響はありません。

GuardDuty はフローログを管理しません。また、アカウントによるフローログへのアクセスを可能にすることはありません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。

フローログへの GuardDuty アクセスには追加料金はかかりません。ただし、保持するフローログを有効にするか、アカウントで使用した場合は、既存の料金表が適用されます。詳細については、「VPC フローログ.」を参照してください。

DNS ログ

EC2 インスタンスで AWS DNS リゾルバーを使用している場合 (デフォルト設定)、GuardDuty は、内部の AWS DNS リゾルバーを介して、リクエストと応答の DNS ログにアクセスして処理することができます。サードパーティーの DNS リゾルバー (OpenDNS、GoogleDNS など) を使用している場合、または独自の DNS リゾルバーを設定している場合、GuardDuty はこのデータソースからデータにアクセスして処理することはできません。