方法 Amazon GuardDuty データ ソースを使用 - Amazon GuardDuty

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

方法 Amazon GuardDuty データ ソースを使用

未承認および予期しないアクティビティを AWS 環境、 GuardDuty データを分析および処理します。 AWS CloudTrail イベントログ、VPCフローログ、DNSログを使用して、次のAWSリソースタイプに関連する異常を検出します。IAMアクセスキー、EC2インスタンス、およびS3バケット。これらのデータソースから GuardDuty への通信中、ログデータはすべて暗号化されます。GuardDuty はこれらのログのさまざまなフィールドを抽出して、プロファイリングと異常の検出を行った後、ログを破棄します。

次のセクションでは、GuardDuty でサポートされている各データソースを使用する方法の詳細を説明します。

AWS CloudTrail イベントログ

AWS CloudTrail は、アカウントの AWS API コールの履歴を提供します。履歴には、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、高レベルの AWS サービスを使用した API コールが含まれます。CloudTrail では、CloudTrail をサポートするサービス用に AWS API を呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定することもできます。詳細については、 AWS CloudTrail User Guide。 GuardDuty 両方をモニターできる CloudTrail 管理イベント、オプション CloudTrail S3のデータイベント。

設定を有効にすると、 GuardDutyすぐに分析を開始します。 CloudTrail イベントログ。消費する CloudTrail S3データイベントを直接 CloudTrail 独立した重複するイベントストリームを通じて 追加料金はありません。 GuardDuty アクセスする CloudTrail イベント。

GuardDuty はあなたの CloudTrail または既存の CloudTrail 構成に導入できます。お客様のアクセスと保持を管理するため CloudTrail 直接 CloudTrail サービスコンソールまたはAPI。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

方法 GuardDuty ハンドル AWS CloudTrail グローバルイベント

GuardDutyによるデータソースとしてのCloudTrailの使用に関するもう1つの重要な詳細は、CloudTrailのグローバルイベントの取り扱いと処理です。ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。AWS IAM、AWS STS、S3、Amazon CloudFront、Route 53などのグローバルサービスの場合、イベントはグローバルサービスを含むあらゆるトレールに配信され、 米国東部(バージニア北部) 地域。詳細については、「グローバルサービスイベントについて」を参照してください。

GuardDuty は、CloudTrail がすべてのリージョンに送信するグローバルイベントを含む、リージョンに届くすべてのイベントを処理します。これにより、GuardDuty は各リージョンでユーザーとロールプロファイルを維持し、悪意のある認証情報をリージョン間で確実に検出できます。

GuardDuty は、サポートされているすべての AWS リージョンで有効にすることを強くお勧めします。このように設定することで、お客様が能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます。また、GuardDuty では、グローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。

AWS CloudTrail 管理イベント

管理イベントは、コントロールプレーンイベントとも呼ばれ、AWSアカウントのリソースで実行される管理操作に関する洞察を提供します。以下は、 CloudTrail 管理イベント GuardDuty プロセス:

以下は、 CloudTrail 管理イベント GuardDuty モニター:
  • セキュリティの設定(IAM AttachRolePolicy API操作)

  • データのルーティングルールの構成(Amazon EC2 CreateSubnet API操作)

  • ログの設定(AWS CloudTrail CreateTrail API操作)

AWS CloudTrail S3データイベント

データ・イベント(データ・プレーン・オペレーションとも呼ばれる)は、リソース上またはリソース内で実行されるリソース・オペレーションに関する洞察を提供します。多くの場合、大量の活動です。

以下は、 CloudTrail S3データイベント GuardDuty 以下を監視できます。

GetObject、ListObjects、DeleteObject、および PutObject API 操作。

S3データイベントモニタリングは、 GuardDuty. 既に使用を開始したアカウント GuardDuty S3データイベント監視の前に、このデータソースを有効にするためにオプトインする必要があります。このデータソースはオプションであり、任意のアカウント、または地域に対していつでも有効または無効にできます。S3 をデータ ソースとして構成する方法の詳細については、以下を参照してください。 での Amazon S3保護Amazon GuardDuty.

VPC フローログ

VPC フローログは、Amazon EC2 のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャします。詳細については、「VPC フローログ」を参照してください。

GuardDuty を有効にすると、ただちに VPC フローログのデータの分析が開始されます。フローログの単独ストリームおよび重複ストリームの VPC フローログ機能から直接 VPC フローログイベントを使用します。このプロセスによる既存のフローログ設定への影響はありません。

GuardDuty はフローログを管理しません。また、アカウントによるフローログへのアクセスを可能にすることはありません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。

フローログへの GuardDuty アクセスには追加料金はかかりません。ただし、保持するフローログを有効にするか、アカウントで使用した場合は、既存の料金表が適用されます。詳細については、「VPC フローログ」を参照してください。

DNS ログ

EC2 インスタンスで AWS DNS リゾルバーを使用している場合 (デフォルト設定)、GuardDuty は、内部の AWS DNS リゾルバーを介して、リクエストと応答の DNS ログにアクセスして処理することができます。サードパーティーの DNS リゾルバー (例: OpenDNS または GoogleDNS) を使用している場合、または独自の DNS リゾルバーを設定している場合は、GuardDuty でこのデータソースからデータにアクセスしたり処理したりすることはできません。