GuardDuty 基礎データソース

GuardDuty は、基本的なデータソースを使用して、既知の悪意のあるドメインや IP アドレスとの通信を検出し、潜在的に異常な動作や不正なアクティビティを特定します。これらのソースから への転送中は GuardDuty、すべてのログデータが暗号化されます。 GuardDuty は、プロファイリングと異常検出のためにこれらのログソースからさまざまなフィールドを抽出し、これらのログを破棄します。

リージョンで GuardDuty 初めて を有効にすると、すべての基本的なデータソースの脅威検出を含む 30 日間の無料トライアルがあります。この無料トライアルでは、基本的なデータソースごとに分類された推定月間使用量をモニタリングできます。委任された GuardDuty 管理者アカウントとして、組織に属するメンバーアカウントごとに分割され、 が有効になっている推定月額使用コストを表示できます GuardDuty。30 日間のトライアルが終了したら、 を使用して使用コスト AWS Billing に関する情報を得ることができます。

これらの基本的なデータソースから がイベントとログ GuardDuty にアクセスする場合、追加料金は発生しません。

GuardDuty で を有効にすると AWS アカウント、次のセクションで説明するログソースのモニタリングが自動的に開始されます。これらのデータソースの分析と処理を開始 GuardDuty して、関連するセキュリティ検出結果を生成するために、 を他に有効にする必要はありません。

AWS CloudTrail 管理イベント

AWS CloudTrail は、、、 AWS Management Console AWS SDKsコマンドラインツール、および特定の AWS サービスを使用して行われた呼び出しを含む、アカウントのAPI呼び出しの AWS API履歴を提供します。 CloudTrail また、 をサポートするサービスに対して呼び出された AWS APIsユーザーとアカウント CloudTrail、呼び出し元の IP アドレス、呼び出しが呼び出された時刻を特定するのに役立ちます。詳細については、「AWS CloudTrail ユーザーガイド」の「AWS CloudTrailとは」を参照してください。

GuardDuty は、コントロールプレーンイベントとも呼ばれる CloudTrail 管理イベントをモニタリングします。これらのイベントは、 のリソースで実行される管理オペレーションに関するインサイトを提供します AWS アカウント。

以下は、 が GuardDuty モニタリングする CloudTrail 管理イベントの例です。

• セキュリティの設定 (IAM AttachRolePolicyAPIオペレーション）

• ルーティングデータのルールの設定 (Amazon EC2CreateSubnetAPIオペレーション）

• ログ記録の設定 (AWS CloudTrail CreateTrail APIオペレーション）

を有効にすると GuardDuty、独立した重複したイベントのストリームを介して から CloudTrail CloudTrail管理イベントの消費を直接開始し、 CloudTrail イベントログを分析します。

GuardDuty は CloudTrail イベントを管理したり、既存の CloudTrail 設定に影響を与えたりしません。同様に、 CloudTrail の設定は、 がイベントログを GuardDuty 消費して処理する方法には影響しません。 CloudTrail イベントへのアクセスと保持を管理するには、 CloudTrail サービスコンソールまたは を使用しますAPI。詳細については、AWS CloudTrail 「 ユーザーガイド」の「イベント履歴を含む CloudTrail イベントの表示」を参照してください。

が AWS CloudTrail グローバルイベント GuardDuty を処理する方法

ほとんどの AWS サービスでは、 CloudTrail イベントは作成された AWS リージョン に記録されます。 AWS Identity and Access Management （IAM） AWS Security Token Service 、（AWS STS）、Amazon Simple Storage Service (Amazon S3)、Amazon 、Amazon Route 53 (Route 53) などのグローバルサービスの場合 CloudFront、イベントは、イベントが発生したリージョンでのみ生成されますが、グローバルに重要です。

が、ネットワーク設定やユーザーアクセス許可などのセキュリティ値を持つ CloudTrail グローバルサービスイベントを GuardDuty 消費すると、それらのイベントをレプリケートし、 を有効にした各リージョンで処理します GuardDuty。この動作は、各リージョンのユーザープロファイルとロールプロファイル GuardDuty を維持するのに役立ちます。これは、異常なイベントを検出するのに不可欠です。

で有効 AWS リージョン になっているすべての GuardDuty で を有効にすることを強くお勧めします AWS アカウント。これにより、アクティブに使用していない可能性のあるリージョンでも、不正または異常なアクティビティに関する結果 GuardDuty が生成されます。

VPC フローログ

Amazon のVPCフローログ機能は、 AWS 環境内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされたネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をVPCキャプチャします。

を有効にすると GuardDuty、アカウント内の Amazon EC2インスタンスからVPCフローログの分析がすぐに開始されます。VPC フローログの独立した重複ストリームを介してVPC、フローログ機能から直接フローログイベントを消費します。このプロセスによる既存のフローログ設定への影響はありません。

Lambda Protection

Lambda Protection は、Amazon に対するオプションの拡張機能です GuardDuty。現在、Lambda Network Activity Monitoring には、VPCネットワークを使用しないログであっても、アカウントのすべての Lambda 関数からの Amazon VPCフローログが含まれています。Lambda 関数を潜在的なセキュリティ脅威から保護するには、 GuardDuty アカウントで Lambda Protection を設定する必要があります。詳細については、「Lambda Protection」を参照してください。

GuardDuty ランタイムモニタリング

EC2 インスタンスのEKSランタイムモニタリングまたはランタイムモニタリングでセキュリティエージェント (手動または 経由 GuardDuty) を管理し、GuardDuty 現在 Amazon EC2インスタンスにデプロイされており、このインスタンス収集されたランタイムイベントタイプから を受け取った場合、 GuardDuty はこの Amazon EC2 インスタンスからのVPCフローログの分析 AWS アカウント に対して に課金しません。これにより、アカウントの 2 倍の使用コスト GuardDuty を回避できます。

GuardDuty はフローログを管理したり、アカウントでアクセスできるようにしたりしません。フローログへのアクセスと保持を管理するには、VPCフローログ機能を設定する必要があります。

Route53 Resolver DNSクエリログ

Amazon EC2インスタンスにリゾルバーを使用する場合 AWS DNS (デフォルト設定）、 GuardDuty は内部 AWS DNSリゾルバーを介してリクエストとレスポンスの Route53 Resolver DNSクエリログにアクセスして処理できます。OpenDNS や Google などの別のDNSリゾルバーを使用する場合DNS、または独自のDNSリゾルバーを設定した場合、 はこのデータソースからデータにアクセスして処理 GuardDuty することはできません。

を有効にすると GuardDuty、独立したデータストリームから Route53 Resolver DNSクエリログの分析がすぐに開始されます。このデータストリームは、Route 53 リゾルバークエリログ記録機能を通じて提供されるデータとは別のものです。この機能の設定は分析には影響 GuardDutyしません。

注記

GuardDuty は、 で起動された Amazon EC2インスタンスのモニタリングDNSログをサポートしていません。これは、 Amazon Route 53 Resolver クエリログ記録機能がその環境で使用できない AWS Outposts ためです。