Amazon GuardDuty でデータソースを使用する方法を説明します。 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon GuardDuty でデータソースを使用する方法を説明します。

不正なアクティビティや予期しないアクティビティを検出するにはAWS環境では、GuardDuty はAWS CloudTrailイベントログ、VPC フローログ、DNS ログで、以下の異常を検出できます。AWSリソースタイプ: IAM アクセスキー、EC2 インスタンス、S3 バケット これらのデータソースから GuardDuty への通信中は、ログデータはすべて暗号化されます。GuardDuty はこれらのログのさまざまなフィールドを抽出して、プロファイリングと異常の検出を行った後、ログを破棄します。

次のセクションでは、GuardDuty でサポートされている各データソースを使用する方法の詳細を説明します。

AWS CloudTrailイベントログ

AWS CloudTrail は、アカウントの AWS API コールの履歴を提供します。履歴には、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、高レベルの AWS サービスを使用した API コールが含まれます。CloudTrail では、どのユーザーやアカウントをAWSCloudTrail をサポートするサービス用の API、呼び出し元のソース IP アドレス、および呼び出しの発生日時です。詳細については、AWS CloudTrail ユーザーガイドを参照してください。GuardDuty は、CloudTrail 管理イベントと、オプションで S3 の CloudTrail データイベントの両方を監視できます。

GuardDuty を有効にすると、ただちに CloudTrail イベントログの分析が開始されます。これは、CloudTrail 管理イベントと S3 データイベントを CloudTrail から直接消費します。GuardDuty イベントへのアクセスには追加料金はかかりません。

GuardDuty は CloudTrail イベントを管理したり、既存の CloudTrail 設定に影響を与えたりしません。CloudTrail イベントのアクセスと保持を直接管理するには、CloudTrail サービスコンソールまたは API を使用する必要があります。詳細については、「」を参照してください。CloudTrail イベント履歴でのイベントの表示

GuardDuty の処理方法AWS CloudTrailグローバルイベント

GuardDuty で CloudTrail をデータソースとして使用する場合のもう一つの重要な点は、CloudTrail のグローバルイベントの取扱いと処理です。ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。などのグローバルサービスの場合AWSIAM,AWSSTS、S3、Amazon CloudFront や Route 53 では、イベントはグローバルサービスが含まれた任意の証跡に配信され、発生した場所は米国東部 (バージニア北部) リージョンであるとログに記録されます。詳細については、「グローバルサービスイベントについて」を参照してください。

GuardDuty は、CloudTrail がすべてのリージョンに送信するグローバルイベントを含む、リージョンに届くすべてのイベントを処理します。これにより、GuardDuty は各リージョンでユーザーとロールプロファイルを維持し、悪意のある認証情報をリージョン間で確実に検出できます。

サポートされているすべての GuardDuty を有効にすることを強くお勧めします。AWS[リージョン] こうすることで、お客様が能動的に使用していないリージョンでも、GuardDuty が許可されていないアクティビティや異常なアクティビティに関する検索結果をで生成できます。これにより、GuardDutyが監視することもできますAWSグローバルの CloudTrail イベントAWSのサービス。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。

AWS CloudTrail管理イベント

管理イベントはコントロールプレーンイベントとも呼ばれ、AWSアカウント. 次に、GuardDuty で処理できる CloudTrail 管理イベントの例をいくつか示します。

以下は、GuardDuty が監視する CloudTrail 管理イベントの例です。
  • セキュリティの設定 (IAM AttachRolePolicy API オペレーション)

  • データをルーティングするルールの設定 (Amazon EC2 CreateSubnet API オペレーション)

  • ログ記録のセットアップ (AWS CloudTrailCreateTrail API オペレーション

AWS CloudTrailS3 データイベント

データイベントはデータプレーンオペレーションとも呼ばれ、リソース上またはリソース内で実行されたリソースオペレーションについての洞察が得られます。彼らはしばしば高ボリュームのアクティビティです。

以下は、GuardDuty が監視できる CloudTrail S3 データイベントの例です。

オブジェクトのGetObject、ListObjects、DeleteObject、および PutObject API の操作です。

S3 データイベント監視は、GuardDuty で始まる新しいアカウントに対してデフォルトで有効になっています。S3 データイベント監視の前に既に GuardDuty の使用を開始していたアカウントは、このデータソースを有効にするためにオプトインする必要があります。このデータソースはオプションで、任意のアカウント (地域) に対していつでも有効または無効にできます。S3 をデータソースとして設定する方法の詳細については、Amazon ガードデューティにおける Amazon S3 保護

VPC フローログ

VPC フローログは、VPC の Amazon EC2 ネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャします。詳細については、「VPC フローログ」を参照してください。

GuardDuty を有効にすると、ただちに VPC フローログのデータの分析が開始されます。フローログの単独ストリームおよび重複ストリームの VPC フローログ機能から直接 VPC フローログイベントを使用します。このプロセスによる既存のフローログ設定への影響はありません。

GuardDuty は、フローログを管理しません。また、アカウントによるフローログへのアクセスを可能にすることはありません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。

フローログへの GuardDuty アクセスには追加料金はかかりません。ただし、保持するフローログを有効にするか、アカウントで使用した場合は、既存の料金表が適用されます。詳細については、「VPC フローログ」を参照してください。

DNS ログ

♪AWSEC2 インスタンスの DNS リゾルバー (デフォルト設定)。その後、GuardDuty は、内部のAWSDNS リゾルバーです。サードパーティの DNS リゾルバー (例:OpenDNS または GoogleDNS) を使用している場合、または独自の DNS リゾルバーを設定している場合は、GuardDuty でこのデータソースからデータにアクセスしたり処理したりすることはできません。

GuardDuty を有効にすると、独立したデータストリームから DNS ログの分析がすぐに開始されます。このデータストリームは、Route 53 Resolver クエリのログ記録機能を使用する場合、この機能の設定は GuardDuty 解析には影響しません。