翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
検出結果のエクスポート
GuardDuty 生成された結果は 90 日間保持されます。 GuardDuty アクティブな結果を Amazon EventBridge (EventBridge) にエクスポートします。オプションで、生成された結果を Amazon Simple Storage Service (Amazon S3) バケットにエクスポートできます。これにより、アカウント内で疑わしいと思われるアクティビティの履歴データを追跡し、推奨される修復手順が成功したかどうかを評価できます。
新たに生成されたアクティブな検出結果は、 GuardDuty 検出結果の生成後約 5 分以内に自動的にエクスポートされます。アクティブな結果の更新をエクスポートする頻度を設定できます EventBridge。選択した頻度は EventBridge、S3 バケット (設定時) と Detective (統合時) への既存の結果の新規エクスポートに適用されます。 GuardDuty 複数の既存の検出結果を集計する方法については、を参照してください。GuardDuty アグリゲーションの検索
結果を Amazon S3 バケットにエクスポートするように設定すると、 AWS Key Management Service (AWS KMS) GuardDuty を使用して S3 バケット内の結果データを暗号化します。そのためには、S3 AWS KMS バケットとキーにアクセス権限を追加して、 GuardDuty それらを使用してアカウントに結果をエクスポートできるようにする必要があります。
コンテンツ
考慮事項
結果をエクスポートするための前提条件と手順に進む前に、以下の重要な概念を検討してください。
-
エクスポート設定は地域によって異なります。使用する各リージョンでエクスポートオプションを設定する必要があります。 GuardDuty
-
異なる AWS リージョン (クロスリージョン) の Amazon S3 バケットへの結果のエクスポート — GuardDuty 以下のエクスポート設定をサポートします。
-
Amazon S3 バケットまたはオブジェクト、 AWS KMS およびキーは同じものである必要があります AWS リージョン。
-
商業地域で生成された結果については、その結果を任意の商業地域の S3 バケットにエクスポートすることを選択できます。ただし、これらの結果をオプトインリージョンの S3 バケットにエクスポートすることはできません。
-
オプトインリージョンで生成された結果については、その結果を生成したのと同じオプトインリージョンにエクスポートするか、任意の商用リージョンにエクスポートするかを選択できます。ただし、あるオプトイン地域から別のオプトイン地域に調査結果をエクスポートすることはできません。
-
-
結果をエクスポートする権限 — アクティブな結果をエクスポートするための設定を行うには、S3 GuardDuty バケットにオブジェクトのアップロードを許可する権限が必要です。また、 AWS KMS GuardDuty 結果の暗号化に使用できるキーも必要です。
-
アーカイブされた結果はエクスポートされない — デフォルトの動作では、非表示になった結果の新しいインスタンスを含め、アーカイブされた結果はエクスポートされません。
アーカイブされた結果をエクスポートするには、アーカイブを解除する必要があります。これにより、ステータスが Active に変わります。エクスポート頻度に基づいて、結果は設定された S3 バケットにエクスポートされます。
-
GuardDuty 管理者アカウントは関連するメンバーアカウントで生成された結果をエクスポートできます — 管理者アカウントで結果のエクスポートを設定すると、同じリージョンで生成された関連メンバーアカウントのすべての結果も、管理者アカウントに設定したのと同じ場所にエクスポートされます。詳細については、「 GuardDuty 管理者アカウントとメンバーアカウントの関係について」を参照してください。
ステップ 1 — 調査結果をエクスポートするために必要な権限
結果をエクスポートするための設定を行うときは、 AWS KMS 結果とデータ暗号化に使用するキーを保存できる Amazon S3 バケットを選択します。結果をエクスポートするための設定を正常に構成するには、 GuardDuty アクションのアクセス権限に加えて、以下のアクションに対するアクセス権限も必要です。
-
s3: GetBucketLocation
-
S3: PutObject
ステップ 2 — KMS キーにポリシーをアタッチする
GuardDuty を使用してバケット内の結果データを暗号化します。 AWS Key Management Service設定を正常に構成するには、まず KMS GuardDuty キーを使用する許可を与える必要があります。KMS キーにポリシーを添付することで、許可を付与することができます。
別のアカウントの KMS キーを使用する場合は、 AWS アカウント そのキーを所有するアカウントにログインしてキーポリシーを適用する必要があります。結果をエクスポートするように設定を構成する場合、キーを所有するアカウントのキー ARN も必要になります。
KMS キーポリシーを変更して、 GuardDuty エクスポートした結果を暗号化するには
-
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
-
既存の KMS キーを選択するか、『AWS Key Management Service 開発者ガイド』の「新しいキーを作成する」の手順を実行して、エクスポートされた結果を暗号化します。
注記
KMS キーと Amazon S3 バケットは同じである必要があります。 AWS リージョン
同じ S3 バケットと KMS key pair を使用して、該当する任意のリージョンから結果をエクスポートできます。詳細については、「考慮事項リージョン間での結果のエクスポートについて」を参照してください。
-
[Key policy] (キーポリシー) セクションで、[Edit] (編集) を選択します。
[ポリシービューに切り替え] が表示されている場合は、そのビューを選択してキーポリシーを表示し、[編集] を選択します。
-
次のポリシーブロックを KMS キーポリシーにコピーして、 GuardDuty キーを使用する権限を付与します。
{ "Sid": "AllowGuardDutyKey", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "KMS key ARN", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012", "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID" } } } -
ポリシーの例で赤でフォーマットされている以下の値を置き換えてポリシーを編集します。-
KMS キー ARNを KMS キーのAmazon リソースネーム (ARN) に置き換えます。キー ARN を見つけるには、『AWS Key Management Service 開発者ガイド』の「キー ID と ARN の検索」を参照してください。 -
123456789012を、 AWS アカウント 結果をエクスポートするアカウントを所有する ID に置き換えてください。 GuardDuty -
Region2は結果を生成する場所に置き換えてください。 AWS リージョン GuardDuty -
SourceDetectorID は、に置き換えます。detectorIDGuardDuty 結果を生成した特定のリージョンのアカウントの IDアカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/
コンソールの「設定」ページを参照してください。 detectorId
注記
GuardDuty オプトイン地域で使用している場合は、「サービス」の値をその地域の地域エンドポイントに置き換えてください。たとえば、中東 (バーレーン) (me-south-1) GuardDuty リージョンで使用している場合は、に置き換えてください。
"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com"各オプトインリージョンのエンドポイントについて詳しくは、「エンドポイントとクォータ」を参照してください。GuardDuty -
-
ポリシーステートメントを最後のステートメントの前に追加した場合は、このステートメントを追加する前にカンマを追加してください。KMS キーポリシーの JSON 構文が有効であることを確認してください。
[保存] を選択します。
-
(オプション) キー ARN をメモ帳にコピーして、後の手順で使用できるようにします。
ステップ 3 — Amazon S3 バケットにポリシーをアタッチする
結果をエクスポートする Amazon S3 バケットにアクセス許可を追加して、この S3 バケットにオブジェクトをアップロードできるようにします。 GuardDuty 自分のアカウントまたは別のアカウントに属する Amazon S3 バケットを使用するかどうかに関係なく AWS アカウント、これらの権限を追加する必要があります。
任意の時点で結果を別の S3 バケットにエクスポートし、結果をエクスポートし続けるには、その S3 バケットにアクセス権限を追加し、エクスポート結果のエクスポート設定を再度設定する必要があります。
これらの結果をエクスポートする Amazon S3 バケットがまだない場合は、Amazon S3 ユーザーガイドの「バケットの作成」を参照してください。
S3 バケットポリシーにアクセス権限をアタッチするには
Amazon S3 ユーザーガイドの「バケットポリシーを作成または編集するには」の手順を、「バケットポリシーの編集」 ページが表示されるまで実行します。
-
サンプルポリシーは、結果を Amazon S3 GuardDuty バケットにエクスポートするアクセス権限を付与する方法を示しています。結果のエクスポートを設定した後でパスを変更した場合は、新しい場所にアクセス許可を付与するようにポリシーを変更する必要があります。
以下のサンプルポリシーをコピーして Bucket ポリシーエディタに貼り付けます。
最後のステートメントの前にポリシーステートメントを追加した場合は、このステートメントを追加する前にカンマを追加してください。KMS キーポリシーの JSON 構文が有効であることを確認してください。
S3 バケットポリシーの例
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGuardDutygetBucketLocation", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "Amazon S3 bucket ARN", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012", "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID" } } }, { "Sid": "AllowGuardDutyPutObject", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "Amazon S3 bucket ARN/[optional prefix]/*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012", "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID" } } }, { "Sid": "DenyUnencryptedUploadsThis is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "Amazon S3 bucket ARN/[optional prefix]/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "DenyIncorrectHeaderThis is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "Amazon S3 bucket ARN/[optional prefix]/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN" } } }, { "Sid": "DenyNon-HTTPS", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "Amazon S3 bucket ARN/[optional prefix]/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] } -
ポリシーの例で赤でフォーマットされている以下の値を置き換えてポリシーを編集します。-
Amazon S3 バケット ARN を Amazon S3 バケットのアマゾンリソースネーム(ARN) に置き換えます。バケット ARN は https://console.aws.amazon.com/s3/コンソールの「バケットポリシーの編集」ページにあります。 -
123456789012を、 AWS アカウント 結果をエクスポートするアカウントを所有する ID に置き換えます。 GuardDuty -
Region2は結果を生成する場所に置き換えてください。 AWS リージョン GuardDuty -
SourceDetectorID は、に置き換えます。detectorIDGuardDuty 結果を生成した特定のリージョンのアカウントの IDアカウントと現在の地域に合うものを見つけるには、https://console.aws.amazon.com/guardduty/
コンソールの「設定」ページを参照してください。 detectorId -
S3 バケット ARN/部分を、結果をエクスポートするオプションのフォルダーの場所に置き換えます。プレフィックスの使用の詳細については、Amazon S3 ユーザーガイドの「プレフィックスを使用したオブジェクトの整理」を参照してください。[オプションプレフィックス]プレースホルダー値の [オプションプレフィックス]GuardDutyまだ存在しないオプションのフォルダ場所を指定すると、S3 バケットに関連付けられているアカウントが結果をエクスポートするアカウントと同じ場合にのみ、その場所を作成します。結果を別のアカウントに属する S3 バケットにエクスポートする場合、そのフォルダの場所はすでに存在している必要があります。
-
KMS キー ARNを、S3 バケットにエクスポートされた結果の暗号化に関連付けられた KMS キーの Amazon リソースネーム (ARN) に置き換えます。キー ARN を見つけるには、『AWS Key Management Service 開発者ガイド』の「キー ID と ARN の検索」を参照してください。
注記
GuardDuty オプトインリージョンで使用している場合は、「サービス」の値をそのリージョンのリージョナルエンドポイントに置き換えてください。たとえば、中東 (バーレーン) (me-south-1) GuardDuty リージョンで使用している場合は、に置き換えてください。
"Service": "guardduty.amazonaws.com""Service": "guardduty.me-south-1.amazonaws.com"各オプトインリージョンのエンドポイントについて詳しくは、「エンドポイントとクォータ」を参照してください。GuardDuty -
-
[保存] を選択します。
ステップ 4-結果を S3 バケットにエクスポートする (コンソール)
GuardDuty AWS アカウント結果を別の既存のバケットにエクスポートできます。
新しい S3 バケットを作成したり、アカウント内の既存のバケットを選択したりするときに、オプションのプレフィックスを追加できます。エクスポート結果を設定するときに、結果を保存する新しいフォルダを S3 GuardDuty バケットに作成します。プレフィックスは、 GuardDuty 作成したデフォルトのフォルダ構造に追加されます。たとえば、/AWSLogs/オプションのプレフィックスの形式などです。123456789012/GuardDuty/Region
重要
KMS キーおよび S3 バケットは同じリージョンにある必要があります。
これらの手順を完了する前に、それぞれのポリシーを KMS キーと既存の S3 バケットにアタッチしていることを確認してください。
エクスポート結果を設定するには
https://console.aws.amazon.com/guardduty/ GuardDuty
でコンソールを開きます。 -
ナビゲーションペインで [設定] を選択します。
-
S3 バケットの [設定] ページの [結果のエクスポートオプション] で、[今すぐ設定] (または [必要に応じて [編集]) を選択します。
-
S3 バケット ARN には、を入力します。
bucket ARNバケット ARN を確認するには、Amazon S3 ユーザーガイドの 「S3 バケットのプロパティを表示する」を参照してください。https://console.aws.amazon.com/guardduty/コンソールの関連バケットのプロパティページの [権限] タブにあります。 -
KMS キー ARN には、を入力します。
key ARNキー ARN を見つけるには、『AWS Key Management Service 開発者ガイド』の「キー ID と ARN の検索」を参照してください。 ポリシーをアタッチします。
-
S3 バケットポリシーをアタッチする手順を実行します。詳細については、「ステップ 3 — Amazon S3 バケットにポリシーをアタッチする」を参照してください。
-
KMS キーポリシーをアタッチする手順を実行します。詳細については、「ステップ 2 — KMS キーにポリシーをアタッチする」を参照してください
-
-
保存を選択します。
ステップ 5 — 更新されたアクティブな結果をエクスポートする頻度の設定
更新されたアクティブな結果をエクスポートする頻度を、環境に応じて設定します。デフォルトでは、更新された検出結果は 6 時間ごとにエクスポートされます。つまり、最新のエクスポート後に更新された検出結果が、次のエクスポートに含まれます。更新された検出結果が 6 時間ごとにエクスポートされ、エクスポートが 12:00 に発生した場合、12:00 以降に更新した検出結果が 18:00 にエクスポートされます。
頻度を設定するには
https://console.aws.amazon.com/guardduty/ GuardDuty
でコンソールを開きます。 -
[設定] を選択します。
-
[Findings export options] (結果のエクスポートオプション) セクションで、[Frequency for updated findings] (更新された結果の頻度) を選択します。これにより、更新された Active の結果を Amazon S3 EventBridge の両方にエクスポートする頻度が設定されます。次から選択できます。
-
15 分ごとに S3 EventBridge を更新します。
-
1 EventBridge 時間おきに更新と S3 を更新
-
[Update CWE and S3 every 6 hours (default)] (CWE と S3 を 6 時間ごとに更新 (デフォルト))
-
-
[変更の保存] を選択します。
