GuardDuty の検出結果の形式
GuardDuty は AWS の環境内で不審な動作や予期しない動作を検出すると、検出結果を生成します。検出結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。「GuardDuty コンソールでの GuardDuty の検出結果の確認」には、何が起こったのか、不審なアクティビティに関与している AWS リソース、このアクティビティの発生日時に関する情報や、根本的な原因を理解するのに役立つ関連情報が含まれます。
検出結果の詳細で最も役立つ情報の 1 つは、[finding type] (結果タイプ) です。検出結果タイプの目的は、潜在的なセキュリティ問題について簡潔でわかりやすい説明を提供することです。例えば、GuardDuty の Recon:EC2/PortProbeUnprotectedPort 検出結果タイプは、AWS 環境の EC2 インスタンスに保護されていないポートがあり、これを攻撃者が見つけようとしていることを迅速に知らせます。
GuardDuty では、次のフォーマットを使って、生成するさまざまな検出結果タイプに名前を付けます。
ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact
このフォーマットの各部分は、検出結果タイプの特徴を表します。これらの特徴には、次のような説明があります。
-
ThreatPurpose - 攻撃型または潜在的な攻撃型の脅威の主な目的についての説明です。GuardDuty 脅威の目的の一覧表については、次のセクションを参照してください。
-
ResourceTypeAffected - この検出結果でどの AWS リソースが攻撃対象の候補として特定されたかを示します。現在、GuardDuty は「GuardDuty のアクティブな検出結果」にリストされているリソースタイプの検出結果を生成できます。
-
ThreatFamilyName - GuardDuty で検出された全体的な脅威または潜在的な悪意のあるアクティビティの説明です。例えば、NetworkPortUnusual の値は、GuardDuty の検出結果で識別された EC2 インスタンスに、識別された特定のリモートポートでの通信履歴がないことを示します。
-
DetectionMechanism - どの GuardDuty が検出結果を検出した方法を説明します。これは、一般的な検出結果タイプの変動や、GuardDuty が特定のメカニズムを使用して検出した検出結果を示すために使用できます。例えば、Backdoor:EC2/DenialOfService.Tcp は、TCP 上でサービス拒否 (DoS) が検出されたことを示します。UDP バリアントは Backdoor:EC2/DenialOfService.Udp です。
.Custom の値は、GuardDuty がカスタム脅威リストに基づいて検出結果を検出したことを示します。詳細については、「信頼できる IP と 脅威リスト」を参照してください。
.Reputation の値は、GuardDuty がドメインレピュテーションスコアモデルを使用して検出結果を検出したことを示します。詳細については、「How AWS tracks the cloud's biggest security threats and helps shut them down
」を参照してください。 -
Artifact - 悪意のあるアクティビティで使用されたツールが所有する特定のリソースを示します。例えば、検出結果タイプ CryptoCurrency:EC2/BitcoinTool.B!DNS の DNS は、Amazon EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを示します。
注記
Artifact はオプションであり、すべての GuardDuty 検出結果タイプで使用できるとは限りません。
脅威の目的
GuardDuty において、[threat purpose] (脅威の目的) は、攻撃型または潜在的な攻撃の段階など脅威の主な目的について説明します。例えば、バックドアなどの脅威の目的は、攻撃型であると示します。ただし、MITRE ATT&CK 戦術
- Backdoor
-
この値は、攻撃者が AWS リソースに侵入し、そのリソースを変更したので、ホームのコマンドアンドコントロール (C&C) サーバーに連絡でき、悪意のあるアクティビティを仕掛ける命令を受け取ることを示します。
- Behavior
-
この値は、GuardDutyは特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンを検出したことを示します。
- CredentialAccess
-
この値は、ユーザーの環境からパスワード、ユーザー名、アクセスキーなどの認証情報を盗むために攻撃者が使用する可能性のあるアクティビティパターンを GuardDuty が検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術
に基づいています。 - Cryptocurrency
-
この値は、GuardDuty がユーザーの環境の AWS リソースが、(ビットコインなどの) 暗号通貨に関連付けられたソフトウェアをホストしています。
- DefenseEvasion
-
この値は、ユーザーの環境に侵入している間、GuardDuty は攻撃者が検出を回避するために使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術
に基づいています。 - Discovery
-
この値は、GuardDuty がシステムおよび内部ネットワークに関する知識を拡張するために使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術
に基づいています。 - 実行
-
この値は、GuardDuty が、攻撃者が悪意のあるコードを実行しようとして (または既に実行して) AWS 環境を探索したり、データを盗んだりする可能性があることを検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術
に基づいています。 - Exfiltration
-
この値は、GuardDuty が環境からデータを盗もうとするときに攻撃者が使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術
に基づいています。 - Impact
-
この値は、GuardDuty がアクティビティまたはアクティビティパターンを検出することにより、ユーザーのシステムおよびデータを操作、中断、または破壊しようとしていることを示しています。この脅威の目的は、MITRE ATT&CK 戦術
に基づいています。 - InitialAccess
-
この値は、攻撃者がユーザーの環境へのアクセスを確立しようとするときの、攻撃の初期アクセス段階に一般的に関連しています。この脅威の目的は、MITRE ATT&CK 戦術
に基づいています。 - Pentest
-
AWS リソースの所有者や承認された担当者は、オープンなセキュリティグループや安全性の低いアクセスキーなどの脆弱性を見つけるために、AWS アプリケーションに対して意図的にテストを実行する場合があります。これらの侵入テストは、攻撃者が気づく前に脆弱なリソースを特定してロックダウンする目的で実行されます。ただし、承認済みペンテスターが使用する一部のツールは一般的なものであるため、不正なユーザーや攻撃者がこのテストに便乗して利用する場合があります。GuardDuty は、このようなアクティビティの真の意図は特定できませんが、[Pentest] (侵入テスト) 値により、GuardDuty がこのようなアクティビティを検出し、および既知の侵入テストツールで生成したアクティビティと類似しユーザーのネットワークへの悪意のある調査を示します。
- Persistence
-
この値は、GuardDuty が初期アクセスルートが切断された場合でも、攻撃者がシステムへのアクセスを維持するために使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。例えば、既存のユーザーの侵入して得た認証情報を介してアクセスした後に、新しい IAM ユーザーを作成することが含まれます。既存のユーザーの認証情報が削除されると、攻撃者はオリジナルイベントの一部として検出されなかった新しいユーザーへのアクセスを保持します。この脅威の目的は、MITRE ATT&CK 戦術
に基づいています。 - Policy
-
この値は、AWS アカウントがセキュリティに関して推奨されたベストプラクティスに反する動作を行っていることを示します。例えば、AWS リソースまたは環境に関連付けられたアクセス許可ポリシーの意図しない変更や、ほとんどまたはまったく使用すべきでない特権アカウントの使用などです。
- PrivilegeEscalation
-
この値は、ユーザーの AWS 環境下の関連プリンシパルが、攻撃者にネットワークへのより高いレベルの許可を取得するために使用する可能性のあることを通知します。この脅威の目的は、MITRE ATT&CK 戦術
に基づいています。 - Recon
-
この値は、攻撃者が環境の偵察を実行するときに、アクセスを拡大したり、リソースを利用したりする方法を決定するために使用する可能性のあるアクティビティまたはアクティビティパターンを GuardDuty が検出したことを示します。例えば、このアクティビティには、ポートを調査したり、ユーザーをリストアップしたり、特にデータベーステーブルをリストアップしたりして、AWS 環境の脆弱性を探そうとすることを含めることができます。
- Stealth
-
この値は、攻撃者が積極的にアクションを隠そうとしていることを示します。例えば、匿名化したプロキシサーバーを使用し、アクティビティの本質の判断を非常に難しくしています。
- Trojan
-
この値は、悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示します。このソフトウェアは合法的なプログラムを装う場合があります。ユーザーは、このソフトウェアを誤って実行することがあります。脆弱性を特定して自動的に実行されることもあります。
- UnauthorizedAccess
-
この値は、承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します。