GuardDuty 結果形式 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty 結果形式

GuardDuty で不審な動作や予期しない動作を検出すると、AWS環境では、結果を生成します。結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。-結果の詳細何が起こったかについての情報が含まれ、どのAWSリソースは、このアクティビティの発生時、およびその他の情報に関与していました。

結果の詳細で最も役立つ情報の 1 つは、結果タイプです。結果タイプの目的は、潜在的なセキュリティ問題について簡潔でわかりやすい説明を提供することです。たとえば、GuardDutyRecon:EC2/PortProbeUnprotectedPortタイプを見つけることは、すぐにあなたのどこかにそれを知らせますAWS環境では、EC2 インスタンスの保護されていないポートを潜在的な攻撃者が探しています。

GuardDuty では、次の形式が生成するさまざまな結果タイプが使用されます。

脅威の目的:ResourceTypeAffected/ThreatFamilyName.検出されたメカニズム! アーティファクト

この形式の各部分は、検索タイプの側面を表します。これらの側面には、次の説明があります。

  • 脅威の目的— 脅威の主な目的、攻撃タイプ、または潜在的な攻撃段階の説明です。GuardDuty 脅威の目的の詳細なリストについては、次のセクションを参照してください。

  • 影響を受けるリソースタイプ-どのAWSリソースタイプが、この結果では、敵の潜在的なターゲットとして特定されます。現在、GuardDuty は EC2、IAM、S3 リソースの調査結果を生成できます。

  • ThreatFamilyName-GuardDuty で検出された全体的な脅威または潜在的な悪意のあるアクティビティの説明です。たとえば、値ネットワーク・ポート異常は、GuardDuty の結果で識別された EC2 インスタンスに、同じ結果で識別された特定のリモートポートでの通信履歴がないことを示します。

  • 検出メカニズム-GuardDuty が結果を検出した方法を記述します。これは、GuardDuty が特定のメカニズムを使用して検出した共通の検出タイプの変動を示すために使用できます。例:Backdoor:EC2/DenialOfService.Tcpは、TCP 経由でサービス拒否 (DoS) が検出されたことを示します。UDPバリアントはBackdoor:EC2/DenialOfService.Udp

    .カスタムのは、GuardDuty がカスタム脅威リストに基づいて検出したことを示し、.評価は、GuardDuty がドメインレピュテーションスコアモデルを使用して検出を検出したことを示します。

  • アーティファクト-悪意のあるアクティビティで使用されているツールが所有する特定のリソースを示します。たとえば、結果タイプ CryptoCurrency:EC2/BitcoinTool.B!DNS の「DNS」は、EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを示します。

脅威の目的

GuardDuty脅威の目的では、脅威の主な目的、攻撃タイプ、または潜在的な攻撃段階について説明します。例えば、いくつかの脅威の目的は、Backdoorは、攻撃の種類を示します。しかし、いくつかの脅威の目的影響揃えマイターATT&CK戦術。MITRE ATT&CK戦術は、敵対者の攻撃サイクルにおける異なるフェーズを示しています。GuardDuty の現行リリースでは、ThreatPurpose を以下の値に設定できます。

Backdoor

この値は、敵がAWSリソースを更新し、ホームコマンドアンドコントロール (C&C) サーバーに連絡し、悪意のあるアクティビティに対処する詳細な手順を受け取るようにリソースを変更しました。

Behavior

この値は、GuardDuty で確立されたベースラインとは異なるアクティビティまたはアクティビティパターンがAWS関連するリソース。

クレデンシャルアクセス

この値は、GuardDuty がユーザーの環境からアカウント ID やパスワードなどの資格情報を盗むために攻撃者が使用する可能性のあるアクティビティパターンを検出したことを示します。この脅威の目的はマイターATT&CK戦術

暗号通貨

この値は、GuardDuty がAWSリソースは、Bitcoinなどの暗号通貨に関連付けられたソフトウェアをホストしています。

DefenseEvasion

この値は、GuardDuty が、攻撃者が環境への侵入中に検出を回避するために使用できるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的はマイターATT&CK戦術

検出

この値は、GuardDuty が、攻撃者がシステムと内部ネットワークの知識を拡大するために使用できるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的はマイターATT&CK戦術

Exfiltration

この値は、GuardDuty が、ネットワークからデータを盗む際に攻撃者が使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的はマイターATT&CK戦術

影響

この値は、GuardDuty が、攻撃者がシステムとデータを操作、中断、破壊しようとしていることを示唆するアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的はマイターATT&CK戦術

イニシャル・アクセス

この脅威の目的はマイターATT&CK戦術

Pentest

時には所有者AWSリソースまたはその承認された代表者は、故意にAWSアプリケーションを使用して、オープンなセキュリティグループやアクセスキーなどの脆弱性を検出します。これらのペンテストは、攻撃者が気づく前に脆弱なリソースを特定してロックダウンする目的で行われます。ただし、承認済みペンテスターが使用する一部のツールは自由に利用できるため、承認されていないユーザーや攻撃者がこのテストに便乗して利用する場合があります。GuardDuty はそのようなアクティビティの背後にある真の目的を特定することはできませんが、Pentest値は、GuardDuty がこのようなアクティビティを検出していること、既知のペンテストツールで生成されたアクティビティと類似していること、およびネットワークの悪意のある調査を示していることを示します。

Persistence

この値は、GuardDuty が、最初のアクセスルートが切断された場合でも、攻撃者がシステムへのアクセスを試行および維持するために使用できるアクティビティまたはアクティビティパターンを検出したことを示します。たとえば、既存のユーザーの侵害された認証情報を介してアクセスを取得した後で新しい IAM ユーザーを作成することなどが考えられます。既存のユーザーの資格情報が削除されると、攻撃者は元のイベントの一部として検出されなかった新しいユーザーに対するアクセスを保持します。この脅威の目的はマイターATT&CK戦術

ポリシー

この値は、AWSアカウントでは、セキュリティに関する推奨されたベストプラクティスに反する動作が発生しています。

PrivilegeEscalation

この値により、AWS環境は、攻撃者がネットワークに対するより高いレベルのアクセス許可を得るために使用する可能性のある動作を示しています。この脅威の目的はマイターATT&CK戦術

Recon

この値は、GuardDuty が、攻撃者がネットワークの偵察を行う際に利用するアクティビティまたはアクティビティパターンを検出し、アクセスを拡大したり、リソースを利用したりする方法を決定します。たとえば、このアクティビティには、AWS環境は、ポートの調査、ユーザー、データベーステーブルなどのリストアップを行います。

Stealth

この値は、敵対者が行動を隠そうとしていることを示します。たとえば、匿名化したプロキシサーバーを使用し、アクティビティの真の意図を非常に判断困難としている場合があります。

Trojan

この値は、悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示します。この種のソフトウェアは合法的なプログラムを装う場合があり、ユーザーが誤って実行することがあります。脆弱性を特定して自動的に実行されることもあります。

UnauthorizedAccess

この値は、GuardDuty が、承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンを検出していることを示します。