結果の詳細 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

結果の詳細

Amazon GuardDuty コンソールでは、検索結果の概要セクションで検索結果の詳細を表示できます。検索の詳細は検索タイプによって異なります。

結果にどのような情報が表示されるかを決める基本的な情報が 2 つあります。1 つはリソースタイプです。これはAccessKey, またはInstance。情報を見つけることを決定する2番目の詳細はリソースロール。リソースロール。Target、リソースが不審なアクティビティのターゲットであったことを意味します。インスタンスタイプの調査結果の場合、リソースロールはActorです。これは、リソースが不審なアクティビティを実行しているアクターであることを意味します。このトピックでは、一般的な調査結果の詳細について説明します。

結果の概要

結果の概要セクションには、次の情報を含む、結果の最も基本的な識別機能が含まれています。

  • 検索タイプ— 結果のトリガーとなったアクティビティのタイプを表す、書式設定されたストリングです。詳細については、「GuardDuty 結果形式」を参照してください。

  • 結果 ID— この検索タイプおよびパラメータセットに対応する一意の結果 ID。このパターンに一致するアクティビティが新しく出現した場合は、同じ ID に集約されます。

  • 緊急度— 結果には重大度 (高、中、低) が割り当てられています。詳細については、「GuardDuty 結果の重大度」を参照してください。

  • リージョン—AWS結果が作成されたリージョン。サポートされるリージョンについては、「リージョンとエンドポイント」を参照してください。

  • カウント— GuardDuty が、このパターンに一致するアクティビティをこの結果 ID に集約した回数。

  • アカウント ID—AWSアカウントこの結果の生成を GuardDuty に求めるアクティビティが実行されました。

  • リソース ID—AWSリソースこの結果の生成を GuardDuty に求めるアクティビティが実行されました。

  • 作成場所— この結果が初めて生成された日時。この値が更新時刻場合は、アクティビティが複数回発生しており、進行中の問題であることを示します。

    注記

    GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンで表示されます。一方、JSON エクスポートおよび CLI 出力では UTC でタイムスタンプが表示されます。

  • 更新時刻— この結果の生成を GuardDuty に求めるパターンに一致する新しいアクティビティで、この結果が最後に更新された時刻。

    注記

    GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンで表示されます。一方、JSON エクスポートおよび CLI 出力では UTC でタイムスタンプが表示されます。

Resource

-影響を受けるリソースは、AWSリソースに追加します。利用可能な情報は、リソースタイプとアクションタイプによって異なります。

リソースロール— ロールのAWSリソースに追加します。この値はTARGETまたはアクター有効値は、リソースが不審なアクティビティのターゲットか、不審なアクティビティを実行したアクターであったことを表します。

[リソースタイプ]— 影響を受けるリソースのタイプ。この値はAccessKey,S3 バケットまたはインスタンス。リソースタイプに応じて、異なる検索の詳細を使用できます。リソースオプションタブを選択して、そのリソースで使用可能な詳細を確認します。

Instance

インスタンスの詳細:

注記

インスタンスがすでに終了している場合、またはクロスリージョン API 呼び出しの実行時に、基盤となる API 呼び出しが別のリージョンの EC2 インスタンスから発生している場合、インスタンスの詳細の一部が失われることがあります。

  • インスタンス ID— 結果の生成を GuardDuty に求めるアクティビティが行われた EC2 インスタンスの ID。

  • インスタンスタイプ— 結果に関連する EC2 インスタンスのタイプ。

  • Launch Time (作成時刻)— インスタンスが起動された日時。

  • Outpost ARN— Amazon リソースネーム (ARN)AWS Outposts。以下にのみ適用されます。AWS Outpostsのインスタンス。詳細については、「AWS Outposts とは」を参照してください。

  • セキュリティグループ名— 関連するインスタンスにアタッチされたセキュリティグループの名前。

  • セキュリティグループ ID— 関連するインスタンスにアタッチされたセキュリティグループの ID。

  • インスタンスの状態— ターゲットインスタンスの現在の状態。

  • アベイラビリティーゾーン—AWS関連するインスタンスが配置されるリージョンアベイラビリティーゾーン。

  • イメージ ID— アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID。

  • イメージの説明— アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID に関する説明。

  • タグ— このリソースにアタッチされているタグのリスト。リストの形式はkey:value

Access Key

アクセスキーの詳細:

  • アクセスキー ID— 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーのアクセスキー ID。

  • プリンシパル ID— 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーのプリンシパル ID。

  • ユーザータイプ— 結果の生成を GuardDuty に求めるアクティビティのユーザーのタイプ。詳細については、「CloudTrail userIdentity 要素」を参照してください。

  • [User name]— 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーの名前。

S3 bucket

S3 バケットの詳細:

  • 名前— 結果に関連するバケットの名前。

  • ARN— 結果に関連するバケットの ARN。

  • 所有者— 結果に関連するバケットを所有するユーザーの正規ユーザー ID。正規ユーザー ID の詳細については、AWSアカウント ID

  • タイプ— バケット検索のタイプ。送信先または送信元

  • デフォルトのサーバー側暗号化— バケットの暗号化に関する詳細。

  • バケットタグ— このリソースにアタッチされているタグのリスト。リストの形式はkey:value

  • 有効なアクセス許可— 関連するバケットが公開されているかどうかを示す、バケットに関するすべての有効なアクセス許可とポリシーの評価。値は、PUBLIC または NOT PUBLIC にすることができます。

Action

結果の [アクション] は、その検索のトリガーとなったアクティビティのタイプに関する詳細を示します。利用可能な情報は、アクションタイプによって異なります。

  • アクションの種類— 検索アクティビティのタイプ。この値はCONNECTION,PROBE,REQUEST, またはAPI。利用可能な情報は、アクションタイプによって異なります。

    • CONNECTION— 識別済み EC2 インスタンスとリモートホスト間でネットワークトラフィックが交わされたことを示します。このアクションタイプには、以下の追加情報が表示されます。

      • 接続方向— 結果の生成を GuardDuty に求めるアクティビティで確認されたネットワーク接続方向。これには、次のいずれかの値を指定できます。

        • インバ— アカウント内の識別済み EC2 インスタンスのローカルポートへの接続がリモートホストによって開始されたことを示します。

        • 発信— 識別済みの EC2 インスタンスがリモートホストへの接続を開始したことを示します。

        • 不明— GuardDuty が接続の方向を判別できなかったことを示します。

      • プロトコル— 結果の生成を GuardDuty に求めるアクティビティで確認されたネットワーク接続プロトコル。

      • Local IP (ローカル IP)— 検出をトリガーしたトラフィックの元の送信元 IP。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。たとえば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。

      • ブロック— ターゲットポートがブロックされているかどうかを示します。

    • PROBE— リモートホストが複数の開かれているポートで識別済みの EC2 インスタンスを調査したことを示します。このアクションタイプには、以下の追加情報が表示されます。

      • Local IP (ローカル IP)— 検出をトリガーしたトラフィックの元の送信元 IP。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。たとえば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。

      • ブロック— ターゲットポートがブロックされているかどうかを示します。

    • REQUEST— 識別済みの EC2 インスタンスがドメイン名を照会したことを示します。このアクションタイプには、以下の追加情報が表示されます。

      • プロトコル— 結果の生成を GuardDuty に求めるアクティビティで確認されたネットワーク接続プロトコル。

      • ブロック— ターゲットポートがブロックされているかどうかを示します。

    • API— は、AWSAPI が呼び出されました。このアクションタイプには、以下の追加情報が表示されます。

      • API— 呼び出されて、結果の生成を GuardDuty に求める API オペレーションの名前。

        注記

        これらのオペレーションは、AWS CloudTrail。詳細については、「」を参照してください。CloudTrail によってキャプチャされた API 以外のイベント

      • エラーコード— 失敗した API 呼び出しによって検出がトリガーされた場合、その呼び出しのエラーコードが表示されます。

      • サービス名— 検索をトリガーした API 呼び出しを実行しようとしたサービスの DNS 名。

Actor またはターゲット

発見は、アクター「」セクションリソースロールTARGET。これは、リソースをターゲットとするアクティビティが不審なものであったことを示します。また、アクターセクションには、リソースをターゲットにしたエンティティの詳細が含まれています。

発見は、ターゲット「」セクションリソースロールACTOR。これは、リソースがリモートホストに対する不審なアクティビティに関与していたことを示します。また、このセクションには、リソースのターゲットになった IP またはドメインに関する情報が含められます。

利用可能な情報は、アクターまたはターゲットセクションには、以下が含まれます。

  • IP address— 結果の生成を GuardDuty に求めるアクティビティに関する IP アドレス。

  • ロケーション— 結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスの位置情報。

  • 組織— 結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスの ISP 組織情報。

  • ポート— 結果の生成を GuardDuty に求めるアクティビティが行われたポート番号。

  • 分野— 結果の生成を GuardDuty に求めるアクティビティに関するドメイン。

追加情報

すべての検出結果において追加情報セクションに追加します。次のような情報が含まれます。

  • 脅威リスト名— この結果の生成を GuardDuty に求めるアクティビティに関する IP アドレスまたはドメイン名が含まれている脅威リストの名前。

  • サンプル— サンプル結果であるかどうかを示す true または false の値。

  • アーカイブ済み— 結果がアーカイブ済みかどうかを示す true または false の値。

  • 異常— 履歴で確認されていないアクティビティの詳細。これらには、通常とは異なる (以前に確認されていない) ユーザー、場所、時間などが含まれます。

  • 異常なプロトコル— 結果の生成を GuardDuty に求めるアクティビティが行われたネットワーク接続プロトコル。

Evidence

DNS ログに基づく調査結果には、証拠セクションに追加します。次のような情報が含まれています。

  • 脅威インテリジェンスの詳細— 認識された脅威リストの名前Threat name[] が表示されます。

  • 脅威の名前— 脅威に関連付けられているマルウェアファミリの名前、またはその他の識別子。

異常動作

終了する結果タイプ異常行動結果が GuardDuty 異常検出機械学習 (ML) モデルによって生成されたことを示します。ML モデルは、アカウントへのすべての API リクエストを評価し、攻撃者が使用する戦術に関連する異常なイベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。

API リクエストのどの要素が、リクエストを呼び出した CloudTrail ユーザー ID で異常であるかについては、検索結果の詳細を参照してください。ID は、CloudTrail userIdentity エレメント指定できる値は以下のとおりです。Root,IAMUser,AssumedRole,FederatedUser,AWSAccountまたはAWSService

API アクティビティに関連付けられているすべての GuardDuty 調査結果で利用可能な詳細に加えて、異常行動結果には、以下のセクションで説明する追加の詳細があります。これらの詳細はコンソールで表示でき、検索結果の JSON でも確認できます。

  • 異常な API— 結果に関連付けられたプライマリ API リクエストに近接してユーザー ID によって呼び出された API リクエストのリスト。このペインでは、次の方法で API イベントの詳細をさらに分類します。

    • リストされた最初の API はプライマリ API です。プライマリ API は、最もリスクの高いアクティビティに関連付けられた API リクエストです。これは、発見をトリガーし、発見タイプの攻撃段階と相関する API です。これはまた、アクションセクション、および検索結果の JSON で参照できます。

    • リストされているその他の API は、プライマリ API の近くで観察された、リストされたユーザー ID からの追加の異常 API です。リストに API が 1 つしかない場合、ML モデルはそのユーザー ID からの追加の API リクエストを異常として識別しませんでした。

    • API のリストは、API が正常に呼び出されました、または API が正常に呼び出されなかった場合は、エラー応答が受信されたことを意味します。受信したエラー応答のタイプは、正常に呼び出されなかった各 API の上にリストされています。考えられるエラー応答の種類は次のとおりです。access denied,access denied exception,auth failure,instance limit exceeded,invalid permission - duplicate,invalid permission - not found,operation not permitted

    • API は、関連するサービスによって分類されます。

    注記

    その他のコンテキストについては、通常の APIをクリックして、上位 API の詳細を表示するウィンドウを開きます (最大 20 まで)。通常、ユーザー ID とアカウント内のすべてのユーザーの両方に表示されます。API には珍しい(月に1回未満)、頻度が低い(月に数回)、または頻繁に(毎日から毎週)、アカウント内での使用頻度によって異なります。

  • 異常な動作 (アカウント)— このセクションでは、アカウントのプロファイル動作に関する詳細を説明します。このパネルでは、次の情報が追跡されます。

    • ASN 組織— 異常 API コールが行われた元の ASN 組織。

    • ユーザー名— 異常 API コールを行ったユーザーの名前。

    • ユーザーエージェント— 異常な API 呼び出しを行うために使用されるユーザーエージェント。ユーザーエージェントは、次のような呼び出しを行うために使用されるメソッドです。aws-cliまたはBotocore

    • ユーザータイプ— 異常 API 呼び出しを行ったユーザーのタイプです。想定される値は次のとおりです。AWS_SERVICE,ASSUMED_ROLE,IAM_USER, またはROLE

  • 異常な動作 (ユーザー ID)— このセクションでは、プロファイルされた動作の詳細をユーザー ID発見に関与。動作が異常であると識別された場合、GuardDuty の ML モデルでは、トレーニング期間内にこのような API 呼び出しを行うユーザー ID がこれまで確認されていないことを意味します。以下の追加情報ユーザー IDは利用可能:

    • ASN 組織— 異常な API コールが行われた元の ASN 組織。

    • ユーザーエージェント— 異常な API 呼び出しを行うために使用されるユーザーエージェント。ユーザーエージェントは、次のような呼び出しを行うために使用されるメソッドです。aws-cliまたはBotocore

    注記

    異常な動作に関するその他のコンテキストについては、通常の動作のいずれかでアカウントまたはユーザー IDパネルをクリックして、次の各カテゴリの予想される動作の詳細を表示するウィンドウを開きます。珍しい(月に1回未満)、頻度が低い(月に数回)、または頻繁に(毎日から毎週)、アカウント内での使用頻度によって異なります。