検出結果の詳細 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

検出結果の詳細

Amazon GuardDuty コンソールでは、検出結果の概要セクションで検出結果の詳細を表示できます。検出結果の詳細は検出結果のタイプによって異なります。

検出結果にどのような情報が表示されるかを決める基本的な情報が 2 つあります。1 つ目はリソースタイプで、Instance、、AccessKeyS3BucketS3ObjectKubernetes cluster、、ECS clusterRDSDBInstanceまたは ContainerですLambda。情報の検出結果を決定する 2 つ目の詳細は [リソースロール] です。リソースロールは、アクセスキー用の Target である可能性があります。つまり、リソースが疑わしいアクティビティのターゲットであったことを意味します。インスタンスタイプの検出結果については、リソースロールが Actor である場合があります。つまり、リソースが不審なアクティビティを実行するアクターだったことを意味します。このトピックでは、検出結果の一般的に入手可能な詳細をいくつか説明します。

検出結果の概要

検出結果の概要のセクションには、次の情報を含む、検索条件の最も基本的な識別機能が含まれています。

  • アカウント ID – この検出結果を生成する GuardDuty ように促したアクティビティが行われたアカウントの ID AWS 。

  • カウント — このパターン GuardDuty とこの検出結果 ID に一致するアクティビティを集計した回数。

  • 作成時刻 - この検出結果が初めて生成された日時。この値が [Updated at] (更新時刻) と異なる場合は、そのアクティビティが複数回発生しており、現在も進行中の問題でありことを示しています。

    注記

    GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンに表示されますが、JSON エクスポートと CLI 出力にはタイムスタンプが UTC で表示されます。

  • [Finding ID] (結果 ID) - この検出結果タイプおよびパラメータセットに対応する一意の識別子です。このパターンに一致するアクティビティが新しく出現した場合は、同じ ID に集約されます。

  • [結果タイプ] - 検出結果をトリガーしたアクティビティのタイプを表す、書式設定された文字列。詳細については、「GuardDuty の検出結果の形式」を参照してください。

  • リージョン — 結果が生成された AWS リージョン。サポートされるリージョンについては、「リージョンとエンドポイント」を参照してください。

  • リソース ID – この検出結果を生成する GuardDuty ように促したアクティビティが行われたリソースの AWS ID。

  • スキャン ID – GuardDuty Malware Protection for EC2 が有効になっている場合の検出結果に適用されます。これは、侵害された可能性のある EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームで実行されるマルウェアスキャンの識別子です。詳細については、「Malware Protection for EC2 の検出結果の詳細」を参照してください。

  • 重要度 - [High] (高)、[Medium] (中)、[Low] (低) のいずれかで割り当てられた検出結果の重要度。詳細については、「 GuardDuty 検出結果の重要度レベル」を参照してください。

  • 更新日時 — この検出結果が最後に更新されたのは、この検出結果を生成するように促 GuardDutyしたパターンに一致する新しいアクティビティです。

リソース

影響を受けるリソースは、開始アクティビティのターゲットとなった AWS リソースに関する詳細を提供します。利用可能な情報は、リソースタイプとアクションタイプによって異なります。

リソースロール — 検出結果を開始した AWS リソースのロール。値は [TARGET] または [ACTOR] で、それぞれの値は、リソースが疑わしいアクティビティの対象であったか、疑わしいアクティビティを実行したアクターであったことを表します。

リソースタイプ - 該当するリソースのタイプ。複数のリソースが関係していた場合は、複数のリソースタイプが検出結果に含まれる可能性があります。リソースタイプは、インスタンス AccessKeyS3BucketS3ObjectKubernetesClusterECSClusterコンテナ RDSDBInstance、および Lambda です。リソースタイプによって、使用可能な検出結果の詳細が異なります。リソースオプションタブを選択して、そのリソースで使用可能な詳細について説明します。

Instance

インスタンスの詳細:

注記

インスタンスが既に停止している場合、またはクロスリージョン API コールを行うときに別のリージョンの EC2 インスタンスから基盤となる API コールが発生した場合、インスタンスの詳細が欠落することがあります。

  • インスタンス ID – 検出結果を生成する GuardDuty ように促したアクティビティに関係する EC2 インスタンスの ID。

  • インスタンスタイプ - 検出結果に関連する EC2 インスタンスのタイプ。

  • [起動時刻] - インスタンスが開始された日時

  • Outpost ARN – の Amazon リソースネーム (ARN) AWS Outposts。 AWS Outposts インスタンスにのみ適用されます。詳細については、「AWS Outpostsとは」を参照してください。

  • [セキュリティグループ名] - 関連するインスタンスに付属するセキュリティグループの名前。

  • [セキュリティグループ ID] - 関係するインスタンスに付属するセキュリティグループの ID。

  • [インスタンスの状態]- ターゲットインスタンスの現在の状態。

  • [アベイラビリティーゾーン] - 関連するインスタンスが配置されている AWS リージョンアベイラビリティーゾーン。

  • [イメージ ID] - アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID。

  • [イメージの説明] - アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID に関する説明。

  • [タグ] - このリソースにアタッチされているタグのリスト。リストの形式は key:value です。

AccessKey

アクセスキーの詳細:

  • アクセスキー ID – 検出結果を生成する GuardDuty ように促したアクティビティに従事したユーザーのアクセスキー ID。

  • プリンシパル ID – 検出結果を生成するよう促 GuardDutyしたアクティビティに従事したユーザーのプリンシパル ID。

  • ユーザータイプ - 検出結果を生成する GuardDuty よう促したアクティビティにエンゲージしたユーザーのタイプ。詳細については、「CloudTrail userIdentity 要素」を参照してください。

  • ユーザー名 – 検出結果を生成する GuardDuty よう促したアクティビティにエンゲージしたユーザーの名前。

S3Bucket

Amazon S3 バケットの詳細

  • [名前] - 検出結果に関連するバケットの名前。

  • [ARN] – 検出結果に関連するバケットの ARN。

  • [所有者] - 検出結果に関連するバケットを所有するユーザーの正規ユーザー ID。正規ユーザー ID の詳細については、「AWS アカウント ID」を参照してください。

  • [タイプ] - バケット検出結果のタイプで、[送信先] または [ソース] になります。

  • デフォルトのサーバー側暗号化 - バケットの暗号化に関する詳細。

  • バケットタグ - このリソースにアタッチされたタグのリスト。リストの形式は key:value です。

  • [有効な許可] - 関連するバケットが公開されているかどうかを示す、バケットに関するすべての有効な許可とポリシーの評価。値は [公開] または [非公開] です。

S3Object
  • S3 オブジェクトの詳細 — スキャンされた S3 オブジェクトに関する以下の情報が含まれます。

    • ARN – スキャンされた S3 オブジェクトの Amazon リソースネーム (ARN)。

    • キー — S3 バケットで作成されたときにファイルに割り当てられた名前。

    • バージョン ID – バケットのバージョニングを有効にすると、このフィールドには、スキャンされた S3 オブジェクトの最新バージョンに関連付けられたバージョン ID が表示されます。詳細については、『Amazon S3 ユーザーガイド』「S3 バケットでのバージョニングの使用」を参照してください。

    • eTag – スキャンされた S3 オブジェクトの特定のバージョンを表します。

    • Hash – この検出結果で検出された脅威のハッシュ。

  • S3 バケットの詳細 — スキャンされた Amazon S3S3 バケットに関する以下の情報が含まれます。

    • 名前 — オブジェクトを含む S3 バケットの名前を示します。

    • ARN – S3 バケットの Amazon リソースネーム (ARN)。

  • 所有者 – S3 バケットの所有者の正規 ID。

EKSCluster

Kubernetes クラスターの詳細:

  • 名前 — Kubernetes クラスターの名前。

  • ARN — クラスターを識別する ARN。

  • 作成時刻 - このクラスターが生成された日時。

    注記

    GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンに表示されますが、JSON エクスポートと CLI 出力にはタイムスタンプが UTC で表示されます。

  • VPC ID — クラスターに関連付けられている VPC ID。

  • 状態 – クラスターの現在の状態。

  • タグ - クラスターに適用し、クラスターの分類と整理に役立つメタデータ。各タグは、key:value 形式でリストされているキーとオプションの値で構成されます。キーと値の両方を定義できます。

    クラスタータグは、クラスターに関連付けられた他のリソースには伝達されません。

Kubernetes ワークロードの詳細:

  • タイプ - ポッド、デプロイ、ジョブなどの Kubernetes ワークロードのタイプ。

  • 名前 - Kubernetes ワークロードの名前。

  • UID - Kubernetes ワークロードの固有の ID。

  • 作成時刻 - このワークロードが生成された日時。

  • ラベル - Kubernetes ワークロードにアタッチされたキーと値のペア。

  • コンテナ - Kubernetes ワークロードの一部として実行されているコンテナの詳細。

  • 名前空間 - ワークロードはこの Kubernetes 名前空間に属します。

  • ボリューム - Kubernetes ワークロードが使用するボリューム。

    • ホストパス - ボリュームがマッピングされるホストマシン上の既存のファイルまたはディレクトリを示します。

    • 名前 - ボリュームの名前。

  • ポッドセキュリティコンテキスト - ポッド内のすべてのコンテナの権限とアクセスコントロール設定を定義します。

  • ホストネットワーク - ポッドが Kubernetes ワークロードに含まれている場合は true に設定します。

Kubernetes ユーザーの詳細

  • グループ — 検出結果を生成したアクティビティに関与したユーザーの Kubernetes RBAC (ロールアクセスベースのコントロール) グループ。

  • ID — Kubernetes ユーザーの固有の ID。

  • ユーザー名 — 検出結果を生成したアクティビティに関係した Kubernetes ユーザーの名前。

  • セッション名 — Kubernetes RBAC アクセス許可を持つ IAM ロールを引き受けたエンティティ。

ECSCluster

ECS クラスターの詳細

  • ARN — クラスターを識別する ARN。

  • 名前 - クラスターの名前。

  • 状態 – クラスターの現在の状態。

  • アクティブサービスの数ACTIVE 状態のクラスター内で実行されているサービスの数。これらのサービスは、 で表示できます。 ListServices

  • 登録されたコンテナインスタンス数 — クラスターに登録されているコンテナインスタンスの数。これには、ACTIVE および DRAINING 状態の両方のコンテナインスタンスが含まれます

  • 実行中のタスク数RUNNING 状態のクラスターのタスクの数。

  • タグ - クラスターに適用し、クラスターの分類と整理に役立つメタデータ。各タグは、key:value 形式でリストされているキーとオプションの値で構成されます。キーと値の両方を定義できます。

  • コンテナ – タスクに関連付けられたコンテナの詳細:

    • コンテナ名 – コンテナの名前。

    • コンテナイメージ – コンテナのイメージ。

  • タスクの詳細 — クラスター内のタスクの詳細。

    • ARN – タスクの Amazon リソースネーム (ARN)。

    • 定義 ARN – タスクを作成するタスク定義の Amazon リソースネーム(ARN)。

    • バージョン– タスクのバージョンカウンター。

    • タスクの作成時刻 – タスクが作成されたときの Unix タイムスタンプ。

    • タスクの開始時刻 – タスクが開始されたときの Unix タイムスタンプ。

    • タスクの開始ユーザー – タスクの開始時に指定されたタグ。

Container

コンテナの詳細:

  • コンテナランタイム — コンテナの実行に使用されたコンテナランタイム (docker または containerd など)。

  • ID — コンテナインスタンスのコンテナインスタンス ID または完全な ARN エントリ。

  • 名前 — コンテナの名前。

    使用可能な場合、このフィールドには io.kubenetes.container.name ラベルの値が表示されます。

  • イメージ — コンテナインスタンスのイメージ。

  • ボリュームマウント — コンテナボリュームのマウントのリスト。コンテナは、そのファイルシステムの下にボリュームをマウントできます。

  • セキュリティコンテキスト — コンテナセキュリティコンテキストは、コンテナの権限とアクセス制御設定を定義します。

  • プロセスの詳細 — 検出結果に関連付けられているプロセスの詳細が記述されます。

RDSDBInstance

RDSDBInstance の詳細:

注記

このリソースは、データベースインスタンスに関連する RDS Protection の検出結果で利用できます。

  • データベースインスタンス ID — GuardDuty 検出結果に関与したデータベースインスタンスに関連付けられた識別子。

  • [Engine] (エンジン) — 検出に関与したデータベースインスタンスのデータベースエンジン名。指定できる値は、Aurora MySQL 互換または Aurora PostgreSQL 互換です。

  • エンジンバージョン — 検出結果に関与 GuardDutyしたデータベースエンジンのバージョン。

  • データベースクラスター ID – GuardDuty 検出結果に関係するデータベースインスタンス ID を含むデータベースクラスターの識別子。

  • データベースインスタンス ARN — 検出結果に関係する GuardDutyデータベースインスタンスを識別する ARN。

Lambda
Lambda 関数の詳細
  • 関数名 - 検出結果に含まれた Lambda 関数の名前。

  • 関数バージョン - 検出結果に含まれる Lambda 関数のバージョン。

  • 関数の説明 - 検出結果に含まれた Lambda 関数の説明。

  • 関数 ARN - 検出結果に含まれた Lambda 関数の Amazon リソースネーム (ARN)。

  • リビジョン ID - Lambda 関数バージョンのリビジョン ID。

  • ロール - 検出結果に関係する Lambda 関数の実行ロール。

  • VPC 設定 - Lambda 関数に関連付けられた VPC ID、セキュリティグループ、サブネット ID を含む Amazon VPC 設定。

  • VPC ID - 検出結果に含まれた Lambda 関数に関連付けられた Amazon VPC の ID。

  • サブネット ID - Lambda 関数に関連付けられているサブネットの ID。

  • セキュリティグループ - 関連する Lambda 関数にアタッチされたセキュリティグループ。これには、セキュリティグループ名とグループ ID が含まれます。

  • タグ - このリソースにアタッチされているタグのリスト。リストの形式は key:value ペアです。

RDS データベース (DB) ユーザーの詳細

注記

このセクションは、 で RDS Protection 機能を有効にする場合の検出結果に適用されます GuardDuty。詳細については、「での RDS Protection GuardDuty」を参照してください。

この GuardDuty 検出結果は、侵害された可能性のあるデータベースの以下のユーザーと認証の詳細を提供します。

  • [User] (ユーザー) - 異常なログイン試行に使用されたユーザー名

  • [Application] (アプリケーション) — 異常なログイン試行に使用されたアプリケーション名

  • [Database] (データベース) — 異常なログイン試行に関与したデータベースインスタンスの名前

  • [SSL] — ネットワークに使用された Secure Socket Layer (SSL) のバージョン

  • [認証方法] — 検出に関与したユーザーが使用した認証方法

Runtime Monitoring の検出結果の詳細

注記

これらの詳細は、 が の 1 つ GuardDuty を生成する場合にのみ使用できますRuntime Monitoring の検出結果タイプ

このセクションには、プロセスの詳細や必要なコンテキストなど、ランタイムの詳細が含まれています。プロセスの詳細には、観察されたプロセスに関する情報が記述され、ランタイムのコンテキストには、潜在的に疑わしいアクティビティに関する追加情報が記述されます。

プロセスの詳細
  • 名前 - プロセスの名前。

  • 実行可能ファイルのパス - プロセスの実行可能ファイルの絶対パス。

  • 実行可能ファイル SHA-256 - プロセスの実行可能ファイルの SHA256 ハッシュ。

  • 名前空間 PID - ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。

  • 現在の作業ディレクトリ - プロセスの現在の作業ディレクトリ。

  • プロセス ID - オペレーティングシステムによってプロセスに割り当てられた ID。

  • startTime - プロセスが開始された時間。これは UTC 日付文字列形式 (2023-03-22T19:37:20.168Z) です。

  • UUID – によってプロセスに割り当てられた一意の ID GuardDuty。

  • 親 UUID - 親プロセスの固有の ID。この ID は、 によって親プロセスに割り当てられます GuardDuty。

  • ユーザー - プロセスを実行したユーザー。

  • ユーザー ID - プロセスを実行したユーザーの ID。

  • 有効なユーザー ID - イベント発生時のプロセスの有効な実効ユーザー ID。

  • 系列 - プロセスの先祖に関する情報。

    • プロセス ID - オペレーティングシステムによってプロセスに割り当てられた ID。

    • UUID – によってプロセスに割り当てられた一意の ID GuardDuty。

    • 実行可能ファイルのパス - プロセスの実行可能ファイルの絶対パス。

    • 有効なユーザー ID - イベント発生時のプロセスの有効な実効ユーザー ID。

    • 親 UUID - 親プロセスの固有の ID。この ID は、 によって親プロセスに割り当てられます GuardDuty。

    • 開始時間 - プロセスが開始された時間。

    • 名前空間 PID - ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。

    • ユーザー ID - プロセスを実行したユーザーのユーザー ID。

    • 名前 - プロセスの名前。

ランタイムのコンテキスト

次のフィールドから、生成された検出結果には、その検出結果タイプに関連するフィールドのみが含まれる場合があります。

  • マウントソース - コンテナによってマウントされたホスト上のパス。

  • マウントターゲット - ホストディレクトリにマッピングされているコンテナ内のパス。

  • ファイルシステムタイプ - マウントされたファイルシステムのタイプを示します。

  • フラグ - この検出結果に関係するイベントの動作をコントロールするオプションを示します。

  • プロセスの変更 - 実行時にコンテナ内でバイナリ、スクリプト、またはライブラリを作成または変更したプロセスに関する情報。

  • 修正日時 - 実行時にプロセスがコンテナ内のバイナリ、スクリプト、またはライブラリを作成または変更したときのタイムスタンプ。このフィールドは、UTC 日付文字列形式 (2023-03-22T19:37:20.168Z)です。

  • ライブラリパス - ロードされた新しいライブラリへのパス。

  • LD プリロード値 - LD_PRELOAD 環境変数の値。

  • ソケットパス - アクセスされた Docker ソケットへのパス。

  • Runc バイナリパス - runc バイナリへのパス。

  • リリースエージェントパス - cgroup リリースエージェントファイルへのパス。

  • コマンドラインの例 — 疑わしい可能性があるアクティビティに関係するコマンドラインの例。

  • ツールカテゴリ – ツールが属するカテゴリ。例としては、バックドアツール、ペネテストツール、ネットワークスキャナー、ネットワークスニッファーなどがあります。

  • ツール名 – 疑わしい可能性があるツールの名前。

  • スクリプトパス — 結果を生成した実行されたスクリプトへのパス。

  • 脅威ファイルパス — 脅威インテリジェンスの詳細が見つかった疑わしいパス。

  • サービス名 — 無効になっているセキュリティサービスの名前。

EBS ボリュームのスキャンの詳細

注記

このセクションは、 GuardDutyで 実行型マルウェアスキャンを有効にする場合の検出結果に適用されますGuardDuty EC2 のマルウェア保護

EBS ボリュームスキャンは、侵害された可能性のある EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームに関する詳細を提供します。

  • スキャン — マルウェアスキャンの識別子。

  • スキャン開始日 — マルウェアスキャンが開始された日時。

  • スキャン完了日 — 不正プログラムのスキャンの完了日時。

  • 検出結果のトリガー ID — このマルウェアスキャンを開始した GuardDuty 検出結果の検出結果 ID。

  • ソース — 可能な値は Bitdefenderと ですAmazon

  • スキャン検出 — 各マルウェアスキャンの詳細と結果の全情報。

    • スキャンされたアイテム数 — スキャンされたファイルの合計数。totalGbfiles、および volumes などの詳細を提供します。

    • 脅威が検出されたアイテム数 — スキャン中に検出された悪意のある files の合計数。

    • 最も重要度の高い脅威の詳細 — スキャン中に検出された、重要度が最も高い脅威の詳細と、悪意のあるファイルの数。severitythreatName、および count などの詳細を提供します。

    • 名前で検出された脅威 — すべての重要度レベルの脅威をグループ化するコンテナ要素。itemCountuniqueThreatNameCountshortened、および threatNames などの詳細を提供します。

Malware Protection for EC2 の検出結果の詳細

注記

このセクションは、 GuardDutyで 実行型マルウェアスキャンを有効にする場合の検出結果に適用されますGuardDuty EC2 のマルウェア保護

Malware Protection for EC2 スキャンがマルウェアを検出すると、https://console.aws.amazon.com/guardduty/ コンソールの検出結果ページで対応する検出結果を選択することで、スキャンの詳細を表示できます。Malware Protection for EC2 の検出結果の重要度は、検出結果の GuardDuty重要度によって異なります。

注記

GuardDutyFindingDetected タグは、スナップショットにマルウェアが含まれていると指定します。

次の情報は、詳細パネルの「検出された脅威」セクションでご覧になれます。

  • 名前 — 検出によってファイルをグループ化することによって取得された脅威の名前。

  • 重要度 — 検出された脅威の重要度。

  • ハッシュ – ファイルの SHA-256 ハッシュ。

  • ファイルパス — EBS ボリューム内の悪意のあるファイルの場所。

  • ファイル名 — 脅威が検出されたファイルの名前。

  • ボリューム ARN — スキャンされた EBS ボリュームの ARN。

次の情報は、詳細パネルの「マルウェアスキャンの詳細」のセクションでご覧になれます。

  • スキャン — 不正プログラムスキャンのスキャン ID。

  • スキャン開始日 — スキャンが開始された日時。

  • スキャン完了日 — スキャンの完了日時。

  • スキャンされたファイル — スキャンされたファイルとディレクトリの合計数。

  • スキャンされた合計 GB — プロセス中にスキャンされたストレージの容量。

  • トリガー検出結果 ID — このマルウェアスキャンを開始した検出結果の検出 GuardDuty 結果 ID。

  • 次の情報は、詳細パネルの「ボリュームの詳細」のセクションでご覧になれます。

    • ボリューム ARN — ボリュームの Amazon リソースネーム (ARN)。

    • SnapshotARN — EBS ボリュームのスナップショットの ARN。

    • ステータスRunningSkipped、および Completed などのボリュームのスキャン状態。

    • 暗号化タイプ — ボリュームの暗号化に使用される暗号化のタイプ。例えば CMCMK です。

    • デバイス名 - デバイスの名前。例えば /dev/xvda です。

Malware Protection for S3 の検出結果の詳細

で S3 の GuardDuty と Malware Protection の両方を有効にすると、次のマルウェアスキャンの詳細を使用できます AWS アカウント。

  • 脅威 — マルウェアスキャン中に検出された脅威のリスト。

    検出結果に含めることができる脅威の数については、「」を参照してくださいMalware Protection for S3 のクォータ

  • 項目パス – ネストされた項目パスのリストと、スキャンされた S3 オブジェクトのハッシュの詳細。

    • ネストされた項目パス — 脅威が検出されたスキャンされた S3 オブジェクトの項目パス。

      このフィールドの値は、最上位オブジェクトがアーカイブであり、アーカイブ内で脅威が検出された場合にのみ使用できます。

    • Hash – この検出結果で検出された脅威のハッシュ。

  • ソース — 可能な値は Bitdefenderおよび ですAmazon

アクション

検出結果の [Action] (アクション) は、その検出をトリガーしたアクティビティのタイプに関する詳細を示します。利用可能な情報は、アクションタイプによって異なります。

[アクションタイプ] - 検出結果アクティビティのタイプ。この値は、NETWORK_CONNECTIONPORT_PROBEDNS_REQUESTAWS_API_CALLRDS_LOGIN_ATTEMPT のいずれかになります。利用可能な情報は、アクションタイプによって異なります。

  • NETWORK_CONNECTION - ネットワークトラフィックが識別済み EC2 インスタンスとリモートホスト間で交わされたことを示します。このアクションタイプには、次の追加情報が含まれています。

    • 接続方向 — 検出結果を生成する GuardDuty ように促したアクティビティで観測されたネットワーク接続方向。これには、次のいずれかの値を指定できます。

      • インバウンド - リモートホストがアカウントの識別済み EC2 インスタンスのローカルポートへの接続を開始したことを示します。

      • アウトバウンド - 識別済み EC2 インスタンスがリモートホストへの接続を開始したことを示します。

      • UNKNOWN – が接続の方向を特定 GuardDuty できなかったことを示します。

    • プロトコル — 検出結果を生成する GuardDuty 原因となったアクティビティで観察されたネットワーク接続プロトコル。

    • ローカル IP (ローカル IP) - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。

    • [ブロック] - ターゲットポートがブロックされているかどうかを示します。

  • PORT_PROBE - リモートホストが複数のオープンポートで識別済みの EC2 インスタンスを調査したことを示します。このアクションタイプには、次の追加情報が含まれています。

    • ローカル IP - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。

    • [ブロック] - ターゲットポートがブロックされているかどうかを示します。

  • DNS_REQUEST - 識別済みの EC2 インスタンスがドメイン名を照会したことを示します。このアクションタイプには、次の追加情報が含まれています。

    • プロトコル — 検出結果を生成する GuardDuty 原因となったアクティビティで観察されたネットワーク接続プロトコル。

    • [ブロック] - ターゲットポートがブロックされているかどうかを示します。

  • AWS_API_CALL - AWS API が呼び出されたことを示します。このアクションタイプには、次の追加情報が含まれています。

    • API – 呼び出され、この検出結果を生成する GuardDuty ように求められた API オペレーションの名前。

      注記

      これらのオペレーションは、 AWS CloudTrailによってキャプチャされる API 以外のイベントを含めることもできます。詳細については、「 でキャプチャされた API 以外のイベント CloudTrail」を参照してください。

    • [ユーザーエージェント] – API リクエストを実行したユーザーエージェント。この値は、呼び出しが 、 AWS サービス AWS Management Console、 AWS SDKs、または のいずれから行われたかを示します AWS CLI。

    • エラーコード - API コールの失敗によって検出結果がトリガーされた場合、そのコールに対してエラーコードが表示されます。

    • サービス名 - 検出結果をトリガーした API コールを実行しようとしたサービスの DNS 名。

  • RDS_LOGIN_ATTEMPT — 侵害された可能性のあるデータベースに、リモート IP アドレスからログインが試行されたことを示します。

    • [IP アドレス] — 疑わしいログイン試行に使用されたリモート IP アドレス。

アクターまたはターゲット

[リソースロール] が TARGET の場合には、検出結果に [アクター] セクションが表示されます。これは、リソースが疑わしいアクティビティの対象であったことを示します。また、[Actor] (アクター) セクションには、リソースを対象としたエンティティの詳細が含められます。

[リソースロール] が ACTOR の場合には、検出結果に [ターゲット] セクションが表示されます。これは、リソースがリモートホストに対する不審なアクティビティに関与していたことを示します。また、このセクションには、リソースのターゲットになった IP またはドメインに関する情報が含められます。

[アクター] セクションまたは [ターゲット] セクションには、次の情報を含めることができます。

  • 孤立 – リモート API 発信者の AWS アカウントが GuardDuty 環境に関連しているかどうかに関する詳細。この値が true の場合、API コール実行者は何らかの形でアカウントに関連しています。false の場合、API コール実行者は環境外です。

  • リモートアカウント ID – 最終ネットワークでリソースにアクセスするために使用されたアウトバウンド IP アドレスを所有するアカウント ID。

  • IP アドレス – 検出結果を生成する GuardDuty よう促したアクティビティに関係する IP アドレス。

  • Location – 検出結果の生成 GuardDuty を促したアクティビティに関係する IP アドレスの場所情報。

  • 組織 – 検出結果を生成する GuardDuty よう促したアクティビティに関連する IP アドレスの ISP 組織情報。

  • ポート — 検出結果の生成 GuardDuty を促したアクティビティに関係するポート番号。

  • ドメイン – 検出結果を生成する GuardDuty よう促したアクティビティに関係するドメイン。

  • サフィックス付きのドメイン — 結果を生成する GuardDuty 原因となった可能性のあるアクティビティに関係する 2 番目と最上位のドメイン。最上位ドメインと第 2 レベルのドメインのリストについては、「パブリックサフィックスリスト」を参照してください。

追加情報

すべての検出結果には [追加情報] セクションがあり、次のような情報が含まれます。

  • 脅威リスト名 – 検出結果を生成する GuardDuty よう促したアクティビティに関係する IP アドレスまたはドメイン名を含む脅威リストの名前。

  • サンプル - サンプル検出結果であるかどうかを示す true または false の値。

  • アーカイブ - 検出結果がアーカイブ済みかどうかを示す true または false の値。

  • [異常] - 履歴で確認されていないアクティビティの詳細 これらには、異常な (以前に確認されていない) ユーザー、場所、時間、バケット、ログイン動作、または ASN Org などが含まれます。

  • 異常なプロトコル — 検出結果を生成する GuardDuty 原因となったアクティビティに関連するネットワーク接続プロトコル。

  • エージェント詳細 - AWS アカウントの EKS クラスターに現在導入されているセキュリティエージェントに関する詳細。これは EKS Runtime Monitoring の検出結果タイプにのみ適用されます。

    • エージェントバージョン – GuardDuty セキュリティエージェントのバージョン。

    • エージェント ID – GuardDuty セキュリティエージェントの一意の識別子。

証拠

脅威インテリジェンスに基づく検出結果には [証拠] セクションがあり、次のような情報が含まれます。

  • 脅威インテリジェンスの詳細 — 認識された Threat nameが表示される脅威リストの名前。

  • 脅威名 – 脅威に関連付けられているマルウェアファミリーまたはその他の識別子の名前。

  • 脅威ファイル SHA256 – 検出結果を生成したファイルの SHA256。

異常な動作

で終わる検出結果タイプは、検出結果が異常検出機械学習 (ML) GuardDuty モデルによって生成されたAnomalousBehaviorことを示します。機械学習モデルは、アカウントへのすべての API リクエストを評価し、相手が使用するタクティクスに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。

API リクエストのどの要素がリクエストを呼び出した CloudTrail ユーザー ID に対して異常であるかに関する詳細は、検出結果の詳細で確認できます。ID は CloudTrail userIdentity Element によって定義され、指定できる値は RootIAMUserAssumedRoleFederatedUserAWSAccount、または ですAWSService

API アクティビティに関連付けられているすべての GuardDuty 検出結果の詳細に加えて、AnomalousBehavior検出結果には、次のセクションで概説する追加の詳細があります。これらの詳細はコンソールで表示でき、検出結果の JSON でも確認できます。

  • 異常な API - 検出結果に関連付けられたプライマリ API リクエストに近いユーザーアイデンティティが原因の API リクエストのリスト。このペインでは、次の方法で API イベントの詳細をさらに分類します。

    • 最初にリストされている API はプライマリ API です。プライマリ API は、観測された最も高いリスクアクティビティに関連付けられた API リクエストです。これは、発見をトリガーし、検出結果タイプの攻撃ステージと相関する API です。これは、コンソールの [アクション] セクションおよび検出結果の JSON で詳述されている API でもあります。

    • リストされている他の API は、プライマリ API の近くで観察されるリストされたユーザーアインデンティティからの追加の異常 API です。リストに API が 1 つしかない場合、機械学習モデルはそのユーザーアイデンティティからの追加の API リクエストを異常として識別しませんでした。

    • API のリストは、API が正常に呼び出されたかどうかに基づいて分類され、API が正常に呼び出されなかった場合は、エラーレスポンスが受信されたことを意味します。受信したエラーレスポンスのタイプは、それぞれ正常に呼び出されなかった API の上に一覧表示されます。考えられるエラーレスポンスのタイプは、access deniedaccess denied exceptionauth failureinstance limit exceededinvalid permission - duplicateinvalid permission - not found、および operation not permitted です。

    • API は、関連するサービスによって分類されます。

    注記

    その他のコンテキストについては、[Historical APIs] (過去の API) を選択し、上位 API の詳細を確認します。通常は、ユーザーアイデンティティとアカウント内のユーザーすべての両方で表示される最大 20 個の API です。API は、[めったにない(月に 1 回未満)][頻繁でない(月に数回)]、または [頻繁(毎日から毎週)] でマークされ、アカウント内で使用されている頻度によって異なります。

  • [Unusual Behavior (Account)] (異常な動作 (アカウント)) - このセクションでは、アカウントでプロファイリングされた動作に関する詳細について説明します。このパネルで追跡される情報は次のとおりです。

    • [ASN Org] (ASN 組織) - 異常な API コールが行われた ASN 組織

    • [ユーザー名] - 異常な API コールを行ったユーザーの名前。

    • ユーザーエージェント - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、aws-cli または Botocore などのコールを行うために使用されるメソッドです。

    • [ユーザータイプ] - 異常な API コールを行ったユーザーの名前。可能な値は、AWS_SERVICEASSUMED_ROLEIAM_USER または ROLE です。

    • バケット — アクセスされている S3 バケットの名前。

  • [Unusual Behavior (User Identity)] (異常な動作 (ユーザー ID)) - このセクションでは、検出に関与したユーザーアイデンティティのプロファイリングされた動作の詳細について説明します。動作が履歴として識別されない場合、 GuardDuty ML モデルでは、トレーニング期間内にこの方法でこの API コールを行ったユーザー ID が以前に確認されていないことを意味します。ユーザーアイデンティティ に関する詳細については、次を参照してください。

    • [ASN 組織] - 異常な API コールが行われた元の ASN 組織。

    • ユーザーエージェント - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、aws-cli または Botocore などのコールを行うために使用されるメソッドです。

    • バケット — アクセスされている S3 バケットの名前。

  • [Unusual Behavior (Bucket)] (異常な動作 (バケット)) - このセクションでは、検出結果に関連する、S3 バケットのプロファイリングされた動作に関する詳細について説明します。動作が履歴として識別されない場合、 GuardDuty ML モデルはトレーニング期間内にこの方法でこのバケットに対して行われた API コールを以前に確認していないことを意味します。このセクションで追跡される情報は次のとおりです。

    • [ASN 組織] - 異常な API コールが行われた元の ASN 組織。

    • [ユーザー名] - 異常な API コールを行ったユーザーの名前。

    • ユーザーエージェント - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、aws-cli または Botocore などのコールを行うために使用されるメソッドです。

    • [ユーザータイプ] - 異常な API コールを行ったユーザーの名前。可能な値は、AWS_SERVICEASSUMED_ROLEIAM_USER または ROLE です。

    注記

    過去の動作の詳細については、[異常な動作 (アカウント)][ユーザー ID]、または [バケット] セクションのいずれかで [過去の動作] を選択し、アカウント内での使用頻度に応じて、[頻度が低い (月に 1 回未満)][頻繁でない (月に数回)]、または [頻度が高い (毎日から毎週)] の各カテゴリーのアカウントで、想定される動作の詳細を表示します。

  • 異常な動作 (データベース) - このセクションでは、検出結果に関連するデータベースインスタンスの、プロファイリングされた動作に関する詳細について説明します。動作が履歴として識別されない場合は、 GuardDuty ML モデルがトレーニング期間内にこの方法でこのデータベースインスタンスへのログイン試行を以前に確認していないことを意味します。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。

    • [User name] (ユーザー名) - 異常なログイン試行に使用されたユーザー名

    • [ASN Org] (ASN 組織) - 異常なログイン試行が行われた ASN 組織

    • [Application name] (アプリケーション名) — 異常なログイン試行に使用されたアプリケーション名

    • [データベース名] — 異常なログイン試行に関与したデータベースインスタンス名

    注記

    [履歴動作] セクションでは、関連するデータベースの [ユーザー名][ASN 組織][アプリケーション名][データベース名] について、以前に確認した内容について詳しく説明しています。固有の値にはそれぞれ、ログインが成功した際にその値が確認された回数を示すカウントが関連付けられています。

  • 異常動作 (アカウント Kubernetes クラスター、Kubernetes 名前空間、 Kubernetes ユーザー名) - このセクションでは、検出結果に関連する、Kubernetes クラスターと名前空間の、プロファイリングされた動作に関する詳細を説明します。動作が履歴として識別されない場合、 GuardDuty ML モデルがこのアカウント、クラスター、名前空間、またはユーザー名をこの方法で以前に確認していないことを意味します。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。

    • ユーザー名 — 検出結果に関連付けられた Kubernetes API を呼び出したユーザー。

    • 偽装されたユーザー名username に偽装されているユーザー。

    • 名前空間 — アクションが発生した Amazon EKS クラスター内の Kubernetes 名前空間。

    • ユーザーエージェント — Kubernetes API コールに関連付けられたユーザーエージェント。ユーザーエージェントは、kubectl などのコールを行うために使用されるメソッドです。

    • API — Amazon EKS クラスター内で username によって呼び出される Kubernetes API。

    • ASN 情報 — この呼び出しを行うユーザーの IP アドレスに関連付けられた、組織や ISP などの ASN 情報。

    • 曜日 — Kubernetes API コールが行われた曜日。

    • アクセス権限 1username が Kubernetes API を使用できるかどうかのアクセスの確認を受ける Kubernetes の動詞とリソース。

    • サービスアカウント名1 – ワークロードに ID を提供する Kubernetes ワークロードに関連付けられたサービスアカウント。

    • レジストリ1 — Kubernetes ワークロードにデプロイした、コンテナイメージに関連付けられたコンテナレジストリ。

    • イメージ1 — Kubernetes ワークロードにデプロイされた、関連するタグやダイジェストを含まないコンテナイメージ。

    • Image Prefix Config1 — イメージを使用するコンテナの、hostNetwork または privileged などのコンテナとワークロードセキュリティ設定が有効になっているイメージプレフィックス。

    • サブジェクト名1RoleBindingClusterRoleBinding 内の参照ロールにバインドされている usergroupserviceAccountName などのサブジェクト。

    • ロール名1 — ロールまたは roleBinding API の作成や変更に関係するロールの名前。

S3 ボリュームベースの異常

このセクションでは、S3 ボリュームベースの異常についてのコンテキスト情報について詳しく説明します。ボリュームベースの検出結果 (Exfiltration:S3/AnomalousBehavior) は、ユーザーの S3 バケットに対する異常な数の S3 API コールをモニタリングし、データ漏えいの可能性を示します。以下の S3 の API 呼び出しは、ボリュームベースの異常検出のために監視されます。

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

以下のメトリクスは、IAM エンティティが S3 バケットにアクセスするときの通常の動作のベースラインを構築するのに役立ちます。データの流出を検出するために、ボリュームベースの異常検出結果は通常の行動ベースラインに対してすべてのアクティビティを評価します。次のメトリクスを表示するには、[異常な動作][確認されたボリューム (ユーザーアイデンティティ)]、および [確認されたボリューム (バケット)] セクションで [過去の動作] を選択します。

  • 過去 24 時間に、影響を受ける S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された s3-api-name API コールの数。

  • 過去 24 時間に、すべての S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された s3-api-name API コールの数。

  • 過去 24 時間に、影響を受ける S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された s3-api-name API コールの数。

RDS ログインアクティビティベースの異常

このセクションは、異常なアクターが行ったログイン試行回数の詳細について説明するものであり、ログイン試行の結果ごとにグループ分けされています。RDS Protection の検出結果タイプ はログインイベントをモニタリングして successfulLoginCountfailedLoginCountincompleteConnectionCount などの異常なパターンがないかを確認し、異常な動作を特定します。

  • successfulLoginCount – このカウンターは、異常なアクターによってデータベースインスタンスに対して行われた正常な接続 (ログイン属性の正しい組み合わせ) の合計を表します。ログイン属性には、ユーザー名、パスワード、データベース名が含まれます。

  • failedLoginCount – このカウンターは、データベースインスタンスへの接続を確立するために失敗した (失敗した) ログイン試行の合計を表します。これは、ユーザー名、パスワード、データベース名など、ログイン情報の組み合わせの属性が 1 つ以上、正しくなかったことを示します。

  • incompleteConnectionCount – このカウンターは、成功または失敗として分類できない接続試行の数を表します。これらの接続は、データベースが応答する前に閉じられています。例えば、データベースポートは接続されているものの情報がデータベースに送信されないポートスキャンや、ログインが成功または失敗して完了する前に接続が中止された場合などです。