翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon GuardDuty の検出結果について
GuardDuty 検出結果は、ネットワーク内で検出された潜在的なセキュリティ問題を表します。 GuardDuty は、 AWS 環境で予期しないアクティビティや悪意のある可能性のあるアクティビティを検出するたびに検出結果を生成します。
GuardDuty 検出結果は、 GuardDuty コンソールの「検出結果」ページで、または AWS CLI または API オペレーションを使用して表示および管理できます。検出結果の管理方法の概要については、「Amazon の検出 GuardDuty 結果の管理」を参照してください。
トピック:
- 検出結果の詳細
-
アカウントで生成される GuardDuty 検出結果に関連する詳細について説明します。
- GuardDuty の検出結果の形式
-
検出 GuardDuty 結果タイプの形式と、 によって追跡されるさまざまな脅威の目的を理解します GuardDuty。
- サンプルの検出結果
-
サンプルの検出結果を生成して、 GuardDuty 検出結果と関連の詳細をテストして理解してみてください。これらの検出結果は、プレフィックス [SAMPLE] でマークされます。
- 専用アカウントで GuardDuty の検出結果のテスト
-
専用の非本番環境で
guardduty-testerスクリプトを実行して AWS アカウント 、 AWS 環境で選択した GuardDuty 結果を生成します。 - 検出結果タイプ
-
使用可能なすべての GuardDuty 検出結果をタイプ別に表示および検索します。各検出結果タイプの内容には、その検出結果の説明と修復のためのヒントと推奨事項が含まれています。
GuardDuty 検出結果の重要度レベル
各 GuardDuty 検出結果には、セキュリティエンジニアが判断したネットワークに対する潜在的なリスクを反映した重要度レベルと値が割り当てられます。重要度の値の範囲は 1.0~8.9 です。値が大きいほど、セキュリティリスクが高いことを示します。検出結果で強調表示されている潜在的なセキュリティ問題への対応を判断するために、 はこの範囲を、高、中、低の重要度レベルに分類 GuardDuty します。
注記
0 の値と 9.0~10.0 の範囲の値は将来使用するために現在予約されています。
現在定義されている検出結果の GuardDuty重要度レベルと値、およびそれぞれの一般的な推奨事項を次に示します。
| 重要度レベル | 値の範囲 |
|---|---|
[High] (高) |
7.0~8.9 |
高の重要度は、問題になっているリソース (EC2 インスタンスや IAM ユーザーサインイン認証情報) が侵害され、不正な目的で活発に使用されていることを示します。 重要度が [High] (高) の検出結果のセキュリティの問題は、優先事項として処理し、リソースのそれ以上の不正使用を防ぐために直ちに修復を行うことをお勧めします。例えば、EC2 インスタンスをクリーンアップまたは終了するか、IAM 認証情報を更新します。詳細については、「Remediation Steps」(修復のステップ) を参照してください。 |
|
[Medium] (中) |
4.0~6.9 |
[Medium] (中) の重要度は、通常観察される動作から逸脱する不審なアクティビティを示し、場合によってはリソースが侵害されていることを示します。 できるだけ早く、関連するリソースを調査することをお勧めします。修復のステップはリソースと検出結果のタイプによって異なりますが、通常、アクティビティが許可されており、ユースケースに沿っていることを確認する必要があります。原因を特定できない場合やアクティビティが許可されたことを確認できない場合は、リソースが侵害されたとみなし、「Remediation Steps」(修復のステップ) に従ってリソースを保護する必要があります。 次に、重要度が [Medium] (中) の検出結果を確認する場合に考慮する事項を示します。
|
|
[Low] (低) |
1.0~3.9 |
「低」の重要度は、ネットワークが侵害されなかった不審なアクティビティが試行されたことを示します (ポートスキャンや侵入の失敗など)。 すぐに推奨されるアクションはありませんが、この情報は、誰かがネットワークの弱点を探していることを示している可能性があるので、念のためメモしてください。 |
|
GuardDuty 結果の集約
すべての検出結果は動的です。つまり、 が同じセキュリティ問題に関連する新しいアクティビティ GuardDuty を検出すると、新しい検出結果を生成する代わりに、元の検出結果を新しい情報で更新します。この動作により、同様のレポートを複数確認しなくても現在の問題を識別することが可能となり、認識済みのセキュリティの問題が重複してノイズになることを減らせます。
例えば、UnauthorizedAccess:EC2/SSHBruteForce の検出結果の場合、インスタンスへの複数のアクセスの試行が同じ検出結果 ID に集約され、検出結果の詳細のカウント数が増加します。これは、その検出結果が、インスタンスの SSH ポートがそのタイプのアクティビティに対して適切に保護されていないことを示す単一のセキュリティの問題を示しているためです。ただし、 が環境内の新しいインスタンスをターゲットとする SSH アクセスアクティビティ GuardDuty を検出すると、一意の検出結果 ID を持つ新しい検出結果が作成され、新しいリソースに関連するセキュリティ上の問題があることを警告します。
検出結果が集計されると、そのアクティビティの最新のオカレンスの情報で更新されます。つまり、上記の例ではインスタンスが新しいアクターからのブルートフォースの試みのターゲットになった場合、検出結果の詳細は最も新しいソースのリモート IP を反映して更新され、古い情報は置き換えられることになります。個々のアクティビティの試行に関する詳細情報は、 または VPC フローログで CloudTrail引き続き利用できます。
既存の検出結果を集約するのではなく、新しい検出結果を生成する GuardDuty ようにアラートする基準は、検出結果のタイプによって異なります。各検出結果タイプの集約の条件は、ご利用のアカウントの個別のセキュリティの問題を明確にするために、当社のセキュリティエンジニアによって決定されます。
結果の検索と分析 GuardDuty
以下の手順に従って、 GuardDuty 結果を表示および分析します。
-
https://console.aws.amazon.com/guardduty/
で GuardDuty コンソールを開きます。 -
[Findings] (結果) を選択し、特定の検出結果を選択して詳細を表示します。
各検出結果の詳細は、検出結果タイプ、関連リソース、アクティビティの性質によって異なります。使用可能な検出結果フィールドの詳細については、「検出結果の詳細」を参照してください。
-
(オプション) 検出結果をアーカイブする場合は、検出結果のリストから検出結果を選択し、[Actions] (アクション) メニューを選択します。その後、[Archive] (アーカイブ) を選択します。
アーカイブされた検出結果は、[Current] (最新) のドロップダウンから [Archived] (アーカイブ済み) を選択すると表示されます。
現在、 GuardDuty メンバーアカウントの GuardDuty ユーザーは結果をアーカイブできません。
重要
上記の手順を使用して検出結果を手動でアーカイブする場合は、この検索後に発生した検出結果 (アーカイブ完了後に生成された検出結果) はすべて、現在の検出結果のリストに追加されます。現在のリストにこの検出結果を表示しない場合は、自動アーカイブすることができます。詳細については、「抑制ルール」を参照してください。
-
(オプション) 検出結果をダウンロードするには、検出結果のリストから検出結果を選択し、[Actions] (アクション) メニューを選択します。その後、[Export] (エクスポート) を選択します。検出結果を [Export] (エクスポート) すると、完全な JSON ドキュメントが表示されます。
注記
場合によっては、 は、特定の検出結果が生成された後に誤検出である GuardDuty ことを認識します。 は、検出結果の JSON に信頼度フィールド GuardDuty を提供し、その値をゼロに設定します。これにより GuardDuty 、このような検出結果を安全に無視できることがわかります。
