Amazon GuardDuty の検出結果について - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon GuardDuty の検出結果について

GuardDuty 検出結果は、ネットワーク内で検出された潜在的なセキュリティ問題を表します。 GuardDuty は、 AWS 環境で予期しないアクティビティや悪意のある可能性のあるアクティビティを検出するたびに検出結果を生成します。

GuardDuty 検出結果は、 GuardDuty コンソールの「検出結果」ページで、または AWS CLI または APIオペレーションを使用して表示および管理できます。検出結果の管理方法の概要については、「Amazon の検出 GuardDuty 結果の管理」を参照してください。

トピック:

GuardDuty の検出結果の形式

GuardDuty 検出結果タイプの形式と、 によって追跡されるさまざまな脅威の目的を理解します GuardDuty。

サンプルの検出結果

サンプル検出結果を生成して、 GuardDuty 検出結果と関連の詳細をテストして理解してみてください。これらの検出結果には、プレフィックス 〔SAMPLE〕 が付きます。

専用アカウントで GuardDuty 検出結果をテストする

専用の非本番環境でguardduty-testerスクリプトを実行して AWS アカウント 、 AWS 環境で選択した GuardDuty 結果を生成します。

検出結果の詳細

アカウントで生成される GuardDuty 検出結果に関連する詳細について説明します。

検出結果タイプ

使用可能なすべての GuardDuty 検出結果をタイプ別に表示および検索します。各検出結果タイプの内容には、その検出結果の説明と修復のためのヒントと推奨事項が含まれています。

GuardDuty 検出結果の重要度レベル

各 GuardDuty 検出結果には、セキュリティエンジニアが判断したネットワークに対する潜在的なリスクを反映した重要度レベルと値が割り当てられます。重要度の値の範囲は 1.0~8.9 です。値が大きいほど、セキュリティリスクが高いことを示します。検出結果によって強調表示された潜在的なセキュリティ問題への対応を判断するために、 はこの範囲を、高、中、低の重要度レベルに GuardDuty 分類します。

注記

0 の値と 9.0~10.0 の範囲の値は将来使用するために現在予約されています。

現在定義されている検出結果の GuardDuty重要度レベルと値、およびそれぞれの一般的な推奨事項を次に示します。

重要度レベル 値の範囲

[High] (高)

7.0~8.9

重要度が高いレベルは、対象のリソース (EC2インスタンスまたはIAMユーザーのサインイン認証情報のセット) が侵害され、不正な目的でアクティブに使用されていることを示します。

重要度が [High] (高) の検出結果のセキュリティの問題は、優先事項として処理し、リソースのそれ以上の不正使用を防ぐために直ちに修復を行うことをお勧めします。例えば、EC2インスタンスをクリーンアップするか、終了するか、IAM認証情報をローテーションします。詳細については、「Remediation Steps」(修復のステップ) を参照してください。

[Medium] (中)

4.0~6.9

[Medium] (中) の重要度は、通常観察される動作から逸脱する不審なアクティビティを示し、場合によってはリソースが侵害されていることを示します。

できるだけ早く、関連するリソースを調査することをお勧めします。修復のステップはリソースと検出結果のタイプによって異なりますが、通常、アクティビティが許可されており、ユースケースに沿っていることを確認する必要があります。原因を特定できない場合やアクティビティが許可されたことを確認できない場合は、リソースが侵害されたとみなし、「Remediation Steps」(修復のステップ) に従ってリソースを保護する必要があります。

次に、重要度が [Medium] (中) の検出結果を確認する場合に考慮する事項を示します。

  • 未承認のユーザーがインストールした新しいソフトウェアでリソースの動作が変更されていないか確認してください。例えば、通常より高いトラフィックが許可されている場合や、新しいポートの通信が有効化されている場合などがあります。

  • 許可されているユーザーがコントロールパネルの設定を変更しているかどうかを確認します (セキュリティグループの設定の変更など)。

  • 該当するリソースでアンチウィルススキャンを実行し、未承認のソフトウェアを検出します。

  • 暗黙的なIAMロール、ユーザー、グループ、または認証情報のセットにアタッチされているアクセス許可を確認します。次のアクセス許可を変更または更新する必要がある場合があります。

[Low] (低)

1.0~3.9

「低」の重要度は、ネットワークが侵害されなかった不審なアクティビティが試行されたことを示します (ポートスキャンや侵入の失敗など)。

すぐに推奨されるアクションはありませんが、この情報は、誰かがネットワークの弱点を探していることを示している可能性があるので、念のためメモしてください。