Amazon GuardDuty の結果を理解する - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon GuardDuty の結果を理解する

GuardDuty の結果は、ネットワーク内で検出された潜在的なセキュリティ問題を表します。GuardDuty は、あなたので予期しないアクティビティと潜在的に悪意のあるアクティビティを検出したときに結果を生成します。AWS環境。

GuardDuty の結果を表示および管理できます。結果ページを使用するか、GuardDuty CLI または API 操作を使用して操作します。結果を管理する方法の概要については、」Amazon GuardDuty の結果の管理

トピック:

結果の詳細

GuardDuty の結果で利用可能なデータのタイプについて説明します。

サンプルの結果

GuardDuty をテストまたは理解するために、結果のサンプルを生成する方法について説明します。

GuardDuty 結果形式

GuardDuty の結果タイプの形式と GuardDuty で追跡するさまざまな脅威の目的について説明します。

タイプの検索

で利用可能なすべてのGuardDuty 結果をタイプ別で示します。各結果タイプのエントリには、その結果の説明と修正のためのヒントと推奨事項が含まれています。

GuardDuty 結果の重大度

各 GuardDuty 結果には、当社のセキュリティエンジニアが定めたネットワークの潜在的なリスクを示す重大度と値が割り当てられます。重大度の値の範囲は 0.1~8.9 です。値が大きいほど、セキュリティリスクが高いことを示します。結果が示す潜在的なセキュリティの問題への対応を判断するために役立つように、GuardDuty はこの範囲を「高」、「中」、「低」の重大度に分けています。

注記

値 0 と 9.0 から 10.0 が将来使用するために現在予約されています。

以下に、GuardDuty の結果で現在定義されている重大度と値とそれぞれの一般的な推奨事項を示します。

重大度 値の範囲

8.9~7.0

高重大度は、問題のリソース (EC2 インスタンスまたは IAM ユーザーの認証情報セット) が侵害されており、不正な目的でアクティブに使用されていることを示します。

重大度が「高」の結果のセキュリティの問題は、優先事項として処理し、リソースのそれ以上の不正使用を防ぐために直ちに修正を行うことをお勧めします。たとえば、EC2 インスタンスをクリーンアップまたは終了するか、IAM 認証情報を更新します。詳細については、修正の手順を参照してください。

ミディアム

6.9~4.0

「中」の重大度は、通常観察される動作から逸脱する不審なアクティビティを示し、場合によってはリソースが侵害されていることを示します。

できるだけ早く、関連するリソースを調査することをお勧めします。修正の手順はリソースと結果のタイプによって異なりますが、通常、アクティビティが許可されており、ユースケースに沿っていることを確認する必要があります。原因を特定できない場合やアクティビティが許可されたことを確認できない場合は、リソースが侵害されたとみなし、修復ステップを使用してリソースを保護します。

以下に、重大度が「中」の結果を確認する場合に考慮する事項を示します。

  • 未承認のユーザーがインストールした新しいソフトウェアでリソースの動作が変更されていないか確認してください。たとえば、通常より高いトラフィックが許可されている場合や、新しいポートの通信が有効化されている場合などがあります。

  • 許可されているユーザーがコントロールパネルの設定を変更しているかどうかを確認します (セキュリティグループの設定の変更など)。

  • 該当するリソースでアンチウィルススキャンを実行し、未承認のソフトウェアを検出します。

  • 該当する IAM ロール、ユーザー、グループ、認証情報セットにアタッチされているアクセス許可を検証します。以下のアクセス許可を変更または更新する必要がある場合があります。

3.9~1.0

「低」の重大度は、ネットワークが侵害されなかった不審なアクティビティが試行されたことを示します (ポートスキャンや侵入の失敗など)。

すぐに推奨されるアクションはありませんが、この情報は、だれかがネットワークの弱点を探していることを示している可能性があるので、念のためメモしてください。

GuardDuty 結果の集約

すべての結果は動的です。GuardDuty が同じセキュリティの問題に関連する新しいアクティビティを検出すると、新しい結果が生成されるのではなく、元の結果が新しい情報で更新されます。この動作により、同様のレポートを複数確認しなくても現在の問題を識別することが可能となり、認識済みのセキュリティの問題が重複してノイズになることが減少します。

例えば、結果が UnauthorizedAccess:EC2/SSHBruteForce の場合、インスタンスへの複数のアクセスの試行が同じ結果 ID に集約され、検索の詳細のカウント数が増加します。これは、その結果が、インスタンスの SSH ポートがそのタイプのアクティビティに対して適切に保護されていないことを示す単一のセキュリティの問題を示しているためです。ただし、GuardDuty が環境の新しいインスタンスをターゲットとする SSH アクセスのアクティビティを検出すると、一意の結果 ID を持つ新しい結果が作成され、新しいリソースに関連するセキュリティの問題があることがアラートで示されます。

検索結果を集計すると、そのアクティビティの最新のオカレンスからの情報で更新されます。上記の例では、インスタンスが新しいアクターからのブルートフォース攻撃のターゲットである場合、結果の詳細は最新の攻撃元のリモート IP を示すように更新され、古い情報が置き換えられます。個々のアクティビティの試行についての詳細は、CloudTrail または VPC フローログに引き続き記録されます。

GuardDuty で既存の結果を集約するのではなく新しい結果を生成するように警告する条件は、結果タイプによって異なります。各結果タイプの集約の条件は、お使いのアカウントの個別のセキュリティの問題を明確にするために、当社のセキュリティエンジニアによって決定されます。

GuardDuty yの調査結果の特定と分析

GuardDuty の結果を表示および分析するには、次の手順を使用します。

  1. GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. [結果] をクリックし、特定の結果を選択して詳細を表示します。

    各結果の詳細は、結果タイプ、関連リソース、アクティビティの性質によって異なります。使用可能な結果フィールドの詳細については、「結果の詳細」を参照してください。

  3. (オプション) 結果を保存する場合は、結果のリストから結果を選択し、[アクションメニュー。次に、[アーカイブ] をクリックします。

    アーカイブされた結果を表示するには、アーカイブ済みからの最新のドロップダウンをクリックします。

    現在 GuardDuty メンバーアカウントのユーザーが、結果をアーカイブすることはできません。

    重要

    上記の手順を使用して検索結果を手動でアーカイブする場合は、この検索後に発生した結果 (アーカイブ完了後に生成された結果) はすべて、現在の検索結果のリストに追加されます。現在のリストにこの結果を表示しない場合は、自動アーカイブすることができます。詳細については、「サプレッションルール」を参照してください。

  4. (オプション) 結果をダウンロードするには、結果のリストから結果を選択し、[アクション] メニューをクリックします。次に、[エクスポート] をクリックします。結果をエクスポートすると、完全な JSON ドキュメントが表示されます。

    注記

    GuardDuty 結果の信頼度が 0 に設定されている場合のみ、Confidenceフィールドが完全な結果の JSON に表示されます。の存在はConfidenceフィールドが 0 に設定されている場合は、この GuardDuty 結果が誤検出であることを示します。