翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon GuardDuty 調査結果を理解する
GuardDuty 調査結果は、ネットワーク内で検出された潜在的なセキュリティ問題を表します。 GuardDuty AWS 環境内で予期せぬアクティビティや潜在的に悪意のあるアクティビティが検出されると、結果が生成されます。
GuardDuty GuardDuty 結果はコンソールの [Findings] ページで確認および管理できます。また、 AWS CLI または API オペレーションを使用して管理することもできます。検出結果の管理方法の概要については、「Amazon GuardDuty 調査結果の管理」を参照してください。
トピック:
- 検出結果の詳細
-
GuardDuty 調査結果に含まれるデータの種類について説明します。
- サンプルの検出結果
-
テストや理解を深めるために所見のサンプルを生成する方法を学びましょう GuardDuty。
- GuardDuty の検出結果の形式
-
GuardDuty 調査結果の種類の形式と、 GuardDutyによって追跡されるさまざまな脅威の目的を理解してください。
- 検出結果タイプ
-
GuardDuty 入手可能なすべての結果をタイプ別に表示して検索できます。各検出結果タイプの内容には、その検出結果の説明と修復のためのヒントと推奨事項が含まれています。
GuardDuty 調査結果の重要度レベル
GuardDuty 各調査結果には、セキュリティエンジニアが判断したネットワークへの潜在的なリスクを反映した重大度と値が割り当てられています。重要度の値の範囲は 1.0~8.9 です。値が大きいほど、セキュリティリスクが高いことを示します。調査結果によって明らかになった潜在的なセキュリティ問題への対応を判断しやすくするため、 GuardDuty この範囲を高、中、低の重大度レベルに分類します。
注記
0 の値と 9.0~10.0 の範囲の値は将来使用するために現在予約されています。
GuardDuty調査結果について現在定義されている重要度レベルと値、およびそれぞれの一般的な推奨事項を以下に示します。
重要度レベル | 値の範囲 |
---|---|
[High] (高) |
7.0-8.9 |
高の重要度は、問題になっているリソース (EC2 インスタンスや IAM ユーザーサインイン認証情報) が侵害され、不正な目的で活発に使用されていることを示します。 重要度が [High] (高) の検出結果のセキュリティの問題は、優先事項として処理し、リソースのそれ以上の不正使用を防ぐために直ちに修復を行うことをお勧めします。例えば、EC2 インスタンスをクリーンアップまたは終了するか、IAM 認証情報を更新します。詳細については、「Remediation Steps」(修復のステップ) を参照してください。 |
|
[Medium] (中) |
4.0-6.9 |
[Medium] (中) の重要度は、通常観察される動作から逸脱する不審なアクティビティを示し、場合によってはリソースが侵害されていることを示します。 できるだけ早く、関連するリソースを調査することをお勧めします。修復のステップはリソースと検出結果のタイプによって異なりますが、通常、アクティビティが許可されており、ユースケースに沿っていることを確認する必要があります。原因を特定できない場合やアクティビティが許可されたことを確認できない場合は、リソースが侵害されたとみなし、「Remediation Steps」(修復のステップ) に従ってリソースを保護する必要があります。 次に、重要度が [Medium] (中) の検出結果を確認する場合に考慮する事項を示します。
|
|
[Low] (低) |
1.0-3.9 |
「低」の重要度は、ネットワークが侵害されなかった不審なアクティビティが試行されたことを示します (ポートスキャンや侵入の失敗など)。 すぐに推奨されるアクションはありませんが、この情報は、誰かがネットワークの弱点を探していることを示している可能性があるので、念のためメモしてください。 |
GuardDuty アグリゲーションの検索
すべての結果は動的です。つまり、 GuardDuty 同じセキュリティ問題に関連する新しいアクティビティが検出されると、新しい結果を生成するのではなく、元の検出結果を新しい情報で更新します。この動作により、同様のレポートを複数確認しなくても現在の問題を識別することが可能となり、認識済みのセキュリティの問題が重複してノイズになることを減らせます。
例えば、UnauthorizedAccess:EC2/SSHBruteForce
の検出結果の場合、インスタンスへの複数のアクセスの試行が同じ検出結果 ID に集約され、検出結果の詳細のカウント数が増加します。これは、その検出結果が、インスタンスの SSH ポートがそのタイプのアクティビティに対して適切に保護されていないことを示す単一のセキュリティの問題を示しているためです。ただし、環境内の新しいインスタンスを対象とする SSH GuardDuty アクセスアクティビティを検出すると、固有の検出結果 ID を使用して新しい結果が作成され、新しいリソースに関連するセキュリティ上の問題があることが通知されます。
検出結果が集計されると、そのアクティビティの最新のオカレンスの情報で更新されます。つまり、上記の例ではインスタンスが新しいアクターからのブルートフォースの試みのターゲットになった場合、検出結果の詳細は最も新しいソースのリモート IP を反映して更新され、古い情報は置き換えられることになります。個々のアクティビティ試行に関する詳細情報は、 CloudTrail引き続きユーザーまたは VPC フローログで確認できます。
GuardDuty 既存の結果を集約する代わりに新しい結果を生成するように警告する条件は、結果のタイプによって異なります。各検出結果タイプの集約の条件は、ご利用のアカウントの個別のセキュリティの問題を明確にするために、当社のセキュリティエンジニアによって決定されます。
調査結果の特定と分析 GuardDuty
以下の手順に従って、 GuardDuty 調査結果を表示して分析します。
-
https://console.aws.amazon.com/guardduty/ GuardDuty
でコンソールを開きます。 -
[Findings] (結果) を選択し、特定の検出結果を選択して詳細を表示します。
各検出結果の詳細は、検出結果タイプ、関連リソース、アクティビティの性質によって異なります。使用可能な検出結果フィールドの詳細については、「検出結果の詳細」を参照してください。
-
(オプション) 検出結果をアーカイブする場合は、検出結果のリストから検出結果を選択し、[Actions] (アクション) メニューを選択します。その後、[Archive] (アーカイブ) を選択します。
アーカイブされた検出結果は、[Current] (最新) のドロップダウンから [Archived] (アーカイブ済み) を選択すると表示されます。
現在、 GuardDuty GuardDuty メンバーアカウントのユーザーは結果をアーカイブできません。
重要
上記の手順を使用して検出結果を手動でアーカイブする場合は、この検索後に発生した検出結果 (アーカイブ完了後に生成された検出結果) はすべて、現在の検出結果のリストに追加されます。現在のリストにこの検出結果を表示しない場合は、自動アーカイブすることができます。詳細については、「抑制ルール」を参照してください。
-
(オプション) 検出結果をダウンロードするには、検出結果のリストから検出結果を選択し、[Actions] (アクション) メニューを選択します。その後、[Export] (エクスポート) を選択します。検出結果を [Export] (エクスポート) すると、完全な JSON ドキュメントが表示されます。
注記
場合によっては、 GuardDuty 特定の結果が生成された後に誤検出であることに気付くことがあります。 GuardDuty 結果の JSON に Confidence フィールドを指定し、その値を 0 に設定します。 GuardDuty こうすることで、このような結果は無視しても問題ないことがわかります。