Amazon GuardDuty の検出結果について
GuardDuty の検出結果は、ネットワーク内で検出された潜在的なセキュリティ上の問題を表します。AWS 環境で、潜在的に悪意のある予期しないアクティビティを検出すると、GuardDuty によって検出結果が生成されます。
GuardDuty の検出結果は、GuardDuty コンソールの [Findings] (検出結果) ページで、または AWS CLI や API オペレーションを使用して表示および管理できます。検出結果の管理方法の概要については、「Amazon GuardDuty の検出結果の管理」を参照してください。
トピック:
- 検出結果の詳細
-
GuardDuty の検出結果で使用できるデータのタイプについて説明します。
- サンプルの検出結果
-
GuardDuty のテストまたは理解のために、検出結果のサンプルを生成する方法について説明します。
- GuardDuty の検出結果の形式
-
GuardDuty の検出結果タイプの形式と GuardDuty で追跡するさまざまな脅威の目的について説明します。
- 検出結果タイプ
-
GuardDuty で利用可能なすべての検出結果をタイプ別で示します。各検出結果タイプの内容には、その検出結果の説明と修復のためのヒントと推奨事項が含まれています。
GuardDuty の検出結果の重要度
GuardDuty の各検出結果には、当社のセキュリティエンジニアが定めたネットワークの潜在的なリスクを示す重要度と値が割り当てられます。重要度の値の範囲は 1.0~8.9 です。値が大きいほど、セキュリティリスクが高いことを示します。検出結果が示す潜在的なセキュリティの問題への対応を判断するために役立つように、GuardDuty ではこの範囲を [High] (高)、[Medium] (中)、[Low] (低) の重要度に分けています。
注記
0 の値と 9.0~10.0 の範囲の値は将来使用するために現在予約されています。
次に、GuardDuty の検出結果について現在定められている重要度と値とそれぞれの一般的なレコメンデーションを示します。
| 重要度レベル | 値の範囲 |
|---|---|
[High] (高) |
7.0~8.9 |
高の重要度は、問題になっているリソース (EC2 インスタンスや IAM ユーザーサインイン認証情報) が侵害され、不正な目的で活発に使用されていることを示します。 重要度が [High] (高) の検出結果のセキュリティの問題は、優先事項として処理し、リソースのそれ以上の不正使用を防ぐために直ちに修復を行うことをお勧めします。例えば、EC2 インスタンスをクリーンアップまたは終了するか、IAM 認証情報を更新します。詳細については、「Remediation Steps」(修復のステップ) を参照してください。 |
|
[Medium] (中) |
4.0~6.9 |
[Medium] (中) の重要度は、通常観察される動作から逸脱する不審なアクティビティを示し、場合によってはリソースが侵害されていることを示します。 できるだけ早く、関連するリソースを調査することをお勧めします。修復のステップはリソースと検出結果のタイプによって異なりますが、通常、アクティビティが許可されており、ユースケースに沿っていることを確認する必要があります。原因を特定できない場合やアクティビティが許可されたことを確認できない場合は、リソースが侵害されたとみなし、「Remediation Steps」(修復のステップ) に従ってリソースを保護する必要があります。 次に、重要度が [Medium] (中) の検出結果を確認する場合に考慮する事項を示します。
|
|
[Low] (低) |
1.0~3.9 |
「低」の重要度は、ネットワークが侵害されなかった不審なアクティビティが試行されたことを示します (ポートスキャンや侵入の失敗など)。 すぐに推奨されるアクションはありませんが、この情報は、誰かがネットワークの弱点を探していることを示している可能性があるので、念のためメモしてください。 |
|
GuardDuty の検出結果の集約
すべての検出結果は動的です。これは、GuardDuty が同一のセキュリティ問題に関連する新しいアクティビティが検出されると、新しい検出結果が生成されるのではなく、元の検出結果が新しい情報で更新されることを意味します。この動作により、同様のレポートを複数確認しなくても現在の問題を識別することが可能となり、認識済みのセキュリティの問題が重複してノイズになることを減らせます。
例えば、UnauthorizedAccess:EC2/SSHBruteForce の検出結果の場合、インスタンスへの複数のアクセスの試行が同じ検出結果 ID に集約され、検出結果の詳細のカウント数が増加します。これは、その検出結果が、インスタンスの SSH ポートがそのタイプのアクティビティに対して適切に保護されていないことを示す単一のセキュリティの問題を示しているためです。ただし、GuardDuty で環境の新しいインスタンスをターゲットとする SSH アクセスのアクティビティが検出されると、一意の検出結果 ID を持つ新しい検出結果が作成され、新しいリソースに関連するセキュリティの問題があることがアラートで示されます。
検出結果が集計されると、そのアクティビティの最新のオカレンスの情報で更新されます。つまり、上記の例ではインスタンスが新しいアクターからのブルートフォースの試みのターゲットになった場合、検出結果の詳細は最も新しいソースのリモート IP を反映して更新され、古い情報は置き換えられることになります。個々のアクティビティの試行についての詳細は、CloudTrail または VPC フローログに引き続き記録されます。
アラート GuardDuty で既存の検出結果を集約するのではなく、新しい検出結果を生成するようにトリガーする条件は、検出結果タイプによって異なります。各検出結果タイプの集約の条件は、ご利用のアカウントの個別のセキュリティの問題を明確にするために、当社のセキュリティエンジニアによって決定されます。
GuardDuty の検出結果を見つけて分析する
GuardDuty の検出結果を表示および分析するには、次の手順を使用します。
-
https://console.aws.amazon.com/guardduty/
で GuardDuty コンソールを開きます。 -
[Findings] (結果) を選択し、特定の検出結果を選択して詳細を表示します。
各検出結果の詳細は、検出結果タイプ、関連リソース、アクティビティの性質によって異なります。使用可能な検出結果フィールドの詳細については、「検出結果の詳細」を参照してください。
-
(オプション) 検出結果をアーカイブする場合は、検出結果のリストから検出結果を選択し、[Actions] (アクション) メニューを選択します。その後、[Archive] (アーカイブ) を選択します。
アーカイブされた検出結果は、[Current] (最新) のドロップダウンから [Archived] (アーカイブ済み) を選択すると表示されます。
現時点において、GuardDuty では GuardDuty メンバーアカウントのユーザーは検出結果をアーカイブすることができません。
重要
上記の手順を使用して検出結果を手動でアーカイブする場合は、この検索後に発生した検出結果 (アーカイブ完了後に生成された検出結果) はすべて、現在の検出結果のリストに追加されます。現在のリストにこの検出結果を表示しない場合は、自動アーカイブすることができます。詳細については、「抑制ルール」を参照してください。
-
(オプション) 検出結果をダウンロードするには、検出結果のリストから検出結果を選択し、[Actions] (アクション) メニューを選択します。その後、[Export] (エクスポート) を選択します。検出結果を [Export] (エクスポート) すると、完全な JSON ドキュメントが表示されます。
注記
場合によっては、GuardDuty は、ある検出結果が生成された後に、その結果が誤検出であることを認識することがあります。GuardDuty は検出結果の JSON 詳細に [Confidence] (信頼度) フィールドを設けて、その値をゼロに設定します。このようにして、GuardDuty はこうした検出結果を無視しても構わないことを知らせます。
