GuardDuty の使用開始 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty の使用開始

このチュートリアルでは、GuardDuty の実践入門を示します。GuardDuty をスタンドアロンアカウントとして、またはAWS Organizations手順 1. で説明します。ステップ2から5では、GuardDutyが推奨する追加機能を使用して調査結果を最大限に引き出します。

開始する前に

GuardDuty は、分析するモニタリングサービスです。AWS CloudTrail管理や Amazon S3 データイベント、VPC フローログ、DNS ログを使用して、アカウントのセキュリティ結果を生成します。GuardDuty を有効にすると、すぐに環境の監視が開始されます。GuardDuty はいつでも無効化して、すべての処理を停止できます。AWS CloudTrailイベント、VPC フローログ、DNS ログに展開します。

注記

有効にする必要はありません。AWS CloudTrailGuardDuty を開始する前に、Amazon S3 データイベント、VPC フローログ、DNS ログを発行します。Amazon GuardDuty は、これらのサービスから独立したデータストリームを直接取得します。詳細については、「」を参照してください。Amazon GuardDuty でデータソースを使用する方法を説明します。

GuardDuty の有効化については、以下の点に注意してください。:

  • GuardDuty はリージョナルサービスです。つまり、このページで従う設定手順は、GuardDuty を使用して監視する各リージョンで繰り返す必要があります。

    サポートされているすべての GuardDuty を有効にすることを強くお勧めします。AWS[リージョン] こうすることで、お客様が能動的に使用していないリージョンでも、GuardDuty が許可されていないアクティビティや異常なアクティビティに関する検索結果をで生成できます。これにより、GuardDutyが監視することもできますAWS CloudTrailグローバル用のイベントAWSサービス(IAM など)。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。GuardDuty がサポートされているリージョンの詳細な一覧については、リージョンとエンドポイント

  • で管理者権限を持つすべてのユーザーAWSアカウントは GuardDuty を有効にできますが、最小特権というセキュリティのベストプラクティスに従って、GuardDuty を具体的に管理する IAM ユーザー、ロール、またはグループを作成することをお勧めします。GuardDuty を有効にするために必要なアクセス許可の詳細については、「」を参照してください。GuardDuty の有効化に必要なアクセス許可

  • どのリージョンでも初めて GuardDuty を有効にすると、アカウントのAWSServiceRoleForAmazonGuardDuty。このロールには、GuardDuty がAWS CloudTrail、VPC フローログ、および DNS ログを使用して、セキュリティ調査結果を生成します。詳細については、「GuardDuty のサービスにリンクされたロールのアクセス許可」を参照してください。サービスにリンクされたロールの詳細については、「」を参照してください。サービスにリンクされたロールの使用

  • どのリージョンでも初めて GuardDuty を有効にした場合、AWSアカウントは、そのリージョンの 30 日 GuardDuty 無料トライアルで自動的に登録されます。

ステップ 1: Amazon GuardDuty

GuardDutyを使用する最初のステップは、あなたのアカウントでそれを有効にすることです。有効にすると、GuardDuty は現在の地域のセキュリティ脅威の監視を直ちに開始します。

GuardDuty 管理者として組織内の他のアカウントの GuardDuty 結果を管理する場合は、メンバアカウントを追加し、メンバーの GuardDuty も有効にする必要があります。オプションを選択して、ご使用の環境で GuardDuty を有効にする方法を確認してください。

Standalone account environment
  1. で GuardDuty コンソールを開きます。https://console.aws.amazon.com/guardduty/

  2. [Get Started] を選択します。

  3. [Enable GuardDuty (ガードデューティを有効にする)] を選択します。

Multi-account environment
重要

このプロセスの前提条件として、管理するすべてのアカウントと同じ組織に所属し、AWS Organizations管理アカウントを使用して、組織内の GuardDuty の管理者を委任します。管理者の委任には、追加のアクセス許可が必要な場合があります。詳細については、委任された管理者の指定に必要な権限

GuardDuty の管理者を委任するには

  1. ログインします。AWS Organizations管理アカウント

  2. で GuardDuty コンソールを開きます。https://console.aws.amazon.com/guardduty/

    アカウントで GuardDuty がすでに有効になっていますか?

    • GuardDuty がまだ有効になっていない場合は、開始方法し、GuardDuty の委任された管理者をようこそGuardDutyページで.

    • GuardDuty が有効な場合、GuardDuty の委任された管理者を設定ページで.

  3. 12 桁のAWS組織の GuardDuty 委任管理者として指定するアカウントのアカウント ID を選択し、委任

    注記

    GuardDuty がまだ有効になっていない場合、委任管理者を指定すると、現在のリージョンでそのアカウントの GuardDuty が有効になります。

メンバーアカウントを追加するには

この手順では、GuardDuty 委任された管理者アカウントへのメンバーアカウントの追加について説明します。AWS Organizations。招待でメンバーを追加するオプションもあります。GuardDuty でメンバーを関連付ける両方の方法の詳細については、「」を参照してください。Amazon GuardDuty で複数のアカウントを管理する AWSGuardDuty とのサービスの統合

  1. 委任管理者アカウントにログインします。

  2. で GuardDuty コンソールを開きます。https://console.aws.amazon.com/guardduty/

  3. ナビゲーションパネルで [Settings (設定)] を選択してから、[Accounts (アカウント)] を選択します。

    アカウントの一覧に組織内のすべてのアカウントが表示されます。

  4. アカウント ID の横にあるチェックボックスをオンにして、メンバーとして追加するアカウントを選択します。次に、アクションメニュー選択メンバーを追加する

    ヒント

    新しいアカウントをメンバーとして自動的に追加するには、自動有効化する機能を使用できますが、この機能を有効にした後に組織に参加しているアカウントにのみ適用されます。

ステップ 2: サンプル結果を生成し、基本的な操作を調べる

GuardDuty がセキュリティ上の問題を発見すると、結果を生成します。GuardDuty の検索は、その固有のセキュリティ問題に関する詳細を含むデータセットです。調査結果の詳細は、問題の調査に役立てることができます。

GuardDuty では、プレースホルダ値を使用してサンプル結果を生成できます。この値を使用して GuardDuty 機能をテストし、GuardDuty によって発見された実際のセキュリティ問題に対応する必要があります。以下のガイドに従って、GuardDuty で利用可能な各結果タイプのサンプル結果を生成します。アカウント内でシミュレートされたセキュリティイベントの生成など、サンプル結果を生成するその他の方法については、サンプルの結果

サンプル結果を作成して調査するには

  1. ナビゲーションペインで [Settings] (設定) をクリックします。

  2. [Settings] ページで、[Sample findings] の [Generate sample findings] を選択します。

  3. ナビゲーションペインで [Findings] を選択します。サンプル結果が [] に表示されます。現在の調査結果ページで、プレフィックスに[SAMPLE]

  4. リストから結果を選択して、結果の詳細を表示します。

    1. 検索の詳細ウィンドウで使用できるさまざまな情報フィールドを確認できます。調査結果の種類によって、異なるフィールドを持つことができます。すべての検索タイプで利用可能なフィールドの詳細については、「」を参照してください。結果の詳細。詳細ペインでは、以下のアクションを実行できます。

      • [] を選択します。結果 ID[] をクリックして、検索結果の JSON の詳細を開きます。このパネルから完全な JSON ファイルもダウンロードできます。JSON には、コンソールビューに含まれていない追加情報が含まれており、他のツールやサービスで取り込むことができる形式です。

      • を表示する影響を受けるリソースセクションに追加します。実際に見つけると、この情報は、調査が必要なアカウント内のリソースを特定するのに役立ち、適切なAWSコンソールにアクセスして、実用的なリソースを確認します。

      • [+] または [-] のガラスアイコンを選択して、その詳細の包括的フィルタまたは排他的フィルタを作成します。フィルタの検索の詳細については、結果のフィルタリング

  5. サンプル結果をすべてアーカイブする

    1. 一覧の上部にあるチェックボックスを選択して、すべての検索結果を選択します。

    2. 保持する調査結果を選択解除します。

    3. [] を選択します。アクションメニューを選択し、アーカイブをクリックして、サンプルの調査結果を非表示にします。

      注記

      アーカイブされた結果を表示するには、最新のし、アーカイブ済みをクリックして、結果ビューを切り替えます。

ステップ 3: S3 バケットへの GuardDuty の結果エクスポートの設定

GuardDuty では、調査結果エクスポートを設定することをお勧めします。これにより、調査結果を S3 バケットにエクスポートし、GuardDuty 90 日間の保管制限を超えて無期限に保管できます。これにより、調査結果の記録を保持したり、環境内の問題を長期にわたって追跡したりできます。ここで概説するプロセスでは、新しい S3 バケットを設定し、コンソール内から結果を暗号化する新しい KMS キーを作成する手順について説明します。独自の既存のバケットまたは別のアカウントのバケットを使用する方法など、この詳細については、」結果のエクスポート

S3 エクスポートを設定するには

  1. ナビゲーションペインで [Settings] (設定) をクリックします。

  2. []結果のエクスポートオプションselect今すぐ構成する

  3. Select新しいバケット

    1. バケットの一意の名前を入力します。

  4. 調査結果を暗号化するには、GuardDuty がそれを使用することを許可するポリシーを持つ KMS キーが必要です。次のセクションで説明するポリシーを既存のキーにアタッチするか、コンソールから新しい KMS キーを作成できます。キーは S3 バケットと同じリージョンに存在する必要があります。KMS キーの詳細については、キーを作成する

    新しいキーを作成するには、[] を選択します。KMS コンソールに移動して新しいキーを作成するをクリックして KMS コンソールを新しいタブで開き、以下の手順に従います。

    1. KMS コンソールでキーを作成する

    2. 選択対称を選択し、

    3. キーにエイリアスを与え、

    4. 選択し、をもう一度設定して、デフォルトの管理アクセス許可や使用アクセス許可を受け入れます。

    5. キーポリシーの確認と編集ウィンドウで、次のステートメントを"Statements":セクションに追加します。キーポリシーを編集するときは、JSON 構文が有効であることを確認してください。各ステートメントはカンマで区切る必要があります。JSON を使用したポリシーの作成の詳細については、JSON ポリシー概要

      { "Sid": "Allow GuardDuty to use the key", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*" }
  5. 調査結果のエクスポートを構成していた [GuardDuty] コンソールタブに戻ります。

    1. コンソールを更新するには、[更新]アイコンを選択します。S3 バケット次に、作成したキーをキーエイリアスリストを選択し、保存

  6. (オプション)ステップ 2 のプロセスでサンプル結果を生成することで、新しいエクスポート設定をテストできます。新しいサンプル結果は、ステップ 3 で GuardDuty によって作成された S3 バケットのエントリとして 5 分以内に表示されます。

ステップ 4: SNS を介した GuardDuty 検索アラートを設定する

GuardDuty は Amazon EventBridge と統合されており、調査結果データを他のアプリケーションやサービスに送信して処理することができます。EventBridgeを使用すると、GuardDuty yの調査結果を使用して、調査結果に対する自動応答をトリガーできます。AWS Lambda関数、Amazon EC2 Systems Manager の自動化、Amazon Simple Notification Service (SNS) など。

この例では、EventBridge ルールのターゲットとなる SNS トピックを作成し、次に EventBridge を使用して GuardDuty から結果データをキャプチャするルールを作成します。結果のルールは、検索の詳細を電子メールアドレスに転送します。Slack または Chime に結果を送信する方法、および送信される結果アラートの種類を変更する方法については、Amazon SNS トピックとエンドポイントの設定

検索結果アラートの SNS トピックを作成するには

  1. で Amazon SNS コンソールにサインインします。https://console.aws.amazon.com/sns/v3/home

  2. ナビゲーションペインから [トピック] を選択し、[トピックの作成] を選択します。

  3. [トピックの作成] セクションで、[] を選択します。Standard。次に、[トピック名] に名前 (など) を入力します。GuardDuty。その他の詳細はオプションです。

  4. [トピックの作成] を選択します。新しいトピックのトピック詳細が開きます。

  5. [Subscriptions] セクションで、サブスクリプションの作成

  6. [プロトコル] メニューから [E メール] を選択します。

    1. [エンドポイント] フィールドに、通知を受信する E メールアドレスを追加します。作成後、E メールクライアントを通じてサブスクリプションを確認する必要があります。

    2. [Create Subscription] を選択します。

  7. 受信トレイでサブスクリプションのメッセージを確認し、[サブスクリプションの確認

    注記

    メール確認のステータスを確認するには、トピックリストで、SNS コンソールで展開します。

GuardDuty の結果を取得し、それらをフォーマットする EventBridge ルールを作成するには

  1. で EventBridge コンソールを開きます。https://console.aws.amazon.com/events/

  2. ナビゲーションペインから [ルール] を選択し、[ルールの作成] を選択します。

    1. 選択イベントパターンし、サービスによる定義済みパターン

    2. [] からサービスプロバイダーメニューで、[] メニューからAWS

    3. [] からサービス名メニューで、[] メニューからGuardDuty

    4. [イベントタイプ] メニューから [GuardDuty Finding (GuardDuty の結果)] を選択します。

  3. ターゲットの選択ペインのターゲットメニューで、[] メニューからSNS トピック

  4. を使用する場合トピック先ほど作成した SNS トピックの名前を選択します。

  5. 拡張入力の設定[] を選択し、入力トランスフォーマー。入力トランスコードを使用すると、GuardDutyから送信されたJSON検索データを人間が読める簡単なメッセージにフォーマットすることができます。

  6. 次のコードをコピーして、[Input Path (入力パス)] フィールドに貼り付けます。

    { "severity": "$.detail.severity", "Finding_ID": "$.detail.id", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description" }
  7. 次のコードをコピーして [Input Template (入力テンプレと)] フィールドに貼り付け、E メールをフォーマットします。

    "You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region." "Finding Description:" "<Finding_description>. " "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"
  8. 選択作成をクリックしてルールを確定します。

  9. (オプション)ステップ 2 のプロセスでサンプル結果を生成することで、新しいルールをテストできます。生成されたサンプル結果ごとに電子メールが送信されます。

次のステップ

GuardDuty を引き続き使用すると、環境に関連する調査結果の種類を理解できるようになります。新しい結果を受け取るたびに、その結果に関する修復の推奨事項を含む情報を検索するには、詳細はこちらを検索詳細ペインで検索の説明から検索するか、タイプの検索ページで.

次の機能は、GuardDuty yのチューニングに役立ちます。これにより、AWS環境:

  • インスタンス ID、アカウント ID、S3 バケット名など、特定の条件に基づいて結果を簡単に並べ替えるには、GuardDuty 内でフィルターを作成して保存できます。詳細については、「」を参照してください。結果のフィルタリング

  • 環境内で予想される動作に関する調査結果を受け取っている場合は、抑制ルール

  • 信頼できるIPのサブセットから知見が生成されないようにするには、またはGuardDutyが通常の監視範囲外のIPを監視するようにするには、信頼できる IP と脅威リスト