GuardDuty コンソールで生成された検出結果を表示する - Amazon GuardDuty
検出結果ページの操作

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty コンソールで生成された検出結果を表示する

GuardDuty がセキュリティ問題のパターンに一致するアクティビティを検出すると、GuardDuty は検出結果を生成します。この検出結果は、このアクティビティ中に侵害された可能性のあるリソースタイプに関連付けられています。GuardDuty が生成する各検出結果に関連付けられた詳細を表示できます。

GuardDuty 管理者アカウントを使用している場合は、生成された検出結果をメンバーアカウントに代わって表示できます。ただし、メンバーアカウントは、自分のアカウントで生成された検出結果を表示できます。メンバーアカウントは、他のメンバーアカウントに対して生成された結果を表示できません。

GuardDuty コンソールで結果を表示する手順

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. 左のナビゲーションペインで [検出結果] を選択します。

    GuardDuty は検出結果を表形式で表示します。デフォルトでは、このテーブルは、Last seen 列の値に基づいて降順でソートされ、最新の結果が一番上に表示されます。

    剣のアイコン ( Sword icon that represents attack sequence finding in GuardDuty console. ) が付いた検出結果は、攻撃シーケンスの検出結果を表します。

  3. 結果に関連する詳細を表示するには、そのタイトルを選択します。これにより、検出結果の詳細サイドパネルが開きます。攻撃シーケンスの検出結果の場合、このサイドパネルには攻撃シーケンスの要約バージョンが含まれ、このビューを展開するには、詳細を表示を選択します。

    このサイドパネルにリストされているフィールドの詳細については、「」を参照してください検出結果の詳細

  4. (オプション) 結果 JSON をダウンロードするには

    1. 結果を選択し、アクションメニューを選択します。

    2. アクションメニューで、JSON の表示とエクスポートを選択します。

    3. JSON の検出結果ウィンドウで、ダウンロードを選択します。

      注記

      場合によっては、GuardDuty は、ある検出結果が生成された後に、その結果が誤検出であることを認識することがあります。GuardDuty は検出結果の JSON 詳細に [Confidence] (信頼度) フィールドを設けて、その値をゼロに設定します。このようにして、GuardDuty はこうした検出結果を無視しても構わないことを知らせます。

      Confidence フィールドのない結果は誤検出とは見なされません。

検出結果ページの操作

このセクションでは、検出結果ページのさまざまな要素に関する主要な情報を提供します。これにより、生成された検出結果を分析して脅威の分析と対応に役立てることができます。

次のリストでは、生成された検出結果をよりよく理解するのに役立つ検出結果ページ要素について説明します。

  • 脅威タイプ

    脅威タイプには、個々の GuardDuty の検出結果と攻撃シーケンスの検出結果が含まれます。デフォルトでは、このページにはすべての結果が表示されます。

    検出結果テーブルビューをフィルタリングするには、脅威タイプメニューで、「攻撃シーケンスの検出結果のみ」または「個々の検出結果のみ」のいずれかを選択します。

  • リソース列とカウント列

    検出結果テーブルのリソース列には、侵害された可能性のある AWS リソースの名前が表示されます。攻撃シーケンスの検出結果の場合、この列には侵害された可能性のある AWS リソースの数が表示されます。リソース名を表示するには、リソース列の下にある番号を選択します。

    Count 列は、GuardDuty が特定の検出結果を観測した回数を示します。GuardDuty は、以前に特定されたセキュリティ問題に一致するアクティビティを検出すると、その特定の検出結果の数を増分します。攻撃シーケンスの検出結果の場合、この列の値は、検出結果の生成に関連するシグナルと検出結果の合計数を示します。

  • テーブル列による結果のソート

    列ヘッダーの横に矢印がある場合は、列に基づいて検出結果テーブルをソートできます。列ヘッダーを選択して、その列の値の昇順または降順で結果をソートします。

  • 結果のフィルタリング

    Account ID や などの特定のプロパティ属性に基づいてResource type、検出結果テーブルをさらにフィルタリングできます。使用できるフィルターのタイプについては、「」を参照してくださいGuardDuty の検出結果のフィルタリング

  • ステータスと保存されたルール

    ステータスメニューには、現在アーカイブの 2 つの値があります。デフォルトビューは、テーブル内の現在の検出結果です。

    GuardDuty で特定の条件に一致する検出結果を生成しなくなった場合は、その検出結果を抑制できます。GuardDuty はその検出結果をアーカイブします。GuardDuty がこの検出結果を再度検出した場合、この観測結果は通知されません。アーカイブされた検出結果を具体的に表示するには、ステータスメニューでアーカイブ済みを選択します。

    保存されたルールは、指定した条件に一致する検出結果を自動的にフィルタリングしてアクションを実行するのに役立つ機能です。アクションには、結果のアーカイブや今後の通知の抑制が含まれる場合があります。

    詳細については、「抑制ルール」を参照してください。