翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon での Amazon S3 Protection GuardDuty
S3 Protection は、オブジェクトレベルのAPIオペレーションを含む Amazon Simple Storage Service (Amazon S3) AWS CloudTrail のデータイベントを Amazon が GuardDuty モニタリングして、Amazon S3 バケット内のデータの潜在的なセキュリティリスクを特定するのに役立ちます。
GuardDuty は AWS CloudTrail 、管理イベントと AWS CloudTrail S3 データイベントの両方をモニタリングして、Amazon S3 リソース内の潜在的な脅威を特定します。両方のデータソースでは、さまざまな種類のアクティビティについてモニタリングが行われます。S3 CloudTrail の管理イベントの例には、、、 などの Amazon S3 バケットを一覧表示または設定するオペレーションが含まれますListBuckets
DeleteBuckets
PutBucketReplication
。S3 CloudTrail のデータイベントの例には、、GetObject
、、 などのオブジェクトレベルのAPIオペレーションListObjects
DeleteObject
が含まれますPutObject
。
GuardDuty で Amazon を有効にすると AWS アカウント、 は CloudTrail 管理イベントのモニタリング GuardDuty を開始します。で S3 データイベントログを手動で有効化または設定する必要はありません AWS CloudTrail。S3 Protection 機能 (S3 CloudTrail のデータイベントをモニタリングする機能) は GuardDuty、Amazon 内でこの機能 AWS リージョン が利用可能な の任意のアカウントでいつでも有効にできます。既に を有効に AWS アカウント している では GuardDuty、30 日間の無料トライアル期間で初めて S3 Protection を有効にできます。を初めて有効に AWS アカウント する GuardDuty の場合、S3 Protection は既に有効になっており、この 30 日間の無料トライアルに含まれています。詳細については、「 GuardDuty コストの見積もり」を参照してください。
で S3 Protection を有効にすることをお勧めします GuardDuty。この機能が有効になっていない場合、 は Amazon S3 バケットを完全にモニタリングしたり、S3 バケットに保存されているデータへの疑わしいアクセスに関する検出結果を生成したり GuardDuty することはできません。
が S3 データイベント GuardDuty を使用する方法
S3 データイベント (S3 Protection) を有効にすると、 GuardDuty はすべての S3 バケットから S3 データイベントを分析し、悪意のあるアクティビティや疑わしいアクティビティがないか監視します。詳細については、「AWS CloudTrail S3 のデータイベント」を参照してください。
認証されていないユーザーが S3 オブジェクトにアクセスすると、その S3 オブジェクトはパブリックにアクセス可能になります。したがって、 GuardDuty はそのようなリクエストを処理しません。 は有効な IAM (AWS Identity and Access Management) または AWS STS (AWS Security Token Service) 認証情報を使用して S3 オブジェクトに対して行われたリクエスト GuardDuty を処理します。
が S3 データイベントのモニタリングに基づいて潜在的な脅威 GuardDuty を検出すると、セキュリティ上の検出結果が生成されます。Amazon S3 バケットに対して生成 GuardDuty できる検出結果のタイプについては、「」を参照してくださいGuardDuty S3 検索タイプ。
S3 Protection を無効にすると、 は S3 バケットに保存されているデータの S3 データイベントモニタリングを GuardDuty 停止します。
によって関連付けられたアカウントの場合 AWS Organizations、このプロセスはコンソール設定を使用して自動化できます。詳細については、「マルチアカウント環境での S3 Protection の設定」を参照してください。
S3 Protection を有効または無効にするには
任意のアクセス方法を選択して、スタンドアロンアカウントのために S3 Protection を設定します。
- Console
-
にサインイン AWS Management Console し、 で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。
-
ナビゲーションペインで、[S3 Protection] を選択します。
-
[S3 Protection] ページには、アカウントの S3 Protection の現在のステータスが表示されます。[有効にする] または [無効にする] を選択すると、いつでも S3 Protection を有効または無効にできます。
[確認] を選択して、選択を確定します。
- API/CLI
-
-
現在のリージョンの有効なディテクター ID を使用し、S3 Protection を有効または無効にするように ENABLED
または DISABLED
に設定された features
オブジェクト name
を S3_DATA_EVENTS
として渡して updateDetector を実行します。
または、 を使用することもできます AWS Command Line Interface。S3 Protection を有効にするには、次のコマンドを実行し、必ず独自の有効なディテクター ID を使用してください。
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
S3 Protection を無効にするには、例の ENABLED
を DISABLED
に置き換えます。
マルチアカウント環境での S3 Protection の設定
マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントの S3 Protection を設定 (有効または無効に) できます AWS 。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。委任された GuardDuty 管理者アカウントは、組織内のすべてのアカウントで S3 Protection を自動的に有効にするか、新しいアカウントのみで有効にするか、組織内のアカウントなしで有効にするかを選択できます。詳細については、「 AWS Organizationsを使用したアカウントの管理」を参照してください。
任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの S3 Protection を設定します。
- Console
-
- API/CLI
-
現在のリージョンの委任 GuardDuty 管理者アカウントのディテクター ID updateDetectorを使用して を実行し、features
オブジェクトを name
としてS3_DATA_EVENTS
、 status
として渡しますENABLED
。
または、 を使用して S3 Protection を設定することもできます AWS Command Line Interface。次のコマンドを実行し、必ず を置き換えてください。12abc34d567e8fa901bc2d34e56789f0
現在のリージョンの委任 GuardDuty 管理者アカウントのディテクター ID と 555555555555
を委任された GuardDuty 管理者アカウントの AWS アカウント ID に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 555555555555
--features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
- Console
-
-
で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。
管理者アカウントを使用してサインインします。
次のいずれかを行います。
[S3 Protection] ページの使用
ナビゲーションペインで、[S3 Protection] を選択します。
[すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について S3 Protection が自動的に有効になります。
[保存] を選択します。
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
[アカウント] ページの使用
ナビゲーションペインで、[Accounts] (アカウント) を選択します。
[アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。
[自動有効化の詳細設定を管理] ウィンドウで、[S3 Protection] の下の [すべてのアカウントについて有効にする] を選択します。
[保存] を選択します。
[すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントで S3 Protection を選択的に有効または無効にする」を参照してください。
- API/CLI
-
-
メンバーアカウントの S3 Protection を選択的に有効または無効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを呼び出します。detector ID
.
-
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ず を置き換えてください。12abc34d567e8fa901bc2d34e56789f0
委任された GuardDuty 管理者アカウントの detector-id
と、111122223333
。 S3 Protection を無効にするには、 ENABLED
を に置き換えますDISABLED
。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
スペースでIDs区切られたアカウントのリストを渡すこともできます。
-
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのために S3 Protection を有効にします。
- Console
-
にサインイン AWS Management Console し、 で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。
委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。
ナビゲーションペインで、[S3 Protection] を選択します。
[S3 Protection] ページでは、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。
[アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。
[確認] を選択します。
- API/CLI
-
-
メンバーアカウントの S3 Protection を選択的に有効または無効にするには、独自の を使用して updateMemberDetectorsAPIオペレーションを呼び出します。detector ID
.
-
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。必ず を置き換えてください。12abc34d567e8fa901bc2d34e56789f0
委任された GuardDuty 管理者アカウントの detector-id
と、111122223333
。 S3 Protection を無効にするには、 ENABLED
を に置き換えますDISABLED
。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED
"}]'
スペースでIDs区切られたアカウントのリストを渡すこともできます。
-
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、組織に参加する新しいアカウントのために S3 Protection を有効にします。
- Console
-
委任された GuardDuty 管理者アカウントは、S3 Protection または Accounts ページを使用して、コンソールから組織内の新しいメンバーアカウントに対して を有効にできます。
- API/CLI
-
-
メンバーアカウントの S3 Protection を選択的に有効または無効にするには、独自の を使用して UpdateOrganizationConfigurationAPIオペレーションを呼び出します。detector ID
.
-
次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。無効にするには、「メンバーアカウントの RDS Protection を選択的に有効または無効にする」を参照してください。組織に参加する新しいアカウント (NEW
) もしくはすべてのアカウント (ALL
) のために、そのリージョンで保護プランを自動的に有効または無効にするか、または組織内のどのアカウントのためにも自動的に有効または無効にしない (NONE
) 詳細設定を行います。詳細については、autoEnableOrganization「メンバー」を参照してください。必要に応じて、NEW
を ALL
または NONE
に置き換える必要がある場合があります。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
--auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW
"}]'
スペースでIDs区切られたアカウントのリストを渡すこともできます。
-
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、メンバーアカウントのために S3 Protection を選択的に有効または無効にします。
- Console
-
で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。
委任された GuardDuty 管理者アカウントの認証情報を使用してください。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。
[アカウント] ページで、[S3 Protection] 列でメンバーアカウントのステータスを確認します。
-
S3 Protection を選択的に有効または無効にするには
S3 Protection を設定するアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンメニューで、[S3Pro] を選択し、適切なオプションを選択します。
- API/CLI
-
メンバーアカウントの S3 Protection を選択的に有効または無効にするには、独自のディテクター ID を使用して updateMemberDetectors API オペレーションを実行します。次の例では、単一のメンバーアカウントで S3 Protection を有効にする方法を示しています。無効にするには、true
を false
に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 123456789012
--features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
スペースでIDs区切られたアカウントのリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
スクリプトを使用して新しいアカウントをオンボーディングし、新しいアカウントで S3 Protection を無効にする場合は、このトピックで説明されているように、オプションの dataSources
オブジェクトを使用して createDetector API オペレーションを変更できます。
デフォルトでは、 AWS アカウント S3 Protection はその結合 GuardDuty に対して初めて自動的に有効になります。
新しいアカウント GuardDuty で を初めて有効にする GuardDuty 管理者アカウントで、S3 Protection をデフォルトで有効にしない場合は、オプションの features
オブジェクトで createDetector API オペレーションを変更することで無効にできます。次の例では、 を使用して AWS CLI 、S3 Protection が無効になっている新しい GuardDuty ディテクターを有効にします。
aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'