GuardDutyでのサンプル結果の生成 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDutyでのサンプル結果の生成

Amazon GuardDuty で結果のサンプルを生成すると、GuardDuty で生成できるさまざまな結果タイプを視覚化して理解することができます。結果のサンプルを生成すると、GuardDuty によって最新の結果リストにデータが入力され、サポートされている検索タイプごとに 1 つの結果サンプルが入力されます。

生成されたサンプルは、プレースホルダ値が入力された近似値です。これらのサンプルはお使いの環境の実際の結果とは異なりますが、CloudWatch Events やフィルターなど、GuardDuty のさまざまな設定をテストするために使用できます。タイプを検索するための使用可能な値のリストについては、「」を参照してください。タイプの検索テーブル。

お使いの環境でシミュレートしたアクティビティに基づいていくつかの一般的な結果を生成するには、以下の「一般的なGuardDuty 結果を自動的に生成する」を参照してください。

GuardDuty コンソールまたは API を使用したサンプル結果の生成

アクセス方法を選択して、その方法でサンプル結果を生成する方法を学習します。

注記

コンソールメソッドは、各検索タイプの 1 つを生成します。単一のサンプル結果は、API を介してのみ生成できます。

Console

サンプル結果を生成するには、次の手順を使用します。このプロセスでは、GuardDuty 検索タイプごとに 1 つのサンプル検索が生成されます。

  1. GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. ナビゲーションペインで [Settings] を選択します。

  3. [Settings] ページで、[Sample findings] の [Generate sample findings] を選択します。

  4. ナビゲーションペインで [Findings] を選択します。結果のサンプルは、[] に表示されます。現在の調査結果ページに、プレフィックスが付いています。[SAMPLE]

API

GuardDuty 検索タイプのいずれかに一致する単一のサンプル検索結果を生成するには、CreateSampleFindingsAPI では、タイプを検索するために利用可能な値は、タイプの検索テーブル。

これは、結果に基づいて CloudWatch イベントルールや自動化のテストに役立ちます。次の例では、単一のサンプルを生成する方法を示します。Backdoor:EC2/DenialOfService.Tcpを使用して、AWSCLI。

AWS guardduty create-sample-findings --detector-id yourRegionalDetectorId --finding-types Backdoor:EC2/DenialOfService.Tcp

これらのメソッドによって生成される結果のサンプルは、必ず[SAMPLE]コンソール。さらに、サンプル結果の値が"sample": true()additionalInfoセクションを参照してください。

一般的なGuardDuty 結果を自動的に生成する

以下を使用できます。スクリプトを使用して、いくつかの一般的な GuardDuty の結果を自動的に生成することができます。-guardduty-tester.templateが使用AWS踏み台ホスト、SSH 経由でアクセスできるテスター Amazon EC2 インスタンス、2 つのターゲット EC2 インスタンスを持つ独立した環境を作成します。次に、実行することができます。guardduty_tester.shを使用して、テスター EC2 インスタンス、ターゲット Windows EC2 インスタンス、ターゲット Linux EC2 インスタンス間のインタラクションを開始します。GuardDuty が生成した結果を検出し通知する一般的な攻撃タイプの 5 つをシミュレートします。

  1. 前提条件として、実行するアカウントとリージョンで GuardDuty を有効にする必要があります。guardduty-tester.templateおよびguardduty_tester.sh。GuardDuty を有効にすることに関する詳細については、「」を参照してください。GuardDuty の開始方法

    スクリプトを実行する各リージョンで、新規に生成するか既存の EC2 key pair を使用する必要があります。この EC2 キーペアは新しい CloudFormation スタックの作成時に、guardduty-tester.template スクリプトでパラメータとして使用されます。キーペアの生成の詳細については、「」を参照してください。Amazon EC2 のキーペア

  2. guardduty-tester.template を使用して新しい CloudFormation スタックを作成します。スタックの作成の詳細については、「」を参照してください。スタックの作成。実行する前にguardduty-tester.template次に、次のパラメータの値を変更します。新しいスタック、スタックを実行するアベイラビリティーゾーン、EC2 インスタンスを起動するために使用できるキーペアを識別します。次に、対応するプライベートキーを使用して、SSH 経由で EC2 インスタンスにアクセスできます。

    -guardduty-tester.templateの実行と完了の所要時間は約 10 分です。環境を作成しテスター EC2 インスタンスに guardduty_tester.sh をコピーします。

  3. 左AWSCloudFormation コンソールで、新しく実行しているAWS CloudFormationスタック。表示されている一連のタブで [出力] タブを選択します。踏み台ホストとテスター EC2 インスタンスに割り当てられている IP アドレスに注意します。SSH を使用してテスター EC2 インスタンスにアクセスするには、両方の IP アドレスが必要になります。

  4. 踏み台ホストからインスタンスにログインするため、~/.ssh/config ファイルで次のエントリを作成します。

    Host bastion HostName {Elastic IP Address of Bastion} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem} Host tester ForwardAgent yes HostName {Local IP Address of RedTeam Instance} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem} ProxyCommand ssh bastion nc %h %p ServerAliveInterval 240

    これで、$ ssh テスターを呼び出しターゲット EC2 インスタンスにログインできます。踏み台ホストを介して EC2 インスタンスの設定や接続を行う場合の詳細情報については https://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/ を参照してください。

  5. テスター EC2 インスタンスに接続したら、次のコマンドを実行します。guardduty_tester.shを使用して、テスターとターゲット EC2 インスタンス間のインタラクションの開始、攻撃のシミュレート、GuardDuty の結果を生成します。