との統合 AWS Security Hub - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

との統合 AWS Security Hub

AWS Security Hub では、 AWS のセキュリティ状態を総合的に把握することができ、セキュリティ業界標準およびベストプラクティスに照らし合わせて環境をチェックすることができます。Security Hub は、 AWS アカウント、サービス、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集し、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。

Amazon と Security Hub GuardDuty の統合により、 から Security Hub GuardDuty に結果を送信できます。Security Hub では、このような検出結果をセキュリティ体制の分析に含めることができます。

Amazon が検出結果を GuardDuty に送信する方法 AWS Security Hub

では AWS Security Hub、セキュリティの問題は検出結果として追跡されます。一部の検出結果は、他の AWS サービスまたはサードパーティーパートナーによって検出された問題から発生します。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。

Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。詳細については、AWS Security Hub ユーザーガイドの「検出結果の表示」を参照してください。検出結果の調査状況を追跡することもできます 詳細については、AWS Security Hub ユーザーガイドの「検出結果に対するアクションの実行」を参照してください。

Security Hub のすべての検出結果は、 AWS Security Finding JSON形式 () と呼ばれる標準形式を使用しますASFF。ASFF には、問題のソース、影響を受けるリソース、検出結果の現在のステータスに関する詳細が含まれます。AWS Security Hub 「 ユーザーガイド」のAWS 「Security Finding 形式 (ASFF)」を参照してください。

Amazon GuardDuty は、Security Hub に結果を送信する AWS サービスの 1 つです。

GuardDuty が Security Hub に送信する結果の種類

同じ 内の同じアカウントで GuardDuty と Security Hub を有効にすると AWS リージョン、 は生成されたすべての検出結果を Security Hub に送信し GuardDuty 始めます。これらの検出結果は、Security AWS Finding 形式 (ASFF) を使用して Security Hub に送信されます。ではASFF、 Typesフィールドは検出結果タイプを提供します。

新しい検出結果が送信されるまでのレイテンシー

が新しい検出結果 GuardDuty を作成すると、通常 5 分以内に Security Hub に送信されます。

Security Hub が使用できない場合の再試行

Security Hub が使用できない場合、 は検出結果を受信するまで送信を GuardDuty 再試行します。

Security Hub の既存の結果を更新する

Security Hub に検出結果を送信すると、 は検出結果アクティビティの追加の観測を反映するために更新を Security Hub GuardDuty に送信します。こうした検出結果が新たに観測されると、その観測結果が AWS アカウントの「ステップ 5 – 検出結果をエクスポートする頻度」での設定に基づいて Security Hub に送信されます。

検出結果をアーカイブまたはアーカイブ解除する場合、 はその検出結果を Security GuardDuty Hub に送信しません。手動でアーカイブ解除された検出結果のうち、後で でアクティブになるものは GuardDuty 、Security Hub に送信されません。

で GuardDuty の結果の表示 AWS Security Hub

にサインイン AWS Management Console し、 で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

次のいずれかの方法を使用して、Security Hub コンソールで GuardDuty 検出結果を表示できるようになりました。

オプション 1: Security Hub での統合の使用
  1. 左側のナビゲーションペインで、統合を選択します。

  2. 統合ページで、Amazon のステータスを確認します。 GuardDuty

    • StatusAccepting findings の場合は、Accepting findings の横にある「See findings」を選択します。

    • そうでない場合は、 統合の仕組みの詳細については、AWS Security Hub 「 ユーザーガイド」の「Security Hub 統合」を参照してください。

オプション 2: Security Hub での結果の使用
  1. 左のナビゲーションペインで [検出結果] を選択します。

  2. 検出結果ページで、フィルター製品名を追加し、 と入力GuardDutyして検出 GuardDuty 結果のみを表示します。

で GuardDuty の検出結果名の解釈 AWS Security Hub

GuardDuty は Security AWS Finding 形式 (ASFF) を使用して Security Hub に結果を送信します。ではASFF、 Typesフィールドは検出結果タイプを提供します。 ASFFタイプは、 タイプとは異なる GuardDuty命名スキームを使用します。次の表は、Security Hub に表示されるすべての GuardDuty 検出結果タイプの詳細とASFF対応する検出結果タイプを示しています。

注記

一部の検出 GuardDuty 結果タイプでは、Security Hub は、ASFF検出結果の詳細のリソースロールACTORか かに応じて異なる検出結果名を割り当てますTARGET。詳細については、「検出結果の詳細」を参照してください。

GuardDuty 検出結果タイプ

ASFF 検出結果タイプ

AttackSequence:IAM/CompromisedCredentials

TTPs/AttackSequence:IAM/CompromisedCredentials

AttackSequence:S3/CompromisedData

TTPs/AttackSequence:S3/CompromisedData

Backdoor:EC2/C&CActivity.B

TTPs/Command and Control/Backdoor:EC2-C&CActivity.B

Backdoor:EC2/C&CActivity.B!DNS

TTPs/Command and Control/Backdoor:EC2-C&CActivity.B!DNS

Backdoor:EC2/DenialOfService.Dns

TTPs/Command and Control/Backdoor:EC2-DenialOfService.Dns

Backdoor:EC2/DenialOfService.Tcp

TTPs/Command and Control/Backdoor:EC2-DenialOfService.Tcp

Backdoor:EC2/DenialOfService.Udp

TTPs/Command and Control/Backdoor:EC2-DenialOfService.Udp

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

TTPs/Command and Control/Backdoor:EC2-DenialOfService.UdpOnTcpPorts

Backdoor:EC2/DenialOfService.UnusualProtocol

TTPs/Command and Control/Backdoor:EC2-DenialOfService.UnusualProtocol

Backdoor:EC2/Spambot

TTPs/Command and Control/Backdoor:EC2-Spambot

Behavior:EC2/NetworkPortUnusual

Unusual Behaviors/VM/Behavior:EC2-NetworkPortUnusual

Behavior:EC2/TrafficVolumeUnusual

Unusual Behaviors/VM/Behavior:EC2-TrafficVolumeUnusual

Backdoor:Lambda/C&CActivity.B

TTPs/Command and Control/Backdoor:Lambda-C&CActivity.B

Backdoor:Runtime/C&CActivity.B

TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B

Backdoor:Runtime/C&CActivity.B!DNS

TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B!DNS

CredentialAccess:IAMUser/AnomalousBehavior

TTPs/Credential Access/IAMUser-AnomalousBehavior

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

TTPs/AnomalousBehavior/CredentialAccess:Kubernetes-SecretsAccessed

CredentialAccess:Kubernetes/MaliciousIPCaller

TTPs/CredentialAccess/CredentialAccess:Kubernetes-MaliciousIPCaller

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

TTPs/CredentialAccess/CredentialAccess:Kubernetes-MaliciousIPCaller.Custom

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

TTPs/CredentialAccess/CredentialAccess:Kubernetes-SuccessfulAnonymousAccess

CredentialAccess:Kubernetes/TorIPCaller

TTPs/CredentialAccess/CredentialAccess:Kubernetes-TorIPCaller

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

TTPs/Credential Access/CredentialAccess:RDS-AnomalousBehavior.FailedLogin

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulBruteForce

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulLogin

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

TTPs/Credential Access/RDS-MaliciousIPCaller.FailedLogin

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

TTPs/Credential Access/RDS-MaliciousIPCaller.SuccessfulLogin

CredentialAccess:RDS/TorIPCaller.FailedLogin

TTPs/Credential Access/RDS-TorIPCaller.FailedLogin

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

TTPs/Credential Access/RDS-TorIPCaller.SuccessfulLogin

CryptoCurrency:EC2/BitcoinTool.B

TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B

CryptoCurrency:EC2/BitcoinTool.B!DNS

TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B!DNS

CryptoCurrency:Lambda/BitcoinTool.B

TTPs/Command and Control/CryptoCurrency:Lambda-BitcoinTool.B

Effects/Resource Consumption/CryptoCurrency:Lambda-BitcoinTool.B

CryptoCurrency:Runtime/BitcoinTool.B

TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B

CryptoCurrency:Runtime/BitcoinTool.B!DNS

TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B!DNS

DefenseEvasion:EC2/UnusualDNSResolver

TTPs/DefenseEvasion/EC2:Unusual-DNS-Resolver

DefenseEvasion:EC2/UnusualDoHActivity

TTPs/DefenseEvasion/EC2:Unusual-DoH-Activity

DefenseEvasion:EC2/UnusualDoTActivity

TTPs/DefenseEvasion/EC2:Unusual-DoT-Activity

DefenseEvasion:IAMUser/AnomalousBehavior

TTPs/Defense Evasion/IAMUser-AnomalousBehavior

DefenseEvasion:Kubernetes/MaliciousIPCaller

TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-MaliciousIPCaller

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-MaliciousIPCaller.Custom

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-SuccessfulAnonymousAccess

DefenseEvasion:Kubernetes/TorIPCaller

TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-TorIPCaller

DefenseEvasion:Runtime/FilelessExecution

TTPs/Defense Evasion/DefenseEvasion:Runtime-FilelessExecution

DefenseEvasion:Runtime/ProcessInjection.Proc

TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.Proc

DefenseEvasion:Runtime/ProcessInjection.Ptrace

TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.Ptrace

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.VirtualMemoryWrite

DefenseEvasion:Runtime/PtraceAntiDebugging

TTPs/DefenseEvasion/DefenseEvasion:Runtime-PtraceAntiDebugging

DefenseEvasion:Runtime/SuspiciousCommand

TTPs/DefenseEvasion/DefenseEvasion:Runtime-SuspiciousCommand

検出:IAMUser/AnomalousBehavior

TTPs/Discovery/IAMUser-AnomalousBehavior

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

TTPs/AnomalousBehavior/Discovery:Kubernetes-PermissionChecked

Discovery:Kubernetes/MaliciousIPCaller

TTPs/Discovery/Discovery:Kubernetes-MaliciousIPCaller

Discovery:Kubernetes/MaliciousIPCaller.Custom

TTPs/Discovery/Discovery:Kubernetes-MaliciousIPCaller.Custom

Discovery:Kubernetes/SuccessfulAnonymousAccess

TTPs/Discovery/Discovery:Kubernetes-SuccessfulAnonymousAccess

Discovery:Kubernetes/TorIPCaller

TTPs/Discovery/Discovery:Kubernetes-TorIPCaller

Discovery:RDS/MaliciousIPCaller

TTPs/Discovery/RDS-MaliciousIPCaller

Discovery:RDS/TorIPCaller

TTPs/Discovery/RDS-TorIPCaller

Discovery:Runtime/SuspiciousCommand

TTPs/Discovery/Discovery:Runtime-SuspiciousCommand

Discovery:S3/AnomalousBehavior

TTPs/Discovery:S3-AnomalousBehavior

Discovery:S3/BucketEnumeration.Unusual

TTPs/Discovery:S3-BucketEnumeration.Unusual

Discovery:S3/MaliciousIPCaller.Custom

TTPs/Discovery:S3-MaliciousIPCaller.Custom

Discovery:S3/TorIPCaller

TTPs/Discovery:S3-TorIPCaller

Discovery:S3/MaliciousIPCaller

TTPs/Discovery:S3-MaliciousIPCaller

Exfiltration:IAMUser/AnomalousBehavior

TTPs/Exfiltration/IAMUser-AnomalousBehavior

Execution:Kubernetes/ExecInKubeSystemPod

TTPs/Execution/Execution:Kubernetes-ExecInKubeSystemPod

Execution:Kubernetes/AnomalousBehavior.ExecInPod

TTPs/AnomalousBehavior/Execution:Kubernetes-ExecInPod

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

TTPs/AnomalousBehavior/Execution:Kubernetes-WorkloadDeployed

Impact:Kubernetes/MaliciousIPCaller

TTPs/Impact/Impact:Kubernetes-MaliciousIPCaller

Impact:Kubernetes/MaliciousIPCaller.Custom

TTPs/Impact/Impact:Kubernetes-MaliciousIPCaller.Custom

Impact:Kubernetes/SuccessfulAnonymousAccess

TTPs/Impact/Impact:Kubernetes-SuccessfulAnonymousAccess

Impact:Kubernetes/TorIPCaller

TTPs/Impact/Impact:Kubernetes-TorIPCaller

Persistence:Kubernetes/ContainerWithSensitiveMount

TTPs/Persistence/Persistence:Kubernetes-ContainerWithSensitiveMount

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

TTPs/AnomalousBehavior/Persistence:Kubernetes-WorkloadDeployed!ContainerWithSensitiveMount

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-WorkloadDeployed!PrivilegedContainer

Persistence:Kubernetes/MaliciousIPCaller

TTPs/Persistence/Persistence:Kubernetes-MaliciousIPCaller

Persistence:Kubernetes/MaliciousIPCaller.Custom

TTPs/Persistence/Persistence:Kubernetes-MaliciousIPCaller.Custom

Persistence:Kubernetes/SuccessfulAnonymousAccess

TTPs/Persistence/Persistence:Kubernetes-SuccessfulAnonymousAccess

Persistence:Kubernetes/TorIPCaller

TTPs/Persistence/Persistence:Kubernetes-TorIPCaller

Execution:EC2/MaliciousFile

TTPs/Execution/Execution:EC2-MaliciousFile

Execution:ECS/MaliciousFile

TTPs/Execution/Execution:ECS-MaliciousFile

Execution:Kubernetes/MaliciousFile

TTPs/Execution/Execution:Kubernetes-MaliciousFile

Execution:Container/MaliciousFile

TTPs/Execution/Execution:Container-MaliciousFile

Execution:EC2/SuspiciousFile

TTPs/Execution/Execution:EC2-SuspiciousFile

Execution:ECS/SuspiciousFile

TTPs/Execution/Execution:ECS-SuspiciousFile

Execution:Kubernetes/SuspiciousFile

TTPs/Execution/Execution:Kubernetes-SuspiciousFile

Execution:Container/SuspiciousFile

TTPs/Execution/Execution:Container-SuspiciousFile

Execution:Runtime/MaliciousFileExecuted

TTPs/Execution/Execution:Runtime-MaliciousFileExecuted

Execution:Runtime/NewBinaryExecuted

TTPs/Execution/Execution:Runtime-NewBinaryExecuted

Execution:Runtime/NewLibraryLoaded

TTPs/Execution/Execution:Runtime-NewLibraryLoaded

Execution:Runtime/ReverseShell

TTPs/Execution/Execution:Runtime-ReverseShell

Execution:Runtime/SuspiciousCommand

TTPs/Execution/Execution:Runtime-SuspiciousCommand

Execution:Runtime/SuspiciousShellCreated

TTPs/Execution/Execution:Runtime-SuspiciousShellCreated

Execution:Runtime/SuspiciousTool

TTPs/Execution/Execution:Runtime-SuspiciousTool

Exfiltration:S3/AnomalousBehavior

TTPs/Exfiltration:S3-AnomalousBehavior

Exfiltration:S3/ObjectRead.Unusual

TTPs/Exfiltration:S3-ObjectRead.Unusual

Exfiltration:S3/MaliciousIPCaller

TTPs/Exfiltration:S3-MaliciousIPCaller

Impact:EC2/AbusedDomainRequest.Reputation

TTPs/Impact:EC2-AbusedDomainRequest.Reputation

Impact:EC2/BitcoinDomainRequest.Reputation

TTPs/Impact:EC2-BitcoinDomainRequest.Reputation

Impact:EC2/MaliciousDomainRequest.Reputation

TTPs/Impact:EC2-MaliciousDomainRequest.Reputation

Impact:EC2/PortSweep

TTPs/Impact/Impact:EC2-PortSweep

Impact:EC2/SuspiciousDomainRequest.Reputation

TTPs/Impact:EC2-SuspiciousDomainRequest.Reputation

Impact:EC2/WinRMBruteForce

TTPs/Impact/Impact:EC2-WinRMBruteForce

影響:IAMUser/AnomalousBehavior

TTPs/Impact/IAMUser-AnomalousBehavior

Impact:Runtime/AbusedDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-AbusedDomainRequest.Reputation

Impact:Runtime/BitcoinDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-BitcoinDomainRequest.Reputation

Impact:Runtime/CryptoMinerExecuted

TTPs/Impact/Impact:Runtime-CryptoMinerExecuted

Impact:Runtime/MaliciousDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Impact:Runtime/SuspiciousDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-SuspiciousDomainRequest.Reputatio

Impact:S3/AnomalousBehavior.Delete

TTPs/Impact:S3-AnomalousBehavior.Delete

Impact:S3/AnomalousBehavior.Permission

TTPs/Impact:S3-AnomalousBehavior.Permission

Impact:S3/AnomalousBehavior.Write

TTPs/Impact:S3-AnomalousBehavior.Write

Impact:S3/ObjectDelete.Unusual

TTPs/Impact:S3-ObjectDelete.Unusual

Impact:S3/PermissionsModification.Unusual

TTPs/Impact:S3-PermissionsModification.Unusual

Impact:S3/MaliciousIPCaller

TTPs/Impact:S3-MaliciousIPCaller

InitialAccess:IAMUser/AnomalousBehavior

TTPs/Initial Access/IAMUser-AnomalousBehavior

Object:S3/MaliciousFile

TTPs/Object/Object:S3-MaliciousFile

PenTest:IAMUser/KaliLinux

TTPs/PenTest:IAMUser/KaliLinux

PenTest:IAMUser/ParrotLinux

TTPs/PenTest:IAMUser/ParrotLinux

PenTest:IAMUser/PentooLinux

TTPs/PenTest:IAMUser/PentooLinux

PenTest:S3/KaliLinux

TTPs/PenTest:S3-KaliLinux

PenTest:S3/ParrotLinux

TTPs/PenTest:S3-ParrotLinux

PenTest:S3/PentooLinux

TTPs/PenTest:S3-PentooLinux

永続性:IAMUser/AnomalousBehavior

TTPs/Persistence/IAMUser-AnomalousBehavior

Persistence:IAMUser/NetworkPermissions

TTPs/Persistence/Persistence:IAMUser-NetworkPermissions

Persistence:IAMUser/ResourcePermissions

TTPs/Persistence/Persistence:IAMUser-ResourcePermissions

Persistence:IAMUser/UserPermissions

TTPs/Persistence/Persistence:IAMUser-UserPermissions

Persistence:Runtime/SuspiciousCommand

TTPs/Persistence/Persistence:Runtime-SuspiciousCommand

Policy:IAMUser/RootCredentialUsage

TTPs/Policy:IAMUser-RootCredentialUsage

Policy:IAMUser/ShortTermRootCredentialUsage

TTPs/Policy:IAMUser-ShortTermRootCredentialUsage

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-AdminAccessToDefaultServiceAccount

Policy:Kubernetes/AnonymousAccessGranted

Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-AnonymousAccessGranted

Policy:Kubernetes/ExposedDashboard

Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-ExposedDashboard

Policy:Kubernetes/KubeflowDashboardExposed

Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-KubeflowDashboardExposed

Policy:S3/AccountBlockPublicAccessDisabled

TTPs/Policy:S3-AccountBlockPublicAccessDisabled

Policy:S3/BucketAnonymousAccessGranted

TTPs/Policy:S3-BucketAnonymousAccessGranted

Policy:S3/BucketBlockPublicAccessDisabled

Effects/Data Exposure/Policy:S3-BucketBlockPublicAccessDisabled

Policy:S3/BucketPublicAccessGranted

TTPs/Policy:S3-BucketPublicAccessGranted

PrivilegeEscalation:IAMUser/AnomalousBehavior

TTPs/Privilege Escalation/IAMUser-AnomalousBehavior

PrivilegeEscalation:IAMUser/AdministrativePermissions

TTPs/Privilege Escalation/PrivilegeEscalation:IAMUser-AdministrativePermissions

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-RoleBindingCreated

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-RoleCreated

PrivilegeEscalation:Kubernetes/PrivilegedContainer

TTPs/PrivilegeEscalation/PrivilegeEscalation:Kubernetes-PrivilegedContainer

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ContainerMountsHostDirectory

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-CGroupsReleaseAgentModified

PrivilegeEscalation:Runtime/DockerSocketAccessed

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-DockerSocketAccessed

PrivilegeEscalation:Runtime/ElevationToRoot

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ElevationToRoot

PrivilegeEscalation:Runtime/RuncContainerEscape

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-RuncContainerEscape

PrivilegeEscalation:Runtime/SuspiciousCommand

Software and Configuration Checks/PrivilegeEscalation:Runtime-SuspiciousCommand

PrivilegeEscalation:Runtime/UserfaultfdUsage

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-UserfaultfdUsage

Recon:EC2/PortProbeEMRUnprotectedPort

TTPs/Discovery/Recon:EC2-PortProbeEMRUnprotectedPort

Recon:EC2/PortProbeUnprotectedPort

TTPs/Discovery/Recon:EC2-PortProbeUnprotectedPort

Recon:EC2/Portscan

TTPs/Discovery/Recon:EC2-Portscan

Recon:IAMUser/MaliciousIPCaller

TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller

Recon:IAMUser/MaliciousIPCaller.Custom

TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller.Custom

Recon:IAMUser/NetworkPermissions

TTPs/Discovery/Recon:IAMUser-NetworkPermissions

Recon:IAMUser/ResourcePermissions

TTPs/Discovery/Recon:IAMUser-ResourcePermissions

Recon:IAMUser/TorIPCaller

TTPs/Discovery/Recon:IAMUser-TorIPCaller

Recon:IAMUser/UserPermissions

TTPs/Discovery/Recon:IAMUser-UserPermissions

ResourceConsumption:IAMUser/ComputeResources

Unusual Behaviors/User/ResourceConsumption:IAMUser-ComputeResources

Stealth:IAMUser/CloudTrailLoggingDisabled

TTPs/Defense Evasion/Stealth:IAMUser-CloudTrailLoggingDisabled

Stealth:IAMUser/LoggingConfigurationModified

TTPs/Defense Evasion/Stealth:IAMUser-LoggingConfigurationModified

Stealth:IAMUser/PasswordPolicyChange

TTPs/Defense Evasion/Stealth:IAMUser-PasswordPolicyChange

Stealth:S3/ServerAccessLoggingDisabled

TTPs/Defense Evasion/Stealth:S3-ServerAccessLoggingDisabled

Trojan:EC2/BlackholeTraffic

TTPs/Command and Control/Trojan:EC2-BlackholeTraffic

Trojan:EC2/BlackholeTraffic!DNS

TTPs/Command and Control/Trojan:EC2-BlackholeTraffic!DNS

Trojan:EC2/DGADomainRequest.B

TTPs/Command and Control/Trojan:EC2-DGADomainRequest.B

Trojan:EC2/DGADomainRequest.C!DNS

TTPs/Command and Control/Trojan:EC2-DGADomainRequest.C!DNS

Trojan:EC2/DNSDataExfiltration

TTPs/Command and Control/Trojan:EC2-DNSDataExfiltration

Trojan:EC2/DriveBySourceTraffic!DNS

TTPs/Initial Access/Trojan:EC2-DriveBySourceTraffic!DNS

Trojan:EC2/DropPoint

Effects/Data Exfiltration/Trojan:EC2-DropPoint

Trojan:EC2/DropPoint!DNS

Effects/Data Exfiltration/Trojan:EC2-DropPoint!DNS

Trojan:EC2/PhishingDomainRequest!DNS

TTPs/Command and Control/Trojan:EC2-PhishingDomainRequest!DNS

Trojan:Lambda/BlackholeTraffic

TTPs/Command and Control/Trojan:Lambda-BlackholeTraffic

Trojan:Lambda/DropPoint

Effects/Data Exfiltration/Trojan:Lambda-DropPoint

Trojan:Runtime/BlackholeTraffic

TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic

Trojan:Runtime/BlackholeTraffic!DNS

TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic!DNS

Trojan:Runtime/DGADomainRequest.C!DNS

TTPs/Command and Control/Trojan:Runtime-DGADomainRequest.C!DNS

Trojan:Runtime/DriveBySourceTraffic!DNS

TTPs/Initial Access/Trojan:Runtime-DriveBySourceTraffic!DNS

Trojan:Runtime/DropPoint

Effects/Data Exfiltration/Trojan:Runtime-DropPoint

Trojan:Runtime/DropPoint!DNS

Effects/Data Exfiltration/Trojan:Runtime-DropPoint!DNS

Trojan:Runtime/PhishingDomainRequest!DNS

TTPs/Command and Control/Trojan:Runtime-PhishingDomainRequest!DNS

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

TTPs/Command and Control/UnauthorizedAccess:EC2-MaliciousIPCaller.Custom

UnauthorizedAccess:EC2/MetadataDNSRebind

TTPs/UnauthorizedAccess:EC2-MetadataDNSRebind

UnauthorizedAccess:EC2/RDPBruteForce

TTPs/Initial Access/UnauthorizedAccess:EC2-RDPBruteForce

UnauthorizedAccess:EC2/SSHBruteForce

TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce

UnauthorizedAccess:EC2/TorClient

Effects/Resource Consumption/UnauthorizedAccess:EC2-TorClient

UnauthorizedAccess:EC2/TorRelay

Effects/Resource Consumption/UnauthorizedAccess:EC2-TorRelay

UnauthorizedAccess:IAMUser/ConsoleLogin

Unusual Behaviors/User/UnauthorizedAccess:IAMUser-ConsoleLogin

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

TTPs/UnauthorizedAccess:IAMUser-ConsoleLoginSuccess.B

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.InsideAWS

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.OutsideAWS

UnauthorizedAccess:IAMUser/MaliciousIPCaller

TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller.Custom

UnauthorizedAccess:IAMUser/TorIPCaller

TTPs/Command and Control/UnauthorizedAccess:IAMUser-TorIPCaller

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

TTPs/Command and Control/UnauthorizedAccess:Lambda-MaliciousIPCaller.Custom

UnauthorizedAccess:Lambda/TorClient

Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorClient

UnauthorizedAccess:Lambda/TorRelay

Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorRelay

UnauthorizedAccess:Runtime/MetadataDNSRebind

TTPs/UnauthorizedAccess:Runtime-MetadataDNSRebind

UnauthorizedAccess:Runtime/TorRelay

Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorRelay

UnauthorizedAccess:Runtime/TorClient

Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorClient

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

TTPs/UnauthorizedAccess:S3-MaliciousIPCaller.Custom

UnauthorizedAccess:S3/TorIPCaller

TTPs/UnauthorizedAccess:S3-TorIPCaller

GuardDuty からの一般的な結果

GuardDuty は Security AWS Finding 形式 (ASFF) を使用して Security Hub に結果を送信します。

一般的な検出結果の例を次に示します GuardDuty。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "ProductArn": "arn:aws:securityhub:us-east-1:product/aws/guardduty", "GeneratorId": "arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64", "AwsAccountId": "193043430472", "Types": [ "TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce" ], "FirstObservedAt": "2020-08-22T09:15:57Z", "LastObservedAt": "2020-09-30T11:56:49Z", "CreatedAt": "2020-08-22T09:34:34.146Z", "UpdatedAt": "2020-09-30T12:14:00.206Z", "Severity": { "Product": 2, "Label": "MEDIUM", "Normalized": 40 }, "Title": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356.", "Description": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356. Brute force attacks are used to gain unauthorized access to your instance by guessing the SSH password.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/guardduty/home?region=us-east-1#/findings?macros=current&fId=46ba0ac2845071e23ccdeb2ae03bfdea", "ProductFields": { "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/portName": "Unknown", "aws/guardduty/service/archived": "false", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asnOrg": "CENTURYLINK-US-LEGACY-QWEST", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lat": "42.5122", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "199.241.229.197", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lon": "-90.7384", "aws/guardduty/service/action/networkConnectionAction/blocked": "false", "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/port": "46717", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/country/countryName": "United States", "aws/guardduty/service/serviceName": "guardduty", "aws/guardduty/service/evidence": "", "aws/guardduty/service/action/networkConnectionAction/localIpDetails/ipAddressV4": "172.31.43.6", "aws/guardduty/service/detectorId": "d4b040365221be2b54a6264dc9a4bc64", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/org": "CenturyLink", "aws/guardduty/service/action/networkConnectionAction/connectionDirection": "INBOUND", "aws/guardduty/service/eventFirstSeen": "2020-08-22T09:15:57Z", "aws/guardduty/service/eventLastSeen": "2020-09-30T11:56:49Z", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/portName": "SSH", "aws/guardduty/service/action/actionType": "NETWORK_CONNECTION", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/city/cityName": "Dubuque", "aws/guardduty/service/additionalInfo": "", "aws/guardduty/service/resourceRole": "TARGET", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/port": "22", "aws/guardduty/service/action/networkConnectionAction/protocol": "TCP", "aws/guardduty/service/count": "74", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asn": "209", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/isp": "CenturyLink", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/guardduty/arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "aws/securityhub/ProductName": "GuardDuty", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "18.234.130.16", "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475", "LaunchedAt": "2020-08-03T23:21:57Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }

統合の有効化と構成

との統合を使用するには AWS Security Hub、Security Hub を有効にする必要があります。Security Hub を有効にする方法については、「AWS Security Hub ユーザーガイド」の「Setting up Security Hub」(Security Hub の設定) を参照してください。

GuardDuty と Security Hub の両方を有効にすると、統合が自動的に有効になります。 GuardDuty は、すぐに Security Hub に結果を送信し始めます。

Security Hub での GuardDuty コントロールの使用

AWS Security Hub は、セキュリティコントロールを使用して AWS リソースを評価し、セキュリティ業界標準とベストプラクティスに照らしてコンプライアンスをチェックします。 GuardDuty リソースと選択した保護プランに関連するコントロールを使用できます。詳細については、「 AWS Security Hub ユーザーガイド」の「Amazon GuardDuty コントロール」を参照してください。

AWS サービスおよびリソース全体のすべてのコントロールのリストについては、「 AWS Security Hub ユーザーガイド」の「Security Hub controls reference」を参照してください。

検出結果の Security Hub への公開の停止

Security Hub への結果の送信を停止するには、Security Hub コンソールまたは を使用できますAPI。

「 ユーザーガイド」の「統合からの検出結果のフローの無効化と有効化 (コンソール)」または「統合からの検出結果のフローの無効化 (Security Hub API, AWS CLI)」を参照してください。 AWS Security Hub