翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
との統合 AWS Security Hub
AWS Security Hub では、 AWS のセキュリティ状態を総合的に把握することができ、セキュリティ業界標準およびベストプラクティスに照らし合わせて環境をチェックすることができます。Security Hub は、 AWS アカウント、サービス、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集し、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。
Amazon と Security Hub GuardDuty の統合により、 から Security Hub GuardDuty に結果を送信できます。Security Hub では、このような検出結果をセキュリティ体制の分析に含めることができます。
目次
Amazon が検出結果を GuardDuty に送信する方法 AWS Security Hub
では AWS Security Hub、セキュリティの問題は検出結果として追跡されます。一部の検出結果は、他の AWS サービスまたはサードパーティーパートナーによって検出された問題から発生します。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。詳細については、AWS Security Hub ユーザーガイドの「検出結果の表示」を参照してください。検出結果の調査状況を追跡することもできます 詳細については、AWS Security Hub ユーザーガイドの「検出結果に対するアクションの実行」を参照してください。
Security Hub のすべての検出結果は、 AWS Security Finding JSON形式 () と呼ばれる標準形式を使用しますASFF。ASFF には、問題のソース、影響を受けるリソース、検出結果の現在のステータスに関する詳細が含まれます。AWS Security Hub 「 ユーザーガイド」のAWS 「Security Finding 形式 (ASFF)」を参照してください。
Amazon GuardDuty は、Security Hub に結果を送信する AWS サービスの 1 つです。
GuardDuty が Security Hub に送信する結果の種類
同じ 内の同じアカウントで GuardDuty と Security Hub を有効にすると AWS リージョン、 は生成されたすべての検出結果を Security Hub に送信し GuardDuty 始めます。これらの検出結果は、Security AWS Finding 形式 (ASFF) を使用して Security Hub に送信されます。ではASFF、 Types
フィールドは検出結果タイプを提供します。
新しい検出結果が送信されるまでのレイテンシー
が新しい検出結果 GuardDuty を作成すると、通常 5 分以内に Security Hub に送信されます。
Security Hub が使用できない場合の再試行
Security Hub が使用できない場合、 は検出結果を受信するまで送信を GuardDuty 再試行します。
Security Hub の既存の結果を更新する
Security Hub に検出結果を送信すると、 は検出結果アクティビティの追加の観測を反映するために更新を Security Hub GuardDuty に送信します。こうした検出結果が新たに観測されると、その観測結果が AWS アカウントの「ステップ 5 – 検出結果をエクスポートする頻度」での設定に基づいて Security Hub に送信されます。
検出結果をアーカイブまたはアーカイブ解除する場合、 はその検出結果を Security GuardDuty Hub に送信しません。手動でアーカイブ解除された検出結果のうち、後で でアクティブになるものは GuardDuty 、Security Hub に送信されません。
で GuardDuty の結果の表示 AWS Security Hub
にサインイン AWS Management Console し、 で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/
次のいずれかの方法を使用して、Security Hub コンソールで GuardDuty 検出結果を表示できるようになりました。
- オプション 1: Security Hub での統合の使用
-
左側のナビゲーションペインで、統合を選択します。
-
統合ページで、Amazon のステータスを確認します。 GuardDuty
-
Status が Accepting findings の場合は、Accepting findings の横にある「See findings」を選択します。
-
そうでない場合は、 統合の仕組みの詳細については、AWS Security Hub 「 ユーザーガイド」の「Security Hub 統合」を参照してください。
-
- オプション 2: Security Hub での結果の使用
-
左のナビゲーションペインで [検出結果] を選択します。
-
検出結果ページで、フィルター製品名を追加し、 と入力
GuardDuty
して検出 GuardDuty 結果のみを表示します。
で GuardDuty の検出結果名の解釈 AWS Security Hub
GuardDuty は Security AWS Finding 形式 (ASFF) を使用して Security Hub に結果を送信します。ではASFF、 Types
フィールドは検出結果タイプを提供します。 ASFFタイプは、 タイプとは異なる GuardDuty命名スキームを使用します。次の表は、Security Hub に表示されるすべての GuardDuty 検出結果タイプの詳細とASFF対応する検出結果タイプを示しています。
注記
一部の検出 GuardDuty 結果タイプでは、Security Hub は、ASFF検出結果の詳細のリソースロールが ACTORか かに応じて異なる検出結果名を割り当てますTARGET。詳細については、「検出結果の詳細」を参照してください。
GuardDuty 検出結果タイプ |
ASFF 検出結果タイプ |
---|---|
TTPs/AttackSequence:IAM/CompromisedCredentials |
|
TTPs/AttackSequence:S3/CompromisedData |
|
TTPs/Command and Control/Backdoor:EC2-C&CActivity.B |
|
TTPs/Command and Control/Backdoor:EC2-C&CActivity.B!DNS |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Dns |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Tcp |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Udp |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.UdpOnTcpPorts |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.UnusualProtocol |
|
TTPs/Command and Control/Backdoor:EC2-Spambot |
|
Unusual Behaviors/VM/Behavior:EC2-NetworkPortUnusual |
|
Unusual Behaviors/VM/Behavior:EC2-TrafficVolumeUnusual |
|
TTPs/Command and Control/Backdoor:Lambda-C&CActivity.B |
|
TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B |
|
TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B!DNS |
|
TTPs/Credential Access/IAMUser-AnomalousBehavior |
|
CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed |
TTPs/AnomalousBehavior/CredentialAccess:Kubernetes-SecretsAccessed |
CredentialAccess:Kubernetes/MaliciousIPCaller |
TTPs/CredentialAccess/CredentialAccess:Kubernetes-MaliciousIPCaller |
CredentialAccess:Kubernetes/MaliciousIPCaller.Custom |
TTPs/CredentialAccess/CredentialAccess:Kubernetes-MaliciousIPCaller.Custom |
CredentialAccess:Kubernetes/SuccessfulAnonymousAccess |
TTPs/CredentialAccess/CredentialAccess:Kubernetes-SuccessfulAnonymousAccess |
CredentialAccess:Kubernetes/TorIPCaller |
TTPs/CredentialAccess/CredentialAccess:Kubernetes-TorIPCaller |
TTPs/Credential Access/CredentialAccess:RDS-AnomalousBehavior.FailedLogin |
|
TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulBruteForce |
|
TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulLogin |
|
TTPs/Credential Access/RDS-MaliciousIPCaller.FailedLogin |
|
TTPs/Credential Access/RDS-MaliciousIPCaller.SuccessfulLogin |
|
TTPs/Credential Access/RDS-TorIPCaller.FailedLogin |
|
TTPs/Credential Access/RDS-TorIPCaller.SuccessfulLogin |
|
TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B |
|
TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B!DNS |
|
TTPs/Command and Control/CryptoCurrency:Lambda-BitcoinTool.B Effects/Resource Consumption/CryptoCurrency:Lambda-BitcoinTool.B |
|
TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B |
|
TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B!DNS |
|
TTPs/DefenseEvasion/EC2:Unusual-DNS-Resolver |
|
TTPs/DefenseEvasion/EC2:Unusual-DoH-Activity |
|
TTPs/DefenseEvasion/EC2:Unusual-DoT-Activity |
|
TTPs/Defense Evasion/IAMUser-AnomalousBehavior |
|
TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-MaliciousIPCaller |
|
TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-MaliciousIPCaller.Custom |
|
TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-SuccessfulAnonymousAccess |
|
TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-TorIPCaller |
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-FilelessExecution |
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.Proc |
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.Ptrace |
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.VirtualMemoryWrite |
|
TTPs/DefenseEvasion/DefenseEvasion:Runtime-PtraceAntiDebugging |
|
TTPs/DefenseEvasion/DefenseEvasion:Runtime-SuspiciousCommand |
|
TTPs/Discovery/IAMUser-AnomalousBehavior |
|
TTPs/AnomalousBehavior/Discovery:Kubernetes-PermissionChecked |
|
TTPs/Discovery/Discovery:Kubernetes-MaliciousIPCaller |
|
TTPs/Discovery/Discovery:Kubernetes-MaliciousIPCaller.Custom |
|
TTPs/Discovery/Discovery:Kubernetes-SuccessfulAnonymousAccess |
|
TTPs/Discovery/Discovery:Kubernetes-TorIPCaller |
|
TTPs/Discovery/RDS-MaliciousIPCaller |
|
TTPs/Discovery/RDS-TorIPCaller |
|
TTPs/Discovery/Discovery:Runtime-SuspiciousCommand |
|
TTPs/Discovery:S3-AnomalousBehavior |
|
TTPs/Discovery:S3-BucketEnumeration.Unusual |
|
TTPs/Discovery:S3-MaliciousIPCaller.Custom |
|
TTPs/Discovery:S3-TorIPCaller |
|
TTPs/Discovery:S3-MaliciousIPCaller |
|
Exfiltration:IAMUser/AnomalousBehavior |
TTPs/Exfiltration/IAMUser-AnomalousBehavior |
Execution:Kubernetes/ExecInKubeSystemPod |
TTPs/Execution/Execution:Kubernetes-ExecInKubeSystemPod |
TTPs/AnomalousBehavior/Execution:Kubernetes-ExecInPod |
|
TTPs/AnomalousBehavior/Execution:Kubernetes-WorkloadDeployed |
|
TTPs/Impact/Impact:Kubernetes-MaliciousIPCaller |
|
TTPs/Impact/Impact:Kubernetes-MaliciousIPCaller.Custom |
|
TTPs/Impact/Impact:Kubernetes-SuccessfulAnonymousAccess |
|
TTPs/Impact/Impact:Kubernetes-TorIPCaller |
|
TTPs/Persistence/Persistence:Kubernetes-ContainerWithSensitiveMount |
|
Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount |
TTPs/AnomalousBehavior/Persistence:Kubernetes-WorkloadDeployed!ContainerWithSensitiveMount |
PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer |
TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-WorkloadDeployed!PrivilegedContainer |
TTPs/Persistence/Persistence:Kubernetes-MaliciousIPCaller |
|
TTPs/Persistence/Persistence:Kubernetes-MaliciousIPCaller.Custom |
|
TTPs/Persistence/Persistence:Kubernetes-SuccessfulAnonymousAccess |
|
TTPs/Persistence/Persistence:Kubernetes-TorIPCaller |
|
TTPs/Execution/Execution:EC2-MaliciousFile |
|
TTPs/Execution/Execution:ECS-MaliciousFile |
|
TTPs/Execution/Execution:Kubernetes-MaliciousFile |
|
TTPs/Execution/Execution:Container-MaliciousFile |
|
TTPs/Execution/Execution:EC2-SuspiciousFile |
|
TTPs/Execution/Execution:ECS-SuspiciousFile |
|
TTPs/Execution/Execution:Kubernetes-SuspiciousFile |
|
TTPs/Execution/Execution:Container-SuspiciousFile |
|
TTPs/Execution/Execution:Runtime-MaliciousFileExecuted |
|
TTPs/Execution/Execution:Runtime-NewBinaryExecuted |
|
TTPs/Execution/Execution:Runtime-NewLibraryLoaded |
|
TTPs/Execution/Execution:Runtime-ReverseShell |
|
TTPs/Execution/Execution:Runtime-SuspiciousCommand |
|
TTPs/Execution/Execution:Runtime-SuspiciousShellCreated |
|
TTPs/Execution/Execution:Runtime-SuspiciousTool |
|
TTPs/Exfiltration:S3-AnomalousBehavior |
|
TTPs/Exfiltration:S3-ObjectRead.Unusual |
|
TTPs/Exfiltration:S3-MaliciousIPCaller |
|
TTPs/Impact:EC2-AbusedDomainRequest.Reputation |
|
TTPs/Impact:EC2-BitcoinDomainRequest.Reputation |
|
TTPs/Impact:EC2-MaliciousDomainRequest.Reputation |
|
TTPs/Impact/Impact:EC2-PortSweep |
|
TTPs/Impact:EC2-SuspiciousDomainRequest.Reputation |
|
TTPs/Impact/Impact:EC2-WinRMBruteForce |
|
TTPs/Impact/IAMUser-AnomalousBehavior |
|
TTPs/Impact/Impact:Runtime-AbusedDomainRequest.Reputation |
|
TTPs/Impact/Impact:Runtime-BitcoinDomainRequest.Reputation |
|
TTPs/Impact/Impact:Runtime-CryptoMinerExecuted |
|
TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation |
|
TTPs/Impact/Impact:Runtime-SuspiciousDomainRequest.Reputatio |
|
TTPs/Impact:S3-AnomalousBehavior.Delete |
|
TTPs/Impact:S3-AnomalousBehavior.Permission |
|
TTPs/Impact:S3-AnomalousBehavior.Write |
|
TTPs/Impact:S3-ObjectDelete.Unusual |
|
TTPs/Impact:S3-PermissionsModification.Unusual |
|
TTPs/Impact:S3-MaliciousIPCaller |
|
TTPs/Initial Access/IAMUser-AnomalousBehavior |
|
TTPs/Object/Object:S3-MaliciousFile |
|
TTPs/PenTest:IAMUser/KaliLinux |
|
TTPs/PenTest:IAMUser/ParrotLinux |
|
TTPs/PenTest:IAMUser/PentooLinux |
|
TTPs/PenTest:S3-KaliLinux |
|
TTPs/PenTest:S3-ParrotLinux |
|
TTPs/PenTest:S3-PentooLinux |
|
TTPs/Persistence/IAMUser-AnomalousBehavior | |
TTPs/Persistence/Persistence:IAMUser-NetworkPermissions |
|
TTPs/Persistence/Persistence:IAMUser-ResourcePermissions |
|
TTPs/Persistence/Persistence:IAMUser-UserPermissions |
|
TTPs/Persistence/Persistence:Runtime-SuspiciousCommand |
|
TTPs/Policy:IAMUser-RootCredentialUsage |
|
TTPs/Policy:IAMUser-ShortTermRootCredentialUsage |
|
Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-AdminAccessToDefaultServiceAccount |
|
Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-AnonymousAccessGranted |
|
Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-ExposedDashboard |
|
Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-KubeflowDashboardExposed |
|
TTPs/Policy:S3-AccountBlockPublicAccessDisabled |
|
TTPs/Policy:S3-BucketAnonymousAccessGranted |
|
Effects/Data Exposure/Policy:S3-BucketBlockPublicAccessDisabled |
|
TTPs/Policy:S3-BucketPublicAccessGranted |
|
TTPs/Privilege Escalation/IAMUser-AnomalousBehavior | |
TTPs/Privilege Escalation/PrivilegeEscalation:IAMUser-AdministrativePermissions |
|
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated |
TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-RoleBindingCreated |
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated |
TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-RoleCreated |
TTPs/PrivilegeEscalation/PrivilegeEscalation:Kubernetes-PrivilegedContainer |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ContainerMountsHostDirectory |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-CGroupsReleaseAgentModified |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-DockerSocketAccessed |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ElevationToRoot |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-RuncContainerEscape |
|
Software and Configuration Checks/PrivilegeEscalation:Runtime-SuspiciousCommand |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-UserfaultfdUsage |
|
TTPs/Discovery/Recon:EC2-PortProbeEMRUnprotectedPort |
|
TTPs/Discovery/Recon:EC2-PortProbeUnprotectedPort |
|
TTPs/Discovery/Recon:EC2-Portscan |
|
TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller |
|
TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller.Custom |
|
TTPs/Discovery/Recon:IAMUser-NetworkPermissions |
|
TTPs/Discovery/Recon:IAMUser-ResourcePermissions |
|
TTPs/Discovery/Recon:IAMUser-TorIPCaller |
|
TTPs/Discovery/Recon:IAMUser-UserPermissions |
|
Unusual Behaviors/User/ResourceConsumption:IAMUser-ComputeResources |
|
TTPs/Defense Evasion/Stealth:IAMUser-CloudTrailLoggingDisabled |
|
TTPs/Defense Evasion/Stealth:IAMUser-LoggingConfigurationModified |
|
TTPs/Defense Evasion/Stealth:IAMUser-PasswordPolicyChange |
|
TTPs/Defense Evasion/Stealth:S3-ServerAccessLoggingDisabled |
|
TTPs/Command and Control/Trojan:EC2-BlackholeTraffic |
|
TTPs/Command and Control/Trojan:EC2-BlackholeTraffic!DNS |
|
TTPs/Command and Control/Trojan:EC2-DGADomainRequest.B |
|
TTPs/Command and Control/Trojan:EC2-DGADomainRequest.C!DNS |
|
TTPs/Command and Control/Trojan:EC2-DNSDataExfiltration |
|
TTPs/Initial Access/Trojan:EC2-DriveBySourceTraffic!DNS |
|
Effects/Data Exfiltration/Trojan:EC2-DropPoint |
|
Effects/Data Exfiltration/Trojan:EC2-DropPoint!DNS |
|
TTPs/Command and Control/Trojan:EC2-PhishingDomainRequest!DNS |
|
TTPs/Command and Control/Trojan:Lambda-BlackholeTraffic |
|
Effects/Data Exfiltration/Trojan:Lambda-DropPoint |
|
TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic |
|
TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic!DNS |
|
TTPs/Command and Control/Trojan:Runtime-DGADomainRequest.C!DNS |
|
TTPs/Initial Access/Trojan:Runtime-DriveBySourceTraffic!DNS |
|
Effects/Data Exfiltration/Trojan:Runtime-DropPoint |
|
Effects/Data Exfiltration/Trojan:Runtime-DropPoint!DNS |
|
TTPs/Command and Control/Trojan:Runtime-PhishingDomainRequest!DNS |
|
TTPs/Command and Control/UnauthorizedAccess:EC2-MaliciousIPCaller.Custom |
|
TTPs/UnauthorizedAccess:EC2-MetadataDNSRebind |
|
TTPs/Initial Access/UnauthorizedAccess:EC2-RDPBruteForce |
|
TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce |
|
Effects/Resource Consumption/UnauthorizedAccess:EC2-TorClient |
|
Effects/Resource Consumption/UnauthorizedAccess:EC2-TorRelay |
|
Unusual Behaviors/User/UnauthorizedAccess:IAMUser-ConsoleLogin |
|
TTPs/UnauthorizedAccess:IAMUser-ConsoleLoginSuccess.B |
|
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS |
Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.InsideAWS |
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS |
Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.OutsideAWS |
TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller |
|
TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller.Custom |
|
TTPs/Command and Control/UnauthorizedAccess:IAMUser-TorIPCaller |
|
TTPs/Command and Control/UnauthorizedAccess:Lambda-MaliciousIPCaller.Custom |
|
Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorClient |
|
Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorRelay |
|
TTPs/UnauthorizedAccess:Runtime-MetadataDNSRebind |
|
Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorRelay |
|
Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorClient |
|
TTPs/UnauthorizedAccess:S3-MaliciousIPCaller.Custom |
|
TTPs/UnauthorizedAccess:S3-TorIPCaller |
GuardDuty からの一般的な結果
GuardDuty は Security AWS Finding 形式 (ASFF) を使用して Security Hub に結果を送信します。
一般的な検出結果の例を次に示します GuardDuty。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "ProductArn": "arn:aws:securityhub:us-east-1:product/aws/guardduty", "GeneratorId": "arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64", "AwsAccountId": "193043430472", "Types": [ "TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce" ], "FirstObservedAt": "2020-08-22T09:15:57Z", "LastObservedAt": "2020-09-30T11:56:49Z", "CreatedAt": "2020-08-22T09:34:34.146Z", "UpdatedAt": "2020-09-30T12:14:00.206Z", "Severity": { "Product": 2, "Label": "MEDIUM", "Normalized": 40 }, "Title": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356.", "Description": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356. Brute force attacks are used to gain unauthorized access to your instance by guessing the SSH password.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/guardduty/home?region=us-east-1#/findings?macros=current&fId=46ba0ac2845071e23ccdeb2ae03bfdea", "ProductFields": { "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/portName": "Unknown", "aws/guardduty/service/archived": "false", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asnOrg": "CENTURYLINK-US-LEGACY-QWEST", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lat": "42.5122", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "199.241.229.197", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lon": "-90.7384", "aws/guardduty/service/action/networkConnectionAction/blocked": "false", "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/port": "46717", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/country/countryName": "United States", "aws/guardduty/service/serviceName": "guardduty", "aws/guardduty/service/evidence": "", "aws/guardduty/service/action/networkConnectionAction/localIpDetails/ipAddressV4": "172.31.43.6", "aws/guardduty/service/detectorId": "d4b040365221be2b54a6264dc9a4bc64", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/org": "CenturyLink", "aws/guardduty/service/action/networkConnectionAction/connectionDirection": "INBOUND", "aws/guardduty/service/eventFirstSeen": "2020-08-22T09:15:57Z", "aws/guardduty/service/eventLastSeen": "2020-09-30T11:56:49Z", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/portName": "SSH", "aws/guardduty/service/action/actionType": "NETWORK_CONNECTION", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/city/cityName": "Dubuque", "aws/guardduty/service/additionalInfo": "", "aws/guardduty/service/resourceRole": "TARGET", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/port": "22", "aws/guardduty/service/action/networkConnectionAction/protocol": "TCP", "aws/guardduty/service/count": "74", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asn": "209", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/isp": "CenturyLink", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/guardduty/arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "aws/securityhub/ProductName": "GuardDuty", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "18.234.130.16", "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475", "LaunchedAt": "2020-08-03T23:21:57Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }
統合の有効化と構成
との統合を使用するには AWS Security Hub、Security Hub を有効にする必要があります。Security Hub を有効にする方法については、「AWS Security Hub ユーザーガイド」の「Setting up Security Hub」(Security Hub の設定) を参照してください。
GuardDuty と Security Hub の両方を有効にすると、統合が自動的に有効になります。 GuardDuty は、すぐに Security Hub に結果を送信し始めます。
Security Hub での GuardDuty コントロールの使用
AWS Security Hub は、セキュリティコントロールを使用して AWS リソースを評価し、セキュリティ業界標準とベストプラクティスに照らしてコンプライアンスをチェックします。 GuardDuty リソースと選択した保護プランに関連するコントロールを使用できます。詳細については、「 AWS Security Hub ユーザーガイド」の「Amazon GuardDuty コントロール」を参照してください。
AWS サービスおよびリソース全体のすべてのコントロールのリストについては、「 AWS Security Hub ユーザーガイド」の「Security Hub controls reference」を参照してください。
検出結果の Security Hub への公開の停止
Security Hub への結果の送信を停止するには、Security Hub コンソールまたは を使用できますAPI。
「 ユーザーガイド」の「統合からの検出結果のフローの無効化と有効化 (コンソール)」または「統合からの検出結果のフローの無効化 (Security Hub API, AWS CLI)」を参照してください。 AWS Security Hub