との統合 AWS Security Hub - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

との統合 AWS Security Hub

AWS Security Hub では、 AWS のセキュリティ状態を総合的に把握することができ、セキュリティ業界標準およびベストプラクティスに照らし合わせて環境をチェックすることができます。Security Hub は、 AWS アカウント、サービス、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集し、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。

Amazon と Security Hub GuardDuty の統合により、 から Security Hub GuardDuty に結果を送信できます。Security Hub では、このような検出結果をセキュリティ体制の分析に含めることができます。

Amazon が検出結果を GuardDuty に送信する方法 AWS Security Hub

では AWS Security Hub、セキュリティの問題は検出結果として追跡されます。検出結果の中には、他の AWS のサービスやサードパーティーパートナーによって検出された問題に由来するものもあります。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。

Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。詳細については、AWS Security Hub ユーザーガイドの「検出結果の表示」を参照してください。検出結果の調査状況を追跡することもできます 詳細については、AWS Security Hub ユーザーガイドの「検出結果に対するアクションの実行」を参照してください。

Security Hub のすべての検出結果は、 AWS Security Finding Format (ASFF) と呼ばれる標準 JSON 形式を使用します。ASFF には、問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。 AWS ユーザーガイド の「AWS Security Hub Security Finding 形式 (ASFF)」を参照してください 。

Amazon GuardDuty は、結果を Security Hub に送信する AWS サービスの 1 つです。

が Security Hub GuardDuty に送信する検出結果のタイプ

同じ 内の同じアカウントで GuardDuty と Security Hub を有効にすると AWS リージョン、 GuardDuty は生成されたすべての検出結果を Security Hub に送信し始めます。これらの検出結果は、Security AWS Finding 形式 (ASFF) を使用して Security Hub に送信されます。ASFF では、Types フィールドが検出結果タイプを提供します。

新しい検出結果の送信のレイテンシー

が新しい検出結果 GuardDuty を作成すると、通常 5 分以内に Security Hub に送信されます。

Security Hub が使用できない場合の再試行

Security Hub が使用できない場合、 は検出結果を受信するまで送信を GuardDuty 再試行します。

Security Hub の既存の結果を更新する

Security Hub に結果を送信すると、 GuardDuty は結果アクティビティの追加観測を反映するように更新を Security Hub に送信します。これらの検出結果の新しい観察結果は、 ステップ 5 – 検出結果のエクスポート頻度の設定に基づいて Security Hub に送信されます AWS アカウント。

検出結果をアーカイブまたはアーカイブ解除する場合、その検出 GuardDuty 結果を Security Hub に送信しないでください。後で でアクティブになる手動でアーカイブ解除された検出 GuardDuty 結果は、Security Hub に送信されません。

で GuardDuty の結果の表示 AWS Security Hub

Security Hub で GuardDuty 検出結果を表示するには、概要ページから「Amazon GuardDuty の検出結果」を選択します。または、ナビゲーションパネルから検出結果を選択し、 値を持つ製品名: フィールドを選択して GuardDuty 検出結果のみを表示するようにフィルタリングすることもできますGuardDuty

で GuardDuty の検出結果名の解釈 AWS Security Hub

GuardDuty は、Security AWS Finding 形式 (ASFF) を使用して結果を Security Hub に送信します。ASFF では、Types フィールドが検出結果タイプを提供します。ASFF タイプは、タイプとは異なる命名スキーム GuardDutyを使用します。次の表は、Security Hub に表示される ASFF に対応するすべての GuardDuty 検出結果タイプの詳細を示しています。

注記

一部の検出 GuardDuty 結果タイプでは、Security Hub は、検出結果の詳細のリソースロールACtorTARGET かに応じて、異なる ASFF 検出結果名を割り当てます。詳細については、検出結果の詳細を参照してください。

GuardDuty 検出結果タイプ

ASFF 結果タイプ

Backdoor:EC2/C&CActivity.B

TTPs/Command and Control/Backdoor:EC2-C&CActivity.B

Backdoor:EC2/C&CActivity.B!DNS

TTPs/Command and Control/Backdoor:EC2-C&CActivity.B!DNS

Backdoor:EC2/DenialOfService.Dns

TTPs/Command and Control/Backdoor:EC2-DenialOfService.Dns

Backdoor:EC2/DenialOfService.Tcp

TTPs/Command and Control/Backdoor:EC2-DenialOfService.Tcp

Backdoor:EC2/DenialOfService.Udp

TTPs/Command and Control/Backdoor:EC2-DenialOfService.Udp

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

TTPs/Command and Control/Backdoor:EC2-DenialOfService.UdpOnTcpPorts

Backdoor:EC2/DenialOfService.UnusualProtocol

TTPs/Command and Control/Backdoor:EC2-DenialOfService.UnusualProtocol

Backdoor:EC2/Spambot

TTPs/Command and Control/Backdoor:EC2-Spambot

Behavior:EC2/NetworkPortUnusual

Unusual Behaviors/VM/Behavior:EC2-NetworkPortUnusual

Behavior:EC2/TrafficVolumeUnusual

Unusual Behaviors/VM/Behavior:EC2-TrafficVolumeUnusual

Backdoor:Lambda/C&CActivity.B

TTPs/Command and Control/Backdoor:Lambda-C&CActivity.B

Backdoor:Runtime/C&CActivity.B

TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B

Backdoor:Runtime/C&CActivity.B!DNS

TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B!DNS

CredentialAccess:IAMUser/AnomalousBehavior

TTPs/Credential Access/IAMUser-AnomalousBehavior

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

TTPs/AnomalousBehavior/CredentialAccess:Kubernetes-SecretsAccessed

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

TTPs/Credential Access/CredentialAccess:RDS-AnomalousBehavior.FailedLogin

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulBruteForce

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulLogin

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

TTPs/Credential Access/RDS-MaliciousIPCaller.FailedLogin

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

TTPs/Credential Access/RDS-MaliciousIPCaller.SuccessfulLogin

CredentialAccess:RDS/TorIPCaller.FailedLogin

TTPs/Credential Access/RDS-TorIPCaller.FailedLogin

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

TTPs/Credential Access/RDS-TorIPCaller.SuccessfulLogin

CryptoCurrency:EC2/BitcoinTool.B

TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B

CryptoCurrency:EC2/BitcoinTool.B!DNS

TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B!DNS

CryptoCurrency:Lambda/BitcoinTool.B

TTPs/Command and Control/CryptoCurrency:Lambda-BitcoinTool.B

Effects/Resource Consumption/CryptoCurrency:Lambda-BitcoinTool.B

CryptoCurrency:Runtime/BitcoinTool.B

TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B

CryptoCurrency:Runtime/BitcoinTool.B!DNS

TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B!DNS

DefenseEvasion:EC2/UnusualDNSResolver

TTPs/DefenseEvasion/EC2:Unusual-DNS-Resolver

DefenseEvasion:EC2/UnusualDoHActivity

TTPs/DefenseEvasion/EC2:Unusual-DoH-Activity

DefenseEvasion:EC2/UnusualDoTActivity

TTPs/DefenseEvasion/EC2:Unusual-DoT-Activity

DefenseEvasion:IAMUser /AnomalousBehavior

TTPs/Defense Evasion/IAMUser-AnomalousBehavior

DefenseEvasion:Runtime/FilelessExecution

TTPs/Defense Evasion/DefenseEvasion:Runtime-FilelessExecution

DefenseEvasion:Runtime/PtraceAntiDebugging

TTPs/DefenseEvasion/DefenseEvasion:Runtime-PtraceAntiDebugging

DefenseEvasion:Runtime/SuspiciousCommand

TTPs/DefenseEvasion/DefenseEvasion:Runtime-SuspiciousCommand

検出:IAMUser /AnomalousBehavior

TTPs/Discovery/IAMUser-AnomalousBehavior

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

TTPs/AnomalousBehavior/Discovery:Kubernetes-PermissionChecked

Discovery:RDS/MaliciousIPCaller

TTPs/Discovery/RDS-MaliciousIPCaller

Discovery:RDS/TorIPCaller

TTPs/Discovery/RDS-TorIPCaller

Discovery:S3/AnomalousBehavior

TTPs/Discovery:S3-AnomalousBehavior

Discovery:S3/BucketEnumeration.Unusual

TTPs/Discovery:S3-BucketEnumeration.Unusual

Discovery:S3/MaliciousIPCaller.Custom

TTPs/Discovery:S3-MaliciousIPCaller.Custom

Discovery:S3/TorIPCaller

TTPs/Discovery:S3-TorIPCaller

Discovery:S3/MaliciousIPCaller

TTPs/Discovery:S3-MaliciousIPCaller

Execution:Kubernetes/AnomalousBehavior.ExecInPod

TTPs/AnomalousBehavior/Execution:Kubernetes-ExecInPod

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

TTPs/AnomalousBehavior/Execution:Kubernetes-WorkloadDeployed

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

TTPs/AnomalousBehavior/Persistence:Kubernetes-WorkloadDeployed!ContainerWithSensitiveMount

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-WorkloadDeployed!PrivilegedContainer

Execution:EC2/MaliciousFile

TTPs/Execution/Execution:EC2-MaliciousFile

Execution:ECS/MaliciousFile

TTPs/Execution/Execution:ECS-MaliciousFile

Execution:Kubernetes/MaliciousFile

TTPs/Execution/Execution:Kubernetes-MaliciousFile

Execution:Container/MaliciousFile

TTPs/Execution/Execution:Container-MaliciousFile

Execution:EC2/SuspiciousFile

TTPs/Execution/Execution:EC2-SuspiciousFile

Execution:ECS/SuspiciousFile

TTPs/Execution/Execution:ECS-SuspiciousFile

Execution:Kubernetes/SuspiciousFile

TTPs/Execution/Execution:Kubernetes-SuspiciousFile

Execution:Container/SuspiciousFile

TTPs/Execution/Execution:Container-SuspiciousFile

Execution:Runtime/MaliciousFileExecuted

TTPs/Execution/Execution:Runtime-MaliciousFileExecuted

Execution:Runtime/NewBinaryExecuted

TTPs/Execution/Execution:Runtime-NewBinaryExecuted

Execution:Runtime/NewLibraryLoaded

TTPs/Execution/Execution:Runtime-NewLibraryLoaded

Execution:Runtime/ReverseShell

TTPs/Execution/Execution:Runtime-ReverseShell

Execution:Runtime/SuspiciousCommand

TTPs/Execution/Execution:Runtime-SuspiciousCommand

Execution:Runtime/SuspiciousTool

TTPs/Execution/Execution:Runtime-SuspiciousTool

Exfiltration:S3/AnomalousBehavior

TTPs/Exfiltration:S3-AnomalousBehavior

Exfiltration:S3/ObjectRead.Unusual

TTPs/Exfiltration:S3-ObjectRead.Unusual

Exfiltration:S3/MaliciousIPCaller

TTPs/Exfiltration:S3-MaliciousIPCaller

Impact:EC2/AbusedDomainRequest.Reputation

TTPs/Impact:EC2-AbusedDomainRequest.Reputation

Impact:EC2/BitcoinDomainRequest.Reputation

TTPs/Impact:EC2-BitcoinDomainRequest.Reputation

Impact:EC2/MaliciousDomainRequest.Reputation

TTPs/Impact:EC2-MaliciousDomainRequest.Reputation

Impact:EC2/PortSweep

TTPs/Impact/Impact:EC2-PortSweep

Impact:EC2/SuspiciousDomainRequest.Reputation

TTPs/Impact:EC2-SuspiciousDomainRequest.Reputation

Impact:EC2/WinRMBruteForce

TTPs/Impact/Impact:EC2-WinRMBruteForce

影響:IAMUser /AnomalousBehavior

TTPs/Impact/IAMUser-AnomalousBehavior

Impact:Runtime/AbusedDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-AbusedDomainRequest.Reputation

Impact:Runtime/BitcoinDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-BitcoinDomainRequest.Reputation

Impact:Runtime/CryptoMinerExecuted

TTPs/Impact/Impact:Runtime-CryptoMinerExecuted

Impact:Runtime/MaliciousDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Impact:Runtime/SuspiciousDomainRequest.Reputation

TTPs/Impact/Impact:Runtime-SuspiciousDomainRequest.Reputatio

Impact:S3/AnomalousBehavior.Delete

TTPs/Impact:S3-AnomalousBehavior.Delete

Impact:S3/AnomalousBehavior.Permission

TTPs/Impact:S3-AnomalousBehavior.Permission

Impact:S3/AnomalousBehavior.Write

TTPs/Impact:S3-AnomalousBehavior.Write

Impact:S3/ObjectDelete.Unusual

TTPs/Impact:S3-ObjectDelete.Unusual

Impact:S3/PermissionsModification.Unusual

TTPs/Impact:S3-PermissionsModification.Unusual

Impact:S3/MaliciousIPCaller

TTPs/Impact:S3-MaliciousIPCaller

InitialAccess:IAMUser /AnomalousBehavior

TTPs/Initial Access/IAMUser-AnomalousBehavior

PenTest:IAMUser/KaliLinux

TTPs/PenTest:IAMUser/KaliLinux

PenTest:IAMUser/ParrotLinux

TTPs/PenTest:IAMUser/ParrotLinux

PenTest:IAMUser/PentooLinux

TTPs/PenTest:IAMUser/PentooLinux

PenTest:S3/KaliLinux

TTPs/PenTest:S3-KaliLinux

PenTest:S3/ParrotLinux

TTPs/PenTest:S3-ParrotLinux

PenTest:S3/PentooLinux

TTPs/PenTest:S3-PentooLinux

永続性:IAMUser /AnomalousBehavior

TTPs/Persistence/IAMUser-AnomalousBehavior

Persistence:IAMUser/NetworkPermissions

TTPs/Persistence/Persistence:IAMUser-NetworkPermissions

Persistence:IAMUser/ResourcePermissions

TTPs/Persistence/Persistence:IAMUser-ResourcePermissions

Persistence:IAMUser/UserPermissions

TTPs/Persistence/Persistence:IAMUser-UserPermissions

Policy:IAMUser/RootCredentialUsage

TTPs/Policy:IAMUser-RootCredentialUsage

Policy:S3/AccountBlockPublicAccessDisabled

TTPs/Policy:S3-AccountBlockPublicAccessDisabled

Policy:S3/BucketAnonymousAccessGranted

TTPs/Policy:S3-BucketAnonymousAccessGranted

Policy:S3/BucketBlockPublicAccessDisabled

Effects/Data Exposure/Policy:S3-BucketBlockPublicAccessDisabled

Policy:S3/BucketPublicAccessGranted

TTPs/Policy:S3-BucketPublicAccessGranted

PrivilegeEscalation:IAMUser /AnomalousBehavior

TTPs/Privilege Escalation/IAMUser-AnomalousBehavior

PrivilegeEscalation:IAMUser/AdministrativePermissions

TTPs/Privilege Escalation/PrivilegeEscalation:IAMUser-AdministrativePermissions

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

TTPs/AnomalousBehavior/PriviledgeEscalation:Kubernetes-RoleBindingCreated

PriviledgeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

TTPs/AnomalousBehavior/PriviledgeEscalation:Kubernetes-RoleCreated

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ContainerMountsHostDirectory

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-CGroupsReleaseAgentModified

PrivilegeEscalation:Runtime/DockerSocketAccessed

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-DockerSocketAccessed

PrivilegeEscalation:Runtime/RuncContainerEscape

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-RuncContainerEscape

PrivilegeEscalation:Runtime/UserfaultfdUsage

TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-UserfaultfdUsage

Recon:EC2/PortProbeEMRUnprotectedPort

TTPs/Discovery/Recon:EC2-PortProbeEMRUnprotectedPort

Recon:EC2/PortProbeUnprotectedPort

TTPs/Discovery/Recon:EC2-PortProbeUnprotectedPort

Recon:EC2/Portscan

TTPs/Discovery/Recon:EC2-Portscan

Recon:IAMUser/MaliciousIPCaller

TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller

Recon:IAMUser/MaliciousIPCaller.Custom

TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller.Custom

Recon:IAMUser/NetworkPermissions

TTPs/Discovery/Recon:IAMUser-NetworkPermissions

Recon:IAMUser/ResourcePermissions

TTPs/Discovery/Recon:IAMUser-ResourcePermissions

Recon:IAMUser/TorIPCaller

TTPs/Discovery/Recon:IAMUser-TorIPCaller

Recon:IAMUser/UserPermissions

TTPs/Discovery/Recon:IAMUser-UserPermissions

ResourceConsumption:IAMUser/ComputeResources

Unusual Behaviors/User/ResourceConsumption:IAMUser-ComputeResources

Stealth:IAMUser/CloudTrailLoggingDisabled

TTPs/Defense Evasion/Stealth:IAMUser-CloudTrailLoggingDisabled

Stealth:IAMUser/LoggingConfigurationModified

TTPs/Defense Evasion/Stealth:IAMUser-LoggingConfigurationModified

Stealth:IAMUser/PasswordPolicyChange

TTPs/Defense Evasion/Stealth:IAMUser-PasswordPolicyChange

Stealth:S3/ServerAccessLoggingDisabled

TTPs/Defense Evasion/Stealth:S3-ServerAccessLoggingDisabled

Trojan:EC2/BlackholeTraffic

TTPs/Command and Control/Trojan:EC2-BlackholeTraffic

Trojan:EC2/BlackholeTraffic!DNS

TTPs/Command and Control/Trojan:EC2-BlackholeTraffic!DNS

Trojan:EC2/DGADomainRequest.B

TTPs/Command and Control/Trojan:EC2-DGADomainRequest.B

Trojan:EC2/DGADomainRequest.C!DNS

TTPs/Command and Control/Trojan:EC2-DGADomainRequest.C!DNS

Trojan:EC2/DNSDataExfiltration

TTPs/Command and Control/Trojan:EC2-DNSDataExfiltration

Trojan:EC2/DriveBySourceTraffic!DNS

TTPs/Initial Access/Trojan:EC2-DriveBySourceTraffic!DNS

Trojan:EC2/DropPoint

Effects/Data Exfiltration/Trojan:EC2-DropPoint

Trojan:EC2/DropPoint!DNS

Effects/Data Exfiltration/Trojan:EC2-DropPoint!DNS

Trojan:EC2/PhishingDomainRequest!DNS

TTPs/Command and Control/Trojan:EC2-PhishingDomainRequest!DNS

Trojan:Lambda/BlackholeTraffic

TTPs/Command and Control/Trojan:Lambda-BlackholeTraffic

Trojan:Lambda/DropPoint

Effects/Data Exfiltration/Trojan:Lambda-DropPoint

Trojan:Runtime/BlackholeTraffic

TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic

Trojan:Runtime/BlackholeTraffic!DNS

TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic!DNS

Trojan:Runtime/DGADomainRequest.C!DNS

TTPs/Command and Control/Trojan:Runtime-DGADomainRequest.C!DNS

Trojan:Runtime/DriveBySourceTraffic!DNS

TTPs/Initial Access/Trojan:Runtime-DriveBySourceTraffic!DNS

Trojan:Runtime/DropPoint

Effects/Data Exfiltration/Trojan:Runtime-DropPoint

Trojan:Runtime/DropPoint!DNS

Effects/Data Exfiltration/Trojan:Runtime-DropPoint!DNS

Trojan:Runtime/PhishingDomainRequest!DNS

TTPs/Command and Control/Trojan:Runtime-PhishingDomainRequest!DNS

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

TTPs/Command and Control/UnauthorizedAccess:EC2-MaliciousIPCaller.Custom

UnauthorizedAccess:EC2/MetadataDNSRebind

TTPs/UnauthorizedAccess:EC2-MetadataDNSRebind

UnauthorizedAccess:EC2/RDPBruteForce

TTPs/Initial Access/UnauthorizedAccess:EC2-RDPBruteForce

UnauthorizedAccess:EC2/SSHBruteForce

TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce

UnauthorizedAccess:EC2/TorClient

Effects/Resource Consumption/UnauthorizedAccess:EC2-TorClient

UnauthorizedAccess:EC2/TorRelay

Effects/Resource Consumption/UnauthorizedAccess:EC2-TorRelay

UnauthorizedAccess:IAMUser/ConsoleLogin

Unusual Behaviors/User/UnauthorizedAccess:IAMUser-ConsoleLogin

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

TTPs/UnauthorizedAccess:IAMUser-ConsoleLoginSuccess.B

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.InsideAWS

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.OutsideAWS

UnauthorizedAccess:IAMUser/MaliciousIPCaller

TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller.Custom

UnauthorizedAccess:IAMUser/TorIPCaller

TTPs/Command and Control/UnauthorizedAccess:IAMUser-TorIPCaller

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

TTPs/Command and Control/UnauthorizedAccess:Lambda-MaliciousIPCaller.Custom

UnauthorizedAccess:Lambda/TorClient

Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorClient

UnauthorizedAccess:Lambda/TorRelay

Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorRelay

UnauthorizedAccess:Runtime/MetadataDNSRebind

TTPs/UnauthorizedAccess:Runtime-MetadataDNSRebind

UnauthorizedAccess:Runtime/TorRelay

Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorRelay

UnauthorizedAccess:Runtime/TorClient

Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorClient

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

TTPs/UnauthorizedAccess:S3-MaliciousIPCaller.Custom

UnauthorizedAccess:S3/TorIPCaller

TTPs/UnauthorizedAccess:S3-TorIPCaller

GuardDuty からの一般的な結果

GuardDuty は Security AWS Finding 形式 (ASFF) を使用して Security Hub に結果を送信します。

からの一般的な検出結果の例を次に示します GuardDuty。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "ProductArn": "arn:aws::securityhub:us-east-1:product/aws/guardduty", "GeneratorId": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64", "AwsAccountId": "193043430472", "Types": [ "TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce" ], "FirstObservedAt": "2020-08-22T09:15:57Z", "LastObservedAt": "2020-09-30T11:56:49Z", "CreatedAt": "2020-08-22T09:34:34.146Z", "UpdatedAt": "2020-09-30T12:14:00.206Z", "Severity": { "Product": 2, "Label": "MEDIUM", "Normalized": 40 }, "Title": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356.", "Description": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356. Brute force attacks are used to gain unauthorized access to your instance by guessing the SSH password.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/guardduty/home?region=us-east-1#/findings?macros=current&fId=46ba0ac2845071e23ccdeb2ae03bfdea", "ProductFields": { "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/portName": "Unknown", "aws/guardduty/service/archived": "false", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asnOrg": "CENTURYLINK-US-LEGACY-QWEST", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lat": "42.5122", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "199.241.229.197", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lon": "-90.7384", "aws/guardduty/service/action/networkConnectionAction/blocked": "false", "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/port": "46717", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/country/countryName": "United States", "aws/guardduty/service/serviceName": "guardduty", "aws/guardduty/service/evidence": "", "aws/guardduty/service/action/networkConnectionAction/localIpDetails/ipAddressV4": "172.31.43.6", "aws/guardduty/service/detectorId": "d4b040365221be2b54a6264dc9a4bc64", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/org": "CenturyLink", "aws/guardduty/service/action/networkConnectionAction/connectionDirection": "INBOUND", "aws/guardduty/service/eventFirstSeen": "2020-08-22T09:15:57Z", "aws/guardduty/service/eventLastSeen": "2020-09-30T11:56:49Z", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/portName": "SSH", "aws/guardduty/service/action/actionType": "NETWORK_CONNECTION", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/city/cityName": "Dubuque", "aws/guardduty/service/additionalInfo": "", "aws/guardduty/service/resourceRole": "TARGET", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/port": "22", "aws/guardduty/service/action/networkConnectionAction/protocol": "TCP", "aws/guardduty/service/count": "74", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asn": "209", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/isp": "CenturyLink", "aws/securityhub/FindingId": "arn:aws::securityhub:us-east-1::product/aws/guardduty/arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "aws/securityhub/ProductName": "GuardDuty", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws::ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "18.234.130.16", "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475", "LaunchedAt": "2020-08-03T23:21:57Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }

統合の有効化と構成

との統合を使用するには AWS Security Hub、Security Hub を有効にする必要があります。Security Hub を有効にする方法については、「AWS Security Hub ユーザーガイド」の「Setting up Security Hub」(Security Hub の設定) を参照してください。

GuardDuty と Security Hub の両方を有効にすると、統合は自動的に有効になります。 GuardDuty はすぐに Security Hub に結果を送信し始めます。

結果の Security Hub への公開の停止

Security Hub への結果の送信を停止するには、Security Hub コンソールまたは API を使用できます。

「 ユーザーガイド」の「統合からの検出結果のフローの無効化と有効化 (コンソール)」または「統合からの検出結果のフローの無効化 (Security Hub API、 AWS CLI)」を参照してください。 AWS Security Hub