翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
との統合 AWS Security Hub
AWS Security Hub では、 AWS のセキュリティ状態を総合的に把握することができ、セキュリティ業界標準およびベストプラクティスに照らし合わせて環境をチェックすることができます。Security Hub は、 AWS アカウント、サービス、およびサポートされているサードパーティパートナー製品からセキュリティデータを収集し、セキュリティの傾向を分析し、最優先のセキュリティ問題を特定するのに役立ちます。
Amazon とSecurity Hub GuardDuty 統合により、結果をSecurity Hub に送信できます。 GuardDuty Security Hub では、このような検出結果をセキュリティ体制の分析に含めることができます。
目次
Amazon GuardDuty が調査結果を送信する方法 AWS Security Hub
では AWS Security Hub、セキュリティ問題は結果として追跡されます。調査結果の中には、 AWS 他のサービスやサードパーティのパートナーによって検出された問題から得られたものもあります。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。詳細については、AWS Security Hub ユーザーガイドの「検出結果の表示」を参照してください。検出結果の調査状況を追跡することもできます 詳細については、AWS Security Hub ユーザーガイドの「検出結果に対するアクションの実行」を参照してください。
Security Hub のすべての検出結果は、 AWS セキュリティ結果フォーマット (ASFF) と呼ばれる標準 JSON 形式を使用します。ASFF には、問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。 AWS ユーザーガイド の「AWS Security Hub Security Finding 形式 (ASFF)」を参照してください 。
GuardDuty Amazonは、Security Hub AWS に調査結果を送信するサービスの1つです。
Security Hub GuardDuty に送信される結果のタイプ
GuardDuty 同じアカウント内の同じアカウントで Security Hub を有効にすると AWS リージョン、生成されたすべての結果を Security Hub GuardDuty に送信し始めます。これらの結果は、セキュリティ結果フォーマット (ASFF)AWS
を使用してセキュリティハブに送信されます。ASFF では、Types
フィールドが検出結果タイプを提供します。
新しい結果を送信するまでの待ち時間
GuardDuty 新しい結果を作成すると、通常 5 分以内に Security Hub に送信されます。
Security Hub が使用できない場合の再試行
Security Hub が利用できない場合は、 GuardDuty 結果を受信するまで結果の送信を再試行します。
Security Hub の既存の結果を更新する
検出結果をSecurity Hub に送信した後、検出結果のアクティビティに関する追加の観測結果をセキュリティハブに反映する更新情報をSecurity Hub GuardDuty に送信します。これらの結果の新しい観測情報は、ステップ 5 — 更新頻度をエクスポートするの設定に基づいてSecurity Hub AWS アカウントに送信されます。
GuardDuty 結果をアーカイブまたはアーカイブ解除しても、その結果はSecurity Hub に送信されません。手動でアーカイブ解除され、後でアクティブになった結果が Security Hub GuardDuty に送信されることはありません。
で検出結果を表示する GuardDuty AWS Security Hub
Security Hub GuardDuty で調査結果を表示するには、 GuardDuty概要ページから [Amazon で調査結果を表示] を選択します。または、ナビゲーションパネルから [Findings] を選択し、[Product name:] フィールドの値を選択して、 GuardDuty 結果をフィルタリングして結果のみを表示することもできますGuardDuty
。
GuardDuty 内の検索結果の名前の解釈 AWS Security Hub
GuardDuty セキュリティ結果フォーマット (ASFF)AWS
を使用してセキュリティハブに結果を送信します。ASFF では、Types
フィールドが検出結果タイプを提供します。ASFF タイプはタイプとは異なる命名規則を使用します。 GuardDuty以下の表は、Security Hub GuardDuty に表示されるすべての検出タイプと ASFF 対応するものの詳細を示しています。
注記
GuardDuty 一部の検索タイプでは、Security Hub は結果の詳細のリソースロールがアクターかターゲットかに応じて、異なる ASFF 結果名を割り当てます。詳細については、検出結果の詳細を参照してください。
GuardDuty 検索タイプ |
ASFF 結果タイプ |
---|---|
TTPs/Command and Control/Backdoor:EC2-C&CActivity.B |
|
TTPs/Command and Control/Backdoor:EC2-C&CActivity.B!DNS |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Dns |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Tcp |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Udp |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.UdpOnTcpPorts |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.UnusualProtocol |
|
TTPs/Command and Control/Backdoor:EC2-Spambot |
|
Unusual Behaviors/VM/Behavior:EC2-NetworkPortUnusual |
|
Unusual Behaviors/VM/Behavior:EC2-TrafficVolumeUnusual |
|
TTPs/Command and Control/Backdoor:Lambda-C&CActivity.B |
|
TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B |
|
TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B!DNS |
|
TTPs/Credential Access/IAMUser-AnomalousBehavior |
|
CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed |
TTPs/AnomalousBehavior/CredentialAccess:Kubernetes-SecretsAccessed |
TTPs/Credential Access/CredentialAccess:RDS-AnomalousBehavior.FailedLogin |
|
TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulBruteForce |
|
TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulLogin |
|
TTPs/Credential Access/RDS-MaliciousIPCaller.FailedLogin |
|
TTPs/Credential Access/RDS-MaliciousIPCaller.SuccessfulLogin |
|
TTPs/Credential Access/RDS-TorIPCaller.FailedLogin |
|
TTPs/Credential Access/RDS-TorIPCaller.SuccessfulLogin |
|
TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B |
|
TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B!DNS |
|
TTPs/Command and Control/CryptoCurrency:Lambda-BitcoinTool.B Effects/Resource Consumption/CryptoCurrency:Lambda-BitcoinTool.B |
|
TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B |
|
TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B!DNS |
|
TTPs/DefenseEvasion/EC2:Unusual-DNS-Resolver |
|
TTPs/DefenseEvasion/EC2:Unusual-DoH-Activity |
|
TTPs/DefenseEvasion/EC2:Unusual-DoT-Activity |
|
TTPs/Defense Evasion/IAMUser-AnomalousBehavior |
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-FilelessExecution |
|
TTPs/DefenseEvasion/DefenseEvasion:Runtime-PtraceAntiDebugging |
|
TTPs/DefenseEvasion/DefenseEvasion:Runtime-SuspiciousCommand |
|
TTPs/Discovery/IAMUser-AnomalousBehavior |
|
TTPs/AnomalousBehavior/Discovery:Kubernetes-PermissionChecked |
|
TTPs/Discovery/RDS-MaliciousIPCaller |
|
TTPs/Discovery/RDS-TorIPCaller |
|
TTPs/Discovery:S3-AnomalousBehavior |
|
TTPs/Discovery:S3-BucketEnumeration.Unusual |
|
TTPs/Discovery:S3-MaliciousIPCaller.Custom |
|
TTPs/Discovery:S3-TorIPCaller |
|
TTPs/Discovery:S3-MaliciousIPCaller |
|
TTPs/AnomalousBehavior/Execution:Kubernetes-ExecInPod |
|
TTPs/AnomalousBehavior/Execution:Kubernetes-WorkloadDeployed |
|
Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount |
TTPs/AnomalousBehavior/Persistence:Kubernetes-WorkloadDeployed!ContainerWithSensitiveMount |
PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer |
TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-WorkloadDeployed!PrivilegedContainer |
TTPs/Execution/Execution:EC2-MaliciousFile |
|
TTPs/Execution/Execution:ECS-MaliciousFile |
|
TTPs/Execution/Execution:Kubernetes-MaliciousFile |
|
TTPs/Execution/Execution:Container-MaliciousFile |
|
TTPs/Execution/Execution:EC2-SuspiciousFile |
|
TTPs/Execution/Execution:ECS-SuspiciousFile |
|
TTPs/Execution/Execution:Kubernetes-SuspiciousFile |
|
TTPs/Execution/Execution:Container-SuspiciousFile |
|
TTPs/Execution/Execution:Runtime-MaliciousFileExecuted |
|
TTPs/Execution/Execution:Runtime-NewBinaryExecuted |
|
TTPs/Execution/Execution:Runtime-NewLibraryLoaded |
|
TTPs/Execution/Execution:Runtime-ReverseShell |
|
TTPs/Execution/Execution:Runtime-SuspiciousCommand |
|
TTPs/Execution/Execution:Runtime-SuspiciousTool |
|
TTPs/Exfiltration:S3-AnomalousBehavior |
|
TTPs/Exfiltration:S3-ObjectRead.Unusual |
|
TTPs/Exfiltration:S3-MaliciousIPCaller |
|
TTPs/Impact:EC2-AbusedDomainRequest.Reputation |
|
TTPs/Impact:EC2-BitcoinDomainRequest.Reputation |
|
TTPs/Impact:EC2-MaliciousDomainRequest.Reputation |
|
TTPs/Impact/Impact:EC2-PortSweep |
|
TTPs/Impact:EC2-SuspiciousDomainRequest.Reputation |
|
TTPs/Impact/Impact:EC2-WinRMBruteForce |
|
TTPs/Impact/IAMUser-AnomalousBehavior |
|
TTPs/Impact/Impact:Runtime-AbusedDomainRequest.Reputation |
|
TTPs/Impact/Impact:Runtime-BitcoinDomainRequest.Reputation |
|
TTPs/Impact/Impact:Runtime-CryptoMinerExecuted |
|
TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation |
|
TTPs/Impact/Impact:Runtime-SuspiciousDomainRequest.Reputatio |
|
TTPs/Impact:S3-AnomalousBehavior.Delete |
|
TTPs/Impact:S3-AnomalousBehavior.Permission |
|
TTPs/Impact:S3-AnomalousBehavior.Write |
|
TTPs/Impact:S3-ObjectDelete.Unusual |
|
TTPs/Impact:S3-PermissionsModification.Unusual |
|
TTPs/Impact:S3-MaliciousIPCaller |
|
InitialAccess影響:iamユーザー/----sep----: iamUser/ AnomalousBehavior |
TTPs/Initial Access/IAMUser-AnomalousBehavior |
TTPs/PenTest:IAMUser/KaliLinux |
|
TTPs/PenTest:IAMUser/ParrotLinux |
|
TTPs/PenTest:IAMUser/PentooLinux |
|
TTPs/PenTest:S3-KaliLinux |
|
TTPs/PenTest:S3-ParrotLinux |
|
TTPs/PenTest:S3-PentooLinux |
|
TTPs/Persistence/IAMUser-AnomalousBehavior | |
TTPs/Persistence/Persistence:IAMUser-NetworkPermissions |
|
TTPs/Persistence/Persistence:IAMUser-ResourcePermissions |
|
TTPs/Persistence/Persistence:IAMUser-UserPermissions |
|
TTPs/Policy:IAMUser-RootCredentialUsage |
|
TTPs/Policy:S3-AccountBlockPublicAccessDisabled |
|
TTPs/Policy:S3-BucketAnonymousAccessGranted |
|
Effects/Data Exposure/Policy:S3-BucketBlockPublicAccessDisabled |
|
TTPs/Policy:S3-BucketPublicAccessGranted |
|
PrivilegeEscalationパーシスタンス:iamユーザー/----sep----: iamユーザー/ AnomalousBehavior |
TTPs/Privilege Escalation/IAMUser-AnomalousBehavior |
TTPs/Privilege Escalation/PrivilegeEscalation:IAMUser-AdministrativePermissions |
|
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated |
TTPs/AnomalousBehavior/PriviledgeEscalation:Kubernetes-RoleBindingCreated |
PriviledgeEscalation:Kubernetes/AnomalousBehavior.RoleCreated |
TTPs/AnomalousBehavior/PriviledgeEscalation:Kubernetes-RoleCreated |
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ContainerMountsHostDirectory |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-CGroupsReleaseAgentModified |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-DockerSocketAccessed |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-RuncContainerEscape |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-UserfaultfdUsage |
|
TTPs/Discovery/Recon:EC2-PortProbeEMRUnprotectedPort |
|
TTPs/Discovery/Recon:EC2-PortProbeUnprotectedPort |
|
TTPs/Discovery/Recon:EC2-Portscan |
|
TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller |
|
TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller.Custom |
|
TTPs/Discovery/Recon:IAMUser-NetworkPermissions |
|
TTPs/Discovery/Recon:IAMUser-ResourcePermissions |
|
TTPs/Discovery/Recon:IAMUser-TorIPCaller |
|
TTPs/Discovery/Recon:IAMUser-UserPermissions |
|
Unusual Behaviors/User/ResourceConsumption:IAMUser-ComputeResources |
|
TTPs/Defense Evasion/Stealth:IAMUser-CloudTrailLoggingDisabled |
|
TTPs/Defense Evasion/Stealth:IAMUser-LoggingConfigurationModified |
|
TTPs/Defense Evasion/Stealth:IAMUser-PasswordPolicyChange |
|
TTPs/Defense Evasion/Stealth:S3-ServerAccessLoggingDisabled |
|
TTPs/Command and Control/Trojan:EC2-BlackholeTraffic |
|
TTPs/Command and Control/Trojan:EC2-BlackholeTraffic!DNS |
|
TTPs/Command and Control/Trojan:EC2-DGADomainRequest.B |
|
TTPs/Command and Control/Trojan:EC2-DGADomainRequest.C!DNS |
|
TTPs/Command and Control/Trojan:EC2-DNSDataExfiltration |
|
TTPs/Initial Access/Trojan:EC2-DriveBySourceTraffic!DNS |
|
Effects/Data Exfiltration/Trojan:EC2-DropPoint |
|
Effects/Data Exfiltration/Trojan:EC2-DropPoint!DNS |
|
TTPs/Command and Control/Trojan:EC2-PhishingDomainRequest!DNS |
|
TTPs/Command and Control/Trojan:Lambda-BlackholeTraffic |
|
Effects/Data Exfiltration/Trojan:Lambda-DropPoint |
|
TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic |
|
TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic!DNS |
|
TTPs/Command and Control/Trojan:Runtime-DGADomainRequest.C!DNS |
|
TTPs/Initial Access/Trojan:Runtime-DriveBySourceTraffic!DNS |
|
Effects/Data Exfiltration/Trojan:Runtime-DropPoint |
|
Effects/Data Exfiltration/Trojan:Runtime-DropPoint!DNS |
|
TTPs/Command and Control/Trojan:Runtime-PhishingDomainRequest!DNS |
|
TTPs/Command and Control/UnauthorizedAccess:EC2-MaliciousIPCaller.Custom |
|
TTPs/UnauthorizedAccess:EC2-MetadataDNSRebind |
|
TTPs/Initial Access/UnauthorizedAccess:EC2-RDPBruteForce |
|
TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce |
|
Effects/Resource Consumption/UnauthorizedAccess:EC2-TorClient |
|
Effects/Resource Consumption/UnauthorizedAccess:EC2-TorRelay |
|
Unusual Behaviors/User/UnauthorizedAccess:IAMUser-ConsoleLogin |
|
TTPs/UnauthorizedAccess:IAMUser-ConsoleLoginSuccess.B |
|
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS |
Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.InsideAWS |
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS |
Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.OutsideAWS |
TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller |
|
TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller.Custom |
|
TTPs/Command and Control/UnauthorizedAccess:IAMUser-TorIPCaller |
|
TTPs/Command and Control/UnauthorizedAccess:Lambda-MaliciousIPCaller.Custom |
|
Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorClient |
|
Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorRelay |
|
TTPs/UnauthorizedAccess:Runtime-MetadataDNSRebind |
|
Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorRelay |
|
Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorClient |
|
TTPs/UnauthorizedAccess:S3-MaliciousIPCaller.Custom |
|
TTPs/UnauthorizedAccess:S3-TorIPCaller |
GuardDuty からの一般的な結果
GuardDuty セキュリティ結果フォーマット (ASFF)AWS を使用してセキュリティハブに結果を送信します。
GuardDutyからの代表的な結果の例を以下に示します。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "ProductArn": "arn:aws::securityhub:us-east-1:product/aws/guardduty", "GeneratorId": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64", "AwsAccountId": "193043430472", "Types": [ "TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce" ], "FirstObservedAt": "2020-08-22T09:15:57Z", "LastObservedAt": "2020-09-30T11:56:49Z", "CreatedAt": "2020-08-22T09:34:34.146Z", "UpdatedAt": "2020-09-30T12:14:00.206Z", "Severity": { "Product": 2, "Label": "MEDIUM", "Normalized": 40 }, "Title": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356.", "Description": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356. Brute force attacks are used to gain unauthorized access to your instance by guessing the SSH password.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/guardduty/home?region=us-east-1#/findings?macros=current&fId=46ba0ac2845071e23ccdeb2ae03bfdea", "ProductFields": { "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/portName": "Unknown", "aws/guardduty/service/archived": "false", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asnOrg": "CENTURYLINK-US-LEGACY-QWEST", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lat": "42.5122", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "199.241.229.197", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lon": "-90.7384", "aws/guardduty/service/action/networkConnectionAction/blocked": "false", "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/port": "46717", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/country/countryName": "United States", "aws/guardduty/service/serviceName": "guardduty", "aws/guardduty/service/evidence": "", "aws/guardduty/service/action/networkConnectionAction/localIpDetails/ipAddressV4": "172.31.43.6", "aws/guardduty/service/detectorId": "d4b040365221be2b54a6264dc9a4bc64", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/org": "CenturyLink", "aws/guardduty/service/action/networkConnectionAction/connectionDirection": "INBOUND", "aws/guardduty/service/eventFirstSeen": "2020-08-22T09:15:57Z", "aws/guardduty/service/eventLastSeen": "2020-09-30T11:56:49Z", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/portName": "SSH", "aws/guardduty/service/action/actionType": "NETWORK_CONNECTION", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/city/cityName": "Dubuque", "aws/guardduty/service/additionalInfo": "", "aws/guardduty/service/resourceRole": "TARGET", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/port": "22", "aws/guardduty/service/action/networkConnectionAction/protocol": "TCP", "aws/guardduty/service/count": "74", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asn": "209", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/isp": "CenturyLink", "aws/securityhub/FindingId": "arn:aws::securityhub:us-east-1::product/aws/guardduty/arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "aws/securityhub/ProductName": "GuardDuty", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws::ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "18.234.130.16", "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475", "LaunchedAt": "2020-08-03T23:21:57Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }
統合の有効化と構成
とのインテグレーションを使用するには AWS Security Hub、Security Hub を有効にする必要があります。Security Hub を有効にする方法については、「AWS Security Hub ユーザーガイド」の「Setting up Security Hub」(Security Hub の設定) を参照してください。
と Security Hub GuardDuty の両方を有効にすると、統合は自動的に有効になります。 GuardDutyすぐに調査結果をSecurity Hub に送信し始めます。
結果の Security Hub への公開の停止
Security Hub への結果の送信を停止するには、Security Hub コンソールまたは API を使用できます。
ユーザーガイドの「インテグレーションからの結果のフローの無効化と有効化 (コンソール)」または「インテグレーションからの結果のフローの無効化 (Security Hub API、 AWS CLI)」を参照してください。AWS Security Hub