Amazon とは GuardDuty - Amazon GuardDuty
の機能 GuardDutyPCI DSS コンプライアンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon とは GuardDuty

Amazon GuardDuty は、 AWS 環境内の AWS データソースとログを継続的にモニタリング、分析、処理する脅威検出サービスです。 は、悪意のある IP アドレスとドメインのリスト、ファイルハッシュ、機械学習 (ML) モデルなどの脅威インテリジェンスフィード GuardDuty を使用して、 AWS 環境内の疑わしいアクティビティや潜在的に悪意のあるアクティビティを特定します。次のリストは、検出 GuardDuty に役立つ潜在的な脅威シナリオの概要を示しています。

  • 侵害された認証情報と流出した AWS 認証情報。

  • ランサムウェアイベントにつながる可能性のあるデータの流出と破壊。サポートされている Amazon Aurora および Amazon RDS データベースのエンジンバージョンで、異常な動作を示すログインイベントの異常なパターン。

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとコンテナワークロードでの不正な暗号化アクティビティ。

  • Amazon EC2インスタンスとコンテナワークロードにマルウェアが存在し、Amazon Simple Storage Service (Amazon S3) バケットに新しくアップロードされたファイルが存在する。

  • Amazon Elastic Kubernetes Service (Amazon EKS) クラスター、Amazon Elastic Container Service (Amazon ECS) タスク AWS Fargate 、Amazon EC2インスタンスとコンテナワークロードでの不正な動作を示すオペレーティングシステムレベル、ネットワーク、ファイルイベント。

次のビデオでは、 が AWS 環境内の脅威を検出する GuardDuty のに役立つ方法の概要を示します。

内容

の機能 GuardDuty

Amazon が AWS 環境内の潜在的な脅威のモニタリング、検出、管理 GuardDuty に役立つ主な方法をいくつか紹介します。

特定のデータソースとイベントログを継続的にモニタリングする

  • 基礎的な脅威の検出 – GuardDuty で を有効にすると AWS アカウント、 GuardDuty は、そのアカウントに関連付けられた基礎的なデータソースの取り込みを自動的に開始します。これらのデータソースには AWS CloudTrail 、管理イベント、VPCフローログ (Amazon EC2インスタンスから)、DNSログが含まれます。これらのデータソースの分析と処理を開始 GuardDuty して、関連するセキュリティ検出結果を生成するために、 を他に有効にする必要はありません。詳細については、「GuardDuty 基礎データソース」を参照してください。

  • ユースケースに焦点を当てた GuardDuty 保護プラン – AWS 環境のセキュリティに対する脅威検出の可視性を強化するために、 は、有効にすることを選択できる専用の保護プラン GuardDuty を提供します。保護プランは、他の AWS サービスのログとイベントをモニタリングするのに役立ちます。これらのソースには、EKS監査ログ、RDSログインアクティビティ、、 CloudTrailEBSボリュームの Amazon S3 データイベント、Amazon EKS、Amazon ECS-FargateEC2、および Lambda ネットワークアクティビティログのランタイムモニタリングが含まれます。 GuardDuty は、これらのログソースとイベントソースを - 機能 という用語で統合します。サポートされている で 1 つ以上の専用保護プランを AWS リージョン いつでも有効にできます。 GuardDuty は、有効にする保護プランに基づいてアクティビティのモニタリング、処理、分析を開始します。各保護プランとその仕組みの詳細については、対応する保護プランドキュメントを参照してください。

    保護プラン 説明

    S3 保護

    Amazon S3 バケット内のデータ流出や破壊の試みなど、潜在的なセキュリティリスクを特定します。

    EKS 保護

    EKS Audit Log Monitoring は、Amazon EKSクラスターからの Kubernetes 監査ログを分析し、潜在的に疑わしいアクティビティや悪意のあるアクティビティがないかを調べます。

    Runtime Monitoring

    Amazon 、Amazon EKS、および Amazon ECS ( を含む AWS Fargate) のオペレーティングシステムレベルのイベントをモニタリングおよび分析してEC2、潜在的なランタイムの脅威を検出します。

    のマルウェア保護 EC2

    Amazon EC2インスタンスに関連付けられた Amazon EBSボリュームをスキャンして、マルウェアの潜在的な存在を検出します。この機能はオンデマンドで使用できます。

    S3 向けのマルウェア防御

    Amazon S3 バケット内の新しくアップロードされたオブジェクトにマルウェアが存在する可能性を検出します。

    RDS 保護

    サポートされている Amazon Aurora および Amazon RDS データベースに対する潜在的なアクセスの脅威について、RDSログインアクティビティを分析し、プロファイルします。

    Lambda Protection

    VPC フローログから始まる Lambda ネットワークアクティビティログをモニタリングして、関数に対する脅威を検出します AWS Lambda 。これらの潜在的な脅威の例としては、暗号化や悪意のあるサーバーとの通信などがあります。
    S3 の Malware Protection を個別に有効にする

    GuardDuty は、Amazon GuardDuty サービスを有効にすることなく、Malware Protection for S3 を個別に使用できる柔軟性を提供します。Malware Protection for S3 の使用を開始する方法の詳細については、「」を参照してくださいGuardDuty S3 のマルウェア保護。他のすべての保護プランを使用するには、 サービスを有効にする GuardDuty必要があります。

マルチアカウント環境の管理

複数アカウント AWS 環境は、 AWS Organizations (推奨) またはレガシー招待方法を使用して管理できます。詳細については、「の複数のアカウント GuardDuty」を参照してください。

検出された脅威のセキュリティ検出結果を生成します

が AWS リソースに関連する潜在的なセキュリティ脅威 GuardDuty を検出すると、侵害された可能性のあるリソースに関する情報を提供するセキュリティ検出結果の生成が開始されます。アカウント GuardDuty で を有効にしたら、 を生成サンプルの検出結果して関連する を表示します検出結果の詳細。セキュリティ検出結果の完全なリストについては、「」を参照してくださいGuardDuty 検出結果タイプ

では GuardDuty、特定の GuardDuty セキュリティ検出結果を生成するテスタースクリプトを使用して、 GuardDuty 検出結果を確認して対応する方法を理解することもできます。詳細については、「専用アカウントのテスト GuardDuty 結果」を参照してください。

セキュリティ検出結果の評価と管理

GuardDuty は、複数のアカウントでセキュリティ検出結果を統合し、 GuardDuty コンソールのサマリーダッシュボードに結果を表示します。また、 AWS Security Hub API、 AWS Command Line Interface、または を使用して検出結果を取得することもできます AWS SDK。現在のセキュリティステータスを包括的に把握することで、傾向と潜在的な問題を特定し、必要な修復ステップを実行できます。詳細については、「 GuardDuty 検出結果の管理」を参照してください。

関連する AWS セキュリティサービスとの統合

AWS 環境内のセキュリティ傾向の分析と調査をさらに支援するには、以下の AWS セキュリティ関連サービスを と組み合わせて使用することを検討してください GuardDuty。

  • AWS Security Hub – このサービスは、リソースのセキュリティ状態を包括的に AWS 把握し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境を確認するのに役立ちます。これは、複数の AWS サービス (Amazon Macie を含む) およびサポートされている AWS パートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub は、セキュリティの傾向を分析し、 AWS 環境全体で優先度の高いセキュリティ問題を特定するのに役立ちます。

    GuardDuty と Security Hub を一緒に使用する方法については、「」を参照してください GuardDuty との統合 AWS Security Hub。Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。

  • Amazon Detective – このサービスは、セキュリティ検出結果や疑わしいアクティビティの根本原因を分析、調査、迅速に特定するのに役立ちます。Detective は、 AWS リソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。Detective の事前構築済みデータ集約、概要、コンテキストは、潜在的なセキュリティ問題の性質と範囲を分析して判断するのに役立ちます。

    GuardDuty と Detective を一緒に使用する方法については、「」を参照してくださいAmazon Detective GuardDuty との統合。Detective の詳細については、「Amazon Detective ユーザーガイド」を参照してください。

  • Amazon EventBridge – このサービスは、通知を受信し、 GuardDuty セキュリティ検出結果にほぼリアルタイムで応答するのに役立ちます。 は、検出結果に変更があった場合にイベント GuardDuty を作成します。から通知を受信する頻度を選択できます EventBridge。詳細については、「Amazon ユーザーガイド」の「Amazon とは EventBridge」を参照してください。 EventBridge

PCI DSS コンプライアンス

GuardDuty は、加盟店またはサービスプロバイダーによるクレジットカードデータの処理、保存、送信をサポートし、Payment Card Industry (PCI) Data Security Standard () に準拠していることが確認されていますDSS。コンプライアンスパッケージのコピーを AWS PCIリクエストする方法などPCIDSS、 の詳細については、PCIDSS「レベル 1」を参照してください。

詳細については、AWS 「セキュリティブログ」の「新しいサードパーティーテストは Amazon GuardDuty をネットワーク侵入検出システムと比較します。