プロアクティブ対応による自動アーカイブを理解する
プロアクティブ対応とアラートのトリアージを有効にすると、AWS Security Incident Response が Amazon GuardDuty と Security Hub CSPM のセキュリティ検出結果を自動的にモニタリングしてトリアージします。この自動トリアージワークフローの一環として、検出結果は次の基準に基づいて自動的にアーカイブされます:
自動アーカイブの動作:
-
無害な検出結果: 自動トリアージプロセスによって検出結果が無害 (真のセキュリティ脅威ではない) であると判断された場合、AWS Security Incident Response は検出結果を Amazon GuardDuty に自動的にアーカイブし、抑制ルールを作成して、今後同様の検出結果がアラートを生成しないようにします。
-
抑制ルール: このサービスは、環境の既知の正常なパターン (予想される IP アドレス、IAM エンティティ、通常の運用動作など) に一致する検出結果に対し、Amazon GuardDuty と Security Hub CSPM の両方で抑制ルールと自動アーカイブルールを作成します。
-
アラートボリュームの削減: SIEM テクノロジーを使用している組織では、サービスが組織の環境を学習し、無害な検出結果を自動的にアーカイブしていくにつれて、Amazon GuardDuty の検出結果ボリュームが大幅に減少します。これにより、AWS Security Incident Response のサービスと SIEM の両方の効率が向上します。
アーカイブされた検出結果の表示:
自動的にアーカイブされた検出結果と、AWS Security Incident Response によって作成された抑制ルールを確認できます:
-
[Amazon GuardDuty コンソール] に移動する
-
[検出結果] を選択する
-
検出結果フィルターから [アーカイブ済み] を選択する
-
各ルールの横にある下矢印を選択して、抑制ルールを確認する
重要な考慮事項:
-
アーカイブされた検出結果は 90 日間 Amazon GuardDuty に保持され、その期間中いつでも表示することができます
-
抑制ルールは、Amazon GuardDuty コンソールからいつでも変更または削除できます
-
自動トリアージプロセスは、継続的に環境に適応し、時間の経過とともに精度を向上させ、誤検出を削減します
