翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
検出結果グループを分析する
Amazon Detective の検出結果グループを使用すると、セキュリティイベントを引き起こす可能性がある複数のアクティビティを調査することができます。Amazon Detective の検出結果グループは、Detective が同じ潜在的なセキュリティインシデントに関連していることを示す複数の検出結果間でパターンまたは関係を検出すると作成されます。このグループ化は、関連する検出結果をより効率的に管理および調査するのに役立ちます。
検出結果グループを使用して、重要度の高い GuardDuty 検出結果の根本原因を分析できます。脅威アクターが AWS 環境を侵害しようとすると、通常、複数のセキュリティ上の検出結果や異常な動作につながる一連のアクションを実行します。これらのアクションは、多くの場合、長い時間や複数のエンティティにわたって行われます。セキュリティ上の検出結果を単独で調査すると、その重要度が誤解され、根本原因の特定が困難になる可能性があります。Amazon Detective ではこの問題に対処するため、検出結果とエンティティの関係を推測して、検出結果とエンティティをグループ化するグラフ分析手法を適用しています。関連するエンティティと検出結果を調査する出発点として、検出結果グループを検討することをお勧めします。
Detective は検出結果のデータを分析し、共有するリソースに基づいて関連する可能性が高い他の検出結果とグループ化します。例えば、同じIAMロールセッションによって実行されたアクション、または同じ IP アドレスから実行されたアクションに関連する検出結果は、同じ基盤となるアクティビティの一部である可能性が非常に高いです。検出結果と証拠を 1 つのグループとして調査することは、Detective が行った関連付けが関連していない場合でも有益です。
検出結果グループは、次の条件に基づいて作成されます。
-
一時的な近接性 – 近い期間内に発生した検出結果は、同じインシデントに関連している可能性が高いため、多くの場合、グループ化されます。
-
共通エンティティ – IP アドレス、ユーザー、リソースなど、同じエンティティに関連する検出結果はグループ化されます。これは、環境のさまざまな部分にわたるインシデントの範囲を理解するのに役立ちます。
-
パターンと動作 – Detective は、同様のタイプの攻撃や疑わしいアクティビティなど、検出結果のパターンと動作を分析して関係を判断し、それに応じてグループ化します。
-
戦略、手法、手順 (TTPs) – MITRE ATT&CK などのフレームワークで説明されているようにTTPs、類似した を共有する検出結果はグループ化され、協調攻撃の可能性を強調します。
これらの基準は、調査プロセスを合理化するのに役立つため、同じセキュリティインシデントを表す可能性のある相関結果に集中できます。
各グループには、検出結果に加えて、検出結果に関係するエンティティも含まれます。エンティティには、IP アドレスやユーザーエージェント AWS など、 外のリソースを含めることができます。
注記
別の GuardDuty 検出結果に関連する最初の検出結果が発生すると、関連するすべての検出結果と関連するすべてのエンティティを含む検出結果グループが 48 時間以内に作成されます。
