[検出結果グループ] ページを理解する - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

[検出結果グループ] ページを理解する

検出結果グループページには、動作グラフから Amazon Detective によって収集されたすべての検出結果グループが一覧表示されます。検出結果グループの次の属性に注意してください。

グループの重要度

各検出結果グループには、関連する検出結果の AWS Security Finding 形式 (ASFF) の重要度に基づいて重要度が割り当てられます。 ASFF検出結果の重要度値は、重要度が最も高いものから最も低いものまで、重大、または情報です。グループの重要度は、そのグループ内の検出結果の中で最も重要度の高い検出結果の重要度と等しくなります。

多数のエンティティに影響する、重要度が [重要] または [高] の検出結果で構成されるグループは、影響の大きいセキュリティ問題を表す可能性が高いため、優先的に調査する必要があります。

グループタイトル

[タイトル] 列では、各グループに一意の ID と、各グループに一意ではないタイトルが表示されます。これらは、 グループのASFFタイプ名前空間と、クラスター内のその名前空間内の検出結果の数に基づいています。例えば、グループ化に次のタイトルがある場合: Group with TTP (2)、Effect (1)、Unusual behavior (2) TTP名前空間に 2 つの結果、Effect 名前空間に 1 つの結果、Unusual Behavior 名前空間に 2 つの結果で構成される 5 つの結果の合計が含まれます。名前空間の完全なリストについては、「 の型分類ASFF」を参照してください。

グループの戦術

グループの [戦術] 列には、アクティビティが分類される戦術カテゴリが表示されます。次のリストの戦術、手法、手順のカテゴリは、MITREATT&CK マトリックスと一致しています。

チェーン上の戦術を選択すると、その戦術の説明を表示できます。チェーンの下には、グループ内で検出された戦術のリストが表示されます。これらのカテゴリとその代表的なアクティビティは次のとおりです。

  • 初期アクセス — 攻撃者が他者のネットワークに侵入しようとしています。

  • 実行 — 攻撃者が他者のネットワークに侵入しようとしています。

  • 永続化 — 攻撃者が足場を固めようとします。

  • 権限昇格 — 攻撃者がより高いレベルのアクセス許可を取得しようとしています。

  • 防衛回避 — 攻撃者が検出されないようにしようとしています。

  • 認証情報アクセス — 攻撃者がアカウント名とパスワードを盗もうとしています。

  • 探索 — 攻撃者が環境を理解し、知ろうとしています。

  • 横展開 — 攻撃者が環境内を進もうとしています。

  • 収集 — 攻撃者が目標達成に必要なデータを収集しようとしています。

  • C&C (Command and Control) — 攻撃者が他者のネットワークに侵入しようとしています。

  • 持ち出し — 攻撃者がデータを盗もうとしています。

  • 影響 — 攻撃者がユーザーのシステムおよびデータを操作、中断、または破壊しようとしています。

  • その他 — 検出結果によるアクティビティが、「matrix」に記載されている「tactics」(戦術) と一致しないことを示します。

グループ内のエンティティ

[エンティティ] 列には、検出されたこのグループ内の特定エンティティの詳細が表示されます。この値を選択すると、エンティティの内訳が [アイデンティティ][ネットワーク][ストレージ][コンピューティング] のカテゴリに分けて表示されます。カテゴリごとにエンティティの例を示します。

  • ID – ユーザーやロール AWS アカウントなどのIAMプリンシパルと

  • ネットワーク – IP アドレスまたはその他のネットワークとVPCエンティティ

  • ストレージ – Amazon S3 バケットまたは DDBs

  • Amazon インスタンスまたは Kubernetes コンテナをコンピューティングする EC2

グループ内のアカウント

アカウント列には、グループ内の結果に関係するエンティティを所有する AWS アカウントが表示されます。 AWS アカウントは名前と AWS ID でリストされるため、重要なアカウントに関連するアクティビティの調査を優先できます。

グループ内の検出結果

[検出結果] 列には、グループ内のエンティティが重要度順に一覧表示されます。検出結果には、Amazon GuardDuty の検出結果、Amazon Inspector の検出結果、 AWS セキュリティの検出結果、Detective からの証拠が含まれます。グラフを選択すると、重要度ごとの正確な検出結果数を確認できます。

GuardDuty の結果は Detective コアパッケージの一部であり、デフォルトで取り込まれます。Security Hub によって集計された他のすべての AWS セキュリティ検出結果は、オプションのデータソースとして取り込まれます。詳細については、「Source data used in a behavior graph」を参照してください。