GuardDuty 結果の集約

GuardDuty は、生成された結果を動的に更新します。が同じセキュリティ問題に関連する新しいアクティビティ GuardDuty を検出した場合、新しい検出結果を作成する代わりに、 GuardDuty は元の検出結果を最新の詳細で更新します。この動作により、複数の類似レポートを調べることなく、進行中の問題を特定でき、既知のセキュリティ問題の検出結果の全体的な量を削減できます。

例えば、UnauthorizedAccess:EC2/SSHBruteForce の結果、インスタンスに対する複数のアクセス試行が同じ結果 ID に集約され、結果の詳細のカウント数が増加します。これは、その検出結果が、インスタンスのSSHポートがこのタイプのアクティビティに対して適切に保護されていないことを示す、インスタンスに関する単一のセキュリティ上の問題を表しているためです。ただし、 が環境内の新しいインスタンスをターゲットとするSSHアクセスアクティビティ GuardDuty を検出すると、一意の検出結果 ID を持つ新しい検出結果が作成され、新しいリソースに関連するセキュリティ上の問題があることを警告します。

検出結果が集計されると、そのアクティビティの最新の出現からの情報で更新されます。つまり、上記の例ではインスタンスが新しいアクターからのブルートフォースの試みのターゲットになった場合、検出結果の詳細は最も新しいソースのリモート IP を反映して更新され、古い情報は置き換えられることになります。個々のアクティビティ試行に関する完全な情報は、引き続きログまたはVPCフローログで CloudTrail確認できます。

既存の検出結果を集計するのではなく、新しい検出結果を生成する GuardDuty ようにアラートする基準は、検出結果タイプによって異なります。各検出結果タイプの集計基準は、アカウント内の個別のセキュリティ問題の概要を提供するために、セキュリティエンジニアによって決定されます。

がアカウントで攻撃シーケンス検出結果タイプ GuardDuty を生成する場合、検出結果は、アカウント内の同じシーケンスで同様のシグナル GuardDuty を識別した場合にのみ集計されます。それ以外の場合、 GuardDuty は別の攻撃シーケンスを生成します。