翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Runtime Monitoring の検出結果タイプ

Amazon は、Amazon EKSクラスター、Fargate および Amazon ECSワークロード、Amazon EC2インスタンス内の Amazon EC2ホストおよびコンテナからのオペレーティングシステムレベルの動作に基づいて潜在的な脅威を示すために、次の Runtime Monitoring の検出結果 GuardDuty を生成します。

CryptoCurrency:Runtime/BitcoinTool.B

Amazon EC2インスタンスまたはコンテナが、暗号通貨関連のアクティビティに関連付けられた IP アドレスをクエリしています。

デフォルトの重要度: [High] (高)

この検出結果は、 にリストされているEC2インスタンスまたはコンテナがあることを知らせるものです。 AWS 環境は、暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このEC2インスタンスまたはコンテナを使用して暗号通貨をマイニングまたは管理する場合、またはこれらのいずれかがブロックチェーンアクティビティに関与している場合は、CryptoCurrency:Runtime/BitcoinTool.B 検出結果は、環境に対して予想されるアクティビティを表す可能性があります。これが の場合 AWS 環境では、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B という値を使用します。2 つ目のフィルター条件は、インスタンスの [インスタンス ID]、または暗号通貨やブロックチェーン関連のアクティビティに関わるコンテナの [コンテナイメージ ID] です。詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Backdoor:Runtime/C&CActivity.B

Amazon EC2インスタンスまたはコンテナが、既知のコマンドおよびコントロールサーバーに関連付けられている IP をクエリしています。

デフォルトの重要度: [High] (高)

この検出結果は、リストされたEC2インスタンスまたは 内のコンテナが AWS 環境は、既知のコマンドアンドコントロール (C&C) サーバーに関連付けられた IP をクエリしています。リストされているインスタンスまたはコンテナが侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットは、、サーバーPCs、モバイルデバイス、モノのインターネットデバイスなど、一般的なタイプのマルウェアに感染して制御されるインターネットに接続されたデバイスのコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーが分散型サービス拒否 (DDoS) 攻撃を開始するコマンドを発行する場合もあります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、コンソールの検出結果パネル GuardDutyでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

UnauthorizedAccess:Runtime/TorRelay

Amazon EC2インスタンスまたはコンテナが Tor リレーとして Tor ネットワークに接続しています。

デフォルトの重要度: [High] (高)

この検出結果は、 のEC2インスタンスまたはコンテナが AWS 環境は、Tor リレーとして動作していることを示す方法で Tor ネットワークに接続しています。Tor は匿名通信を有効化するソフトウェアです。ある Tor リレーから別の Tor リレーにクライアントの不正なトラフィックを転送することで、通信の匿名性を高めます。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

UnauthorizedAccess:Runtime/TorClient

Amazon EC2インスタンスまたはコンテナが Tor Guard または Authority ノードに接続しています。

デフォルトの重要度: [High] (高)

この検出結果は、 のEC2インスタンスまたはコンテナが AWS 環境が Tor Guard または Authority ノードに接続しています。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、このEC2インスタンスまたはコンテナが侵害された可能性があり、Tor ネットワーク上のクライアントとして動作していることを示している可能性があります。この検出結果は、 への不正アクセスを示している可能性があります。 AWS 攻撃者の真のアイデンティティを隠すことを目的とした リソース。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/BlackholeTraffic

Amazon EC2インスタンスまたはコンテナが、既知のブラックホールであるリモートホストの IP アドレスと通信しようとしています。

デフォルトの重要度: [Medium] (中)

この検出結果は、 のリストされたEC2インスタンスまたはコンテナを通知します。 AWS 環境は、ブラックホール (またはシンクホール) の IP アドレスと通信しようとしているため、侵害されている可能性があります。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DropPoint

Amazon EC2インスタンスまたはコンテナが、マルウェアによってキャプチャされた認証情報やその他の盗難されたデータを保持していることがわかっているリモートホストの IP アドレスと通信しようとしています。

デフォルトの重要度: [Medium] (中)

この検出結果は、 のEC2インスタンスまたはコンテナが AWS 環境が、マルウェアによってキャプチャされた認証情報やその他の盗難されたデータを保持していることがわかっているリモートホストの IP アドレスと通信しようとしています。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Amazon EC2インスタンスまたはコンテナが、暗号通貨アクティビティに関連付けられたドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

この検出結果は、 にリストされているEC2インスタンスまたはコンテナがあることを知らせるものです。 AWS 環境は、Bitcoin または他の暗号通貨関連のアクティビティに関連付けられているドメイン名をクエリしています。脅威アクターは、コンピューティングリソースを不正な暗号通貨マイニングに不正に転用するため、コンピュートリソースを乗っ取ろうとする可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このEC2インスタンスまたはコンテナを使用して暗号通貨をマイニングまたは管理する場合、またはこれらのいずれかがブロックチェーンアクティビティに関与している場合は、CryptoCurrency:Runtime/BitcoinTool.B!DNS 検出結果は、環境にとって予想されるアクティビティである可能性があります。これが の場合 AWS 環境では、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター検索条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B!DNS という値を使用します。2 つ目のフィルター条件では、暗号通貨またはブロックチェーンアクティビティに関与するインスタンスの [インスタンス ID]、またはコンテナの [コンテナイメージ ID] である必要があります。詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Backdoor:Runtime/C&CActivity.B!DNS

Amazon EC2インスタンスまたはコンテナが、既知のコマンドおよびコントロールサーバーに関連付けられているドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

この検出結果は、リストされたEC2インスタンスまたは 内のコンテナが AWS 環境は、既知のコマンドアンドコントロール (C&C) サーバーに関連付けられたドメイン名をクエリしています。リストされているEC2インスタンスまたはコンテナが侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットは、、サーバーPCs、モバイルデバイス、モノのインターネットデバイスなど、一般的なタイプのマルウェアに感染して制御されるインターネットに接続されたデバイスのコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーが分散型サービス拒否 (DDoS) 攻撃を開始するコマンドを発行する場合もあります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/BlackholeTraffic!DNS

Amazon EC2インスタンスまたはコンテナが、ブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしています。

デフォルトの重要度: [Medium] (中)

この検出結果は、 のリストされたEC2インスタンスまたはコンテナを通知します。 AWS 環境は、ブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしているため、侵害されている可能性があります。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DropPoint!DNS

Amazon EC2インスタンスまたはコンテナが、マルウェアによってキャプチャされた認証情報やその他の盗難されたデータを保持していることがわかっているリモートホストのドメイン名をクエリしています。

デフォルトの重要度: [Medium] (中)

この検出結果は、 のEC2インスタンスまたはコンテナが AWS 環境は、マルウェアによってキャプチャされた認証情報やその他の盗難されたデータを保持することが知られているリモートホストのドメイン名をクエリしています。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DGADomainRequest.C!DNS

Amazon EC2インスタンスまたはコンテナがアルゴリズムで生成されたドメインをクエリしています。このようなドメインはマルウェアによって一般的に使用され、侵害されたEC2インスタンスまたはコンテナの兆候である可能性があります。

デフォルトの重要度: [High] (高)

この検出結果は、 にリストされているEC2インスタンスまたはコンテナが AWS 環境がドメイン生成アルゴリズム (DGA) ドメインをクエリしようとしています。リソースが侵害されている可能性があります。

DGAs は、コマンドアンドコントロール (C&C) サーバーでランデブーポイントとして使用できる多数のドメイン名を定期的に生成するために使用されます。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータであり、一般的なタイプのマルウェアに感染して制御されたインターネットのコネクテッドデバイスのコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DriveBySourceTraffic!DNS

Amazon EC2インスタンスまたはコンテナが、Drive-By ダウンロード攻撃の既知のソースであるリモートホストのドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

この検出結果は、 にリストされているEC2インスタンスまたはコンテナが AWS 環境は、ドライブバイダウンロード攻撃の既知のソースであるリモートホストのドメイン名をクエリしているため、侵害されている可能性があります。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールを開始する場合があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/PhishingDomainRequest!DNS

Amazon EC2インスタンスまたはコンテナがフィッシング攻撃に関係するドメインをクエリしています。

デフォルトの重要度: [High] (高)

この検出結果は、 にEC2インスタンスまたはコンテナがあることを知らせるものです。 AWS フィッシング攻撃に関係するドメインをクエリしようとしている 環境。フィッシングドメインは、個人を特定できる情報、銀行やクレジットカードの詳細情報とパスワードなど、ユーザーが機密データを提供するように仕向ける、正当な機関になりすました人物によって設定されます。EC2 インスタンスまたはコンテナがフィッシングウェブサイトに保存されている機密データを取得しようとしているか、フィッシングウェブサイトをセットアップしようとしている可能性があります。EC2 インスタンスまたはコンテナが侵害されている可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/AbusedDomainRequest.Reputation

Amazon EC2インスタンスまたはコンテナが、既知の悪用されたドメインに関連付けられている評判の低いドメイン名をクエリしています。

デフォルトの重要度: [Medium] (中)

この検出結果は、リストされたEC2インスタンスまたは 内のコンテナが AWS 環境は、既知の悪用されたドメインまたは IP アドレスに関連付けられた評判の低いドメイン名をクエリしています。悪用されたドメインの例としては、無料のサブドメイン登録を提供する最上位ドメイン名 (TLDs) と第 2 レベルドメイン名 (2LDs) や動的DNSプロバイダーなどがあります。脅威アクターは、無料または低コストでドメインを登録するこれらのサービスを使用する傾向があります。このカテゴリの評価の低いドメインは、レジストラのパーキング IP アドレスを決定する有効期限切れドメインであり、アクティブになっていない可能性があります。パーキング IP は、レジストラがどのサービスにもリンクされていないドメインのトラフィックを管理する場所です。脅威アクターが一般的にこれらのレジストラの またはサービスを C&C およびマルウェアの配布に使用するため、リストされている Amazon EC2インスタンスまたはコンテナが侵害される可能性があります。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/BitcoinDomainRequest.Reputation

Amazon EC2インスタンスまたはコンテナが、暗号通貨関連のアクティビティに関連する評判の低いドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

この検出結果は、リストされたEC2インスタンスまたは 内のコンテナが AWS 環境が Bitcoin または他の暗号通貨関連のアクティビティに関連する評判の低いドメイン名をクエリしています。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このEC2インスタンスまたはコンテナを使用して暗号通貨をマイニングまたは管理する場合、またはこれらのリソースがブロックチェーンアクティビティに関与している場合、この検出結果は環境に対して予想されるアクティビティを表す可能性があります。これが の場合 AWS 環境では、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に Impact:Runtime/BitcoinDomainRequest.Reputation という値を使用します。2 番目のフィルター条件は、インスタンスの [インスタンス ID] か、コンテナの [コンテナイメージ ID] が暗号通貨やブロックチェーン関連のアクティビティに関係しているかどうかです。詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/MaliciousDomainRequest.Reputation

Amazon EC2インスタンスまたはコンテナが、悪意のある既知のドメインに関連付けられている評判の低いドメインをクエリしています。

デフォルトの重要度: [High] (高)

この検出結果は、リストされたEC2インスタンスまたは 内のコンテナが AWS 環境が、悪意のある既知のドメインまたは IP アドレスに関連付けられた評判の低いドメイン名をクエリしています。例えば、ドメインを既知のシンクホール IP アドレスに関連付けることができます。シンクホールドメインは、以前に脅威アクターに制御されたドメインであり、ドメインへのリクエストは、インスタンスが侵害されていることを示している場合があります。これらのドメインは、悪意のある既知のキャンペーンやドメイン生成アルゴリズムと相関している可能性もあります。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/SuspiciousDomainRequest.Reputation

Amazon EC2インスタンスまたはコンテナが、古くなったり、人気が低いために本質的に疑わしい評判の低いドメイン名をクエリしています。

デフォルトの重要度: [Low] (低)

この検出結果は、リストされたEC2インスタンスまたは 内のコンテナが AWS 環境は、悪意があると疑われる評判の低いドメイン名をクエリしています。 は、このドメインの特性に気づき、以前に検出された悪意あるドメインと一致していましたが、当社の評価モデルはそれを既知の脅威に明確に関連付けることができませんでした。これらのドメインは通常、新たに観察されるか、または少量のトラフィックを受信します。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

UnauthorizedAccess:Runtime/MetadataDNSRebind

Amazon EC2インスタンスまたはコンテナが、インスタンスメタデータサービスに解決されるDNSルックアップを実行しています。

デフォルトの重要度: [High] (高)

この検出結果は、 のEC2インスタンスまたはコンテナが AWS 環境は、EC2メタデータ IP アドレス (169.254.169.254) に解決されるドメインをクエリしています。この種のDNSクエリは、インスタンスがDNS再バインド手法のターゲットであることを示している可能性があります。この手法は、EC2インスタンスに関連付けられたIAM認証情報など、インスタンスからメタデータを取得するために使用できます。

DNS 再バインドには、EC2インスタンスで実行されているアプリケーションをだまして から戻りデータをロードすることが含まれます。ここでURL、 のドメイン名はEC2メタデータ IP アドレス () にURL解決されます169.254.169.254。これにより、アプリケーションはEC2メタデータにアクセスし、攻撃者が使用できるようになる可能性があります。

DNS 再バインドを使用してEC2メタデータにアクセスできるのは、EC2インスタンスが のインジェクションを許可する脆弱なアプリケーションを実行している場合URLs、またはEC2インスタンスで実行されているウェブブラウザURLで誰かが にアクセスする場合のみです。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

この検出結果に応じて、EC2インスタンスまたはコンテナで実行されている脆弱なアプリケーションがあるかどうか、または誰かがブラウザを使用して検出結果で識別されたドメインにアクセスしているかどうかを評価する必要があります。根本的な原因が脆弱なアプリケーションである場合は、脆弱性を修復します。ユーザーが識別したドメインを閲覧した場合、ドメインをブロックするか、ユーザーがそのドメインにアクセスできないようにします。この検出結果が上記のいずれかのケースに関連していると判断した場合は、EC2インスタンス に関連付けられたセッションを取り消します。

ある程度 AWS のお客様は、メタデータ IP アドレスを権威DNSサーバー上のドメイン名に意図的にマッピングします。ご利用の環境でこのような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に UnauthorizedAccess:Runtime/MetaDataDNSRebind という値を使用します。2 番目のフィルター基準は、DNSリクエストドメインまたはコンテナのコンテナイメージ ID である必要があります。DNS リクエストドメインの値は、メタデータ IP アドレス () にマッピングしたドメインと一致する必要があります169.254.169.254。抑制ルール作成の詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/NewBinaryExecuted

コンテナで新しく作成、または最近変更されたバイナリファイルが実行されました。

デフォルトの重要度: [Medium] (中)

この検出結果は、コンテナ内で新しく作成されたバイナリファイルまたは最近変更されたバイナリファイルが実行されたことを知らせるものです。実行時にコンテナを不変に保つことがベストプラクティスであり、バイナリファイル、スクリプト、またはライブラリはコンテナの存続期間中に作成または変更しないでください。この動作は、潜在的な侵害の一環として、コンテナへのアクセスを取得し、マルウェアやその他のソフトウェアをダウンロードして実行した悪意のあるアクターを示します。このタイプのアクティビティは侵害の兆候である可能性がありますが、一般的な使用パターンでもあります。したがって、 GuardDuty は メカニズムを使用してこのアクティビティの疑わしいインスタンスを識別し、疑わしいインスタンスに対してのみこの検出結果タイプを生成します。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。変更プロセスと新しいバイナリを特定するには、変更プロセスの詳細とプロセスの詳細を表示します。

変更プロセスの詳細は、検出結果 の service.runtimeDetails.context.modifyingProcessフィールドJSON、または検出結果の詳細パネルの「プロセスの変更」の下に含まれています。この検出結果タイプでは、変更プロセスは/usr/bin/dpkg、検出結果 の service.runtimeDetails.context.modifyingProcess.executablePathフィールドで識別される JSON、または検出結果の詳細パネルの プロセスの変更 の一部として になります。

実行された新規または変更されたバイナリの詳細は、検出結果 service.runtimeDetails.processの JSON、またはランタイムの詳細 の プロセス セクションに含まれています。この検出結果タイプでは、 service.runtimeDetails.process.executablePath (実行可能パス ) フィールドで示されるように/usr/bin/python3.8、新規または変更されたバイナリは です。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/DockerSocketAccessed

コンテナ内のプロセスは、Docker ソケットを使用して Docker デーモンと通信しています。

デフォルトの重要度: [Medium] (中)

Docker ソケットは、Docker デーモン (dockerd) がクライアントとの通信に使用する Unix ドメインソケットです。クライアントは、Docker ソケットを介して Docker デーモンと通信してコンテナを作成するなど、さまざまなアクションを実行できます。コンテナプロセスが Docker ソケットにアクセスするのは疑わしい状況です。コンテナプロセスは、Docket ソケットと通信して特権コンテナを作成することで、コンテナからエスケープしてホストレベルのアクセスを得ることができます。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/RuncContainerEscape

runC を介したコンテナエスケープの試行が検出されました。

デフォルトの重要度: [High] (高)

RunC は、Docker や Containerd などの高レベルのコンテナランタイムがコンテナのスポーンと実行に使用する低レベルのコンテナランタイムです。RunC は、コンテナ作成の低レベルタスクを実行する必要があるため、常にルート権限で実行されます。脅威アクターは、runC バイナリの脆弱性を変更または悪用することで、ホストレベルのアクセスを取得できます。

この検出結果は、runC バイナリの変更と、次の runC の脆弱性を悪用する可能性のある試みを検出します。

この検出結果は、悪意のある攻撃者が次のいずれかのタイプのコンテナで悪用を実行しようとしたことを示している可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

CGroups リリースエージェントを介したコンテナエスケープの試行が検出されました。

デフォルトの重要度: [High] (高)

この検出結果から、コントロールグループ (cgroup) リリースエージェントファイルを変更しようとした試みが検出されたことがわかります。Linux はコントロールグループ (cgroup) を使用して、プロセスの集合のリソース使用量を制限したり、説明したり、分離したりします。各 cgroup にはリリースエージェントファイル (release_agent) があります。これは cgroup 内のいずれかのプロセスが終了したときに Linux が実行するスクリプトです。リリースエージェントファイルは常にホストレベルで実行されます。コンテナ内の脅威アクターは、cgroup に属するリリースエージェントファイルに任意のコマンドを書き込むことで、ホストに逃げることができます。その cgroup 内のプロセスが終了すると、アクターによって書き込まれたコマンドが実行されます。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/ProcessInjection.Proc

proc ファイルシステムを使用したプロセスインジェクションがコンテナまたは Amazon EC2インスタンスで検出されました。

デフォルトの重要度: [High] (高)

プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。proc ファイルシステム (procfs) は、プロセスの仮想メモリをファイルとして表示する Linux の特別なファイルシステムです。そのファイルのパスは /proc/PID/mem で、PID はプロセスの固有の ID です。脅威アクターは、このファイルに書き込んで、プロセスにコードを挿入できます。この検出結果により、このファイルへの書き込みを試みる可能性が明らかになりました。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/ProcessInjection.Ptrace

ptrace システムコールを使用したプロセスインジェクションがコンテナまたは Amazon EC2インスタンスで検出されました。

デフォルトの重要度: [Medium] (中)

プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは ptrace システムコールを使って、別のプロセスにコードを挿入できる。この検出結果により、ptrace システムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

コンテナまたは Amazon EC2インスタンスで、仮想メモリへの直接書き込みによるプロセスインジェクションが検出されました。

デフォルトの重要度: [High] (高)

プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは、process_vm_writev などのシステムコールを使用して、別のプロセスの仮想メモリにコードを直接挿入することができます。この検出結果により、プロセスの仮想メモリに書き込むためのシステムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/ReverseShell

コンテナまたは Amazon EC2インスタンスのプロセスがリバースシェルを作成しました。

デフォルトの重要度: [High] (高)

リバースシェルは、ターゲットホストからアクターのホストへの接続で作成されるシェルセッションです。これは、アクターのホストからターゲットのホストに対して開始される通常のシェルとは逆です。脅威アクターは、ターゲットへの最初のアクセス権を取得した後、リバースシェルを作成してターゲット上でコマンドを実行します。この検出結果により、リバースシェルの作成を試みる可能性が明らかになりました。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。

DefenseEvasion:Runtime/FilelessExecution

コンテナまたは Amazon EC2インスタンスのプロセスがメモリからコードを実行しています。

デフォルトの重要度: [Medium] (中)

この検出結果により、ディスク上のメモリ内の実行可能ファイルを使用してプロセスが実行されたときに通知されます。これは、ファイルシステムのスキャンによる検出を回避するために、悪意のある実行可能ファイルをディスクに書き込まないようにする、一般的な防御回避の手法です。この手法はマルウェアによって使用されていますが、正当な使用例もいくつかあります。例の 1 つは、コンパイルされたコードをメモリに書き込み、メモリから実行する just-in-time （JIT) コンパイラです。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/CryptoMinerExecuted

コンテナまたは Amazon EC2インスタンスが、暗号通貨マイニングアクティビティに関連付けられたバイナリファイルを実行しています。

デフォルトの重要度: [High] (高)

この検出結果は、 のコンテナまたはEC2インスタンスが AWS 環境は、暗号通貨マイニングアクティビティに関連付けられたバイナリファイルを実行しています。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。

ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。

修復のレコメンデーション

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、 GuardDuty コンソールで検出結果の詳細でリソースタイプを表示し、「」を参照してくださいRuntime Monitoring 検出結果の修正。

Execution:Runtime/NewLibraryLoaded

新しく作成または最近変更されたライブラリが、コンテナ内のプロセスによってロードされました。

デフォルトの重要度: [Medium] (中)

この検出結果から、ライブラリが実行時にコンテナ内で作成または変更され、コンテナ内で実行されているプロセスによって読み込まれたことがわかります。ベストプラクティスは、実行時にはコンテナを不変のままにし、コンテナの存続期間中はバイナリファイル、スクリプト、またはライブラリを作成または変更しないことです。新しく作成または変更されたライブラリをコンテナにロードすると、不審なアクティビティが発生する可能性があります。この動作は、悪意のある攻撃者が潜在的な侵害の一環としてコンテナにアクセスし、マルウェアやその他のソフトウェアをダウンロードして実行した可能性があることを示しています。このタイプのアクティビティは侵害の兆候である可能性がありますが、一般的な使用パターンでもあります。したがって、 GuardDuty は メカニズムを使用してこのアクティビティの疑わしいインスタンスを識別し、疑わしいインスタンスに対してのみこの検出結果タイプを生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

コンテナ内のプロセスが、実行時にホストファイルシステムをマウントしました。

デフォルトの重要度: [Medium] (中)

複数のコンテナエスケープ手法では、実行時にホストファイルシステムをコンテナ内にマウントします。この検出結果から、コンテナ内のプロセスがホストファイルシステムをマウントしようとした可能性があり、ホストへのエスケープが試みられた可能性があることがわかります。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/UserfaultfdUsage

あるプロセスが、userfaultfd システム呼び出しを使用してユーザースペースのページフォールトを処理しました。

デフォルトの重要度: [Medium] (中)

通常、ページフォールトはカーネルスペースのカーネルによって処理されます。しかし、userfaultfd システムコールを使うと、プロセスはユーザースペースのファイルシステムのページフォールトを処理できるようになります。これはユーザースペースのファイルシステムの実装を可能にする便利な機能です。一方で、潜在的に悪意のあるプロセスによってユーザースペースからカーネルを妨害するためにも使用される可能性があります。userfaultfd システムコールを使ってカーネルを中断させることは、カーネルの競合状態を悪用している最中にレースウィンドウを延長するため、一般的に悪用の手法です。を使用すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスでの疑わしいアクティビティを示しているuserfaultfd可能性があります。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/SuspiciousTool

コンテナまたは Amazon EC2インスタンスは、ペネストエンゲージメントなどの攻撃的なセキュリティシナリオで頻繁に使用されるバイナリファイルまたはスクリプトを実行しています。

デフォルトの重要度: 可変

この検出結果の重要度は、検出された疑わしいツールが二重使用と見なされるか、攻撃的な使用のみを目的としているかに応じて、高または低のいずれかになります。

この検出結果は、 内のEC2インスタンスまたはコンテナで疑わしいツールが実行されたことを知らせるものです。 AWS 環境。これには、バックドアツール、ネットワークスキャナー、ネットワークスニファとも呼ばれる、ペンテストエンゲージメントで使用されるツールが含まれます。これらのツールはすべて、無害なコンテキストで使用できますが、悪意のある意図を持つ脅威アクターによって頻繁に使用されます。攻撃的なセキュリティツールを観察すると、関連するEC2インスタンスまたはコンテナが侵害されている可能性があります。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/SuspiciousCommand

Amazon EC2インスタンスまたはコンテナで、侵害を示す疑わしいコマンドが実行されました。

デフォルトの重要度: 可変

観察された悪意のあるパターンの影響に応じて、この検出結果タイプの重要度は低、中、または高のいずれかになります。

この検出結果は、疑わしいコマンドが実行されたことを知らせるもので、 内の Amazon EC2インスタンスまたはコンテナが AWS 環境が侵害されました。これは、ファイルが疑わしいソースからダウンロードされて実行されたか、実行中のプロセスがコマンドラインに既知の悪意のあるパターンを表示することを意味します。これはさらに、マルウェアがシステムで実行されていることを示しています。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/SuspiciousCommand

コマンドは、リストされた Amazon EC2インスタンスまたはコンテナで実行され、ファイアウォールや重要なシステムサービスなどの Linux 防御メカニズムを変更または無効にしようとします。

デフォルトの重要度: 可変

どの防御メカニズムが変更または無効化されたかに応じて、この検出結果タイプの重要度は高、中、低のいずれかになります。

この検出結果は、ローカルシステムのセキュリティサービスから攻撃を隠そうとするコマンドが実行されたことを知らせるものです。これには、Unix ファイアウォールの無効化、ローカル IP テーブルの変更、 の削除などのアクションが含まれます。crontab エントリ、ローカルサービスの無効化、またはLDPreload関数の引き継ぎ。変更は非常に疑わしいものであり、侵害の潜在的な指標です。したがって、これらのメカニズムはシステムのさらなる侵害を検出または防止します。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、コンソールの検出結果の詳細で GuardDutyリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/PtraceAntiDebugging

コンテナまたは Amazon EC2インスタンスのプロセスが、ptrace システムコールを使用してデバッグ対策を実行しました。

デフォルトの重要度: [Low] (低)

この検出結果は、Amazon EC2インスタンスまたは 内のコンテナで実行されているプロセスが AWS 環境は、 PTRACE_TRACEMEオプションで ptrace システムコールを使用しています。このアクティビティにより、アタッチされたデバッガーが実行中のプロセスからデタッチされます。デバッガーがアタッチされていない場合、効果はありません。ただし、アクティビティ自体が疑惑を引き起こします。これは、マルウェアがシステムで実行されていることを示している可能性があります。Malware は、デバッグ防止技術を頻繁に使用して分析を回避し、これらの技術は実行時に検出できます。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/MaliciousFileExecuted

悪意のある既知の実行可能ファイルが Amazon EC2インスタンスまたはコンテナで実行されている。

デフォルトの重要度: [High] (高)

この検出結果は、既知の悪意のある実行可能ファイルが Amazon EC2インスタンスまたは 内のコンテナで実行されたことを知らせるものです。 AWS 環境。これは、インスタンスまたはコンテナが侵害された可能性があり、マルウェアが実行されたことを示す強力な指標です。

Malware は、デバッグ防止技術を頻繁に使用して分析を回避し、これらの技術は実行時に検出できます。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/SuspiciousShellCreated

Amazon EC2インスタンスまたはコンテナでネットワークサービスまたはネットワークアクセス可能なプロセスが、インタラクティブシェルプロセスを開始しました。

デフォルトの重要度: [Low] (低)

この検出結果は、Amazon EC2インスタンスまたは 内のコンテナでネットワークにアクセスできるサービスであることがわかります。 AWS 環境がインタラクティブシェルを起動しました。特定の状況では、このシナリオは爆発後の動作を示している場合があります。インタラクティブシェルを使用すると、攻撃者は侵害されたインスタンスまたはコンテナで任意のコマンドを実行できます。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。親プロセスの詳細で、ネットワークにアクセスできるプロセス情報を表示できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/ElevationToRoot

リストされた Amazon EC2インスタンスまたはコンテナで実行されているプロセスが、ルート権限を引き受けています。

デフォルトの重要度: [Medium] (中)

この検出結果は、リストされた Amazon EC2または 内のリストされたコンテナで実行されているプロセスが AWS 環境は、異常または疑わしいsetuidバイナリ実行によってルート権限を引き受けています。これは、実行中のプロセスが、エクスプロイトまたはエクスsetuidプロイトによってEC2インスタンスに対して侵害された可能性があることを示します。ルート権限を使用すると、攻撃者はインスタンスまたはコンテナでコマンドを実行する可能性があります。

GuardDuty は、 sudo コマンドの定期的な使用を伴うアクティビティに対してこの検出結果タイプを生成しないように設計されていますが、アクティビティが異常または疑わしいと識別されると、この検出結果が生成されます。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが異常または疑わしい場合にのみ、この検出結果タイプを生成します。

ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。