GuardDuty 拡張脅威検出 - Amazon GuardDuty
関連する保護プランを有効にする追加リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty 拡張脅威検出

GuardDuty 拡張脅威検出は、 内のデータソース、複数のタイプの AWS リソース、および時間にわたるマルチステージ攻撃を自動的に検出します AWS アカウント。この機能を使用すると、 GuardDuty はさまざまなタイプのデータソースをモニタリングすることで観察する複数のイベントのシーケンスに焦点を当てます。拡張脅威検出は、これらのイベントを関連付けて、 AWS 環境に対する潜在的な脅威として存在するシナリオを特定し、攻撃シーケンスの検出結果を生成します。

1 つの検出結果には、攻撃シーケンス全体を含めることができます。例えば、次のようなシナリオを検出できます。

  1. 脅威アクターがコンピューティングワークロードに不正アクセスする。

  2. 次に、アクターは、権限のエスカレーションや永続性の確立などの一連のアクションを実行します。

  3. 最後に、アクターは Amazon S3 リソースからデータを抽出します。

拡張脅威検出は、 AWS 認証情報の誤用に関連する侵害や、 でのデータ侵害の試みを伴う脅威シナリオを対象としています AWS アカウント。詳細については、「攻撃シーケンスの検出結果タイプ」を参照してください。

これらの脅威シナリオの性質上、 GuardDuty では、すべての攻撃シーケンス検出タイプを「重大」と見なします。

次のリストは、拡張脅威検出に関する主要な情報を示しています。

デフォルトで有効

特定の GuardDuty のアカウントで Amazon を有効にすると AWS リージョン、拡張脅威検出もデフォルトで有効になります。拡張脅威検出の使用に関連する追加コストはありません。デフォルトでは、すべての のイベントを関連付けます基礎データソース。ただし、S3 Protection など、より多くの GuardDuty 保護プランを有効にすると、イベントソースの範囲を広げることで、追加のタイプの攻撃シーケンス検出が開かれます。これは、より包括的な脅威分析と攻撃シーケンスの検出の向上に役立つ可能性があります。詳細については、「関連する保護プランを有効にする」を参照してください。

拡張脅威検出の仕組み

GuardDuty は、APIアクティビティや GuardDuty 検出結果など、複数のイベントを関連付けます。これらのイベントは Signals と呼ばれます。環境内で、それ自体が明確な潜在的な脅威として表現されないイベントが発生する場合があります。 はそれらを弱いシグナルと GuardDuty 呼んでいます。拡張脅威検出では、複数のアクションのシーケンスが疑わしいアクティビティと一致するかどうか GuardDuty を識別し、アカウントに攻撃シーケンスの検出結果を生成します。これらの複数のアクションには、弱いシグナルや、アカウントで既に特定された GuardDuty 検出結果が含まれる場合があります。

GuardDuty また、 は、アカウントで進行中の動作や最近の攻撃動作 (24 時間のローリング時間枠内) を特定するように設計されています。例えば、攻撃者がコンピューティングワークロードへの意図しないアクセスを取得すると、攻撃が開始する可能性があります。アクターは、列挙、権限のエスカレーション、 AWS 認証情報の流出など、一連のステップを実行します。これらの認証情報は、さらなる侵害やデータへの悪意のあるアクセスに使用される可能性があります。

GuardDuty コンソールで脅威検出ページを拡張

デフォルトでは、コンソールの拡張脅威検出ページには GuardDuty 、ステータスが有効と表示されます。コンソールで拡張脅威検出ページにアクセスするには、次のステップを実行します GuardDuty 。

  1. GuardDuty コンソールは で開くことができますhttps://console.aws.amazon.com/guardduty/

  2. 左側のナビゲーションペインで、拡張脅威検出を選択します。

    このページでは、拡張脅威検出の対象となる脅威シナリオについて詳しく説明します。

攻撃シーケンスの検出結果の理解と管理

攻撃シーケンスの検出結果は、アカウント内の他の GuardDuty 検出結果と同じです。これらは、 GuardDuty コンソールの検出結果ページで表示できます。結果の表示については、「」を参照してくださいコンソールの検出結果ページ GuardDuty

他の GuardDuty 検出結果と同様に、攻撃シーケンスの検出結果も Amazon に自動的に送信されます EventBridge。設定に基づいて、攻撃シーケンスの検出結果は発行先 (Amazon S3 バケット) にもエクスポートされます。新しい発行先を設定するか、既存の発行先を更新するには、「」を参照してください生成された検出結果を Amazon S3 にエクスポートする

次の動画では、拡張脅威検出の使用方法を示します。

リージョン内のすべての GuardDuty アカウントで、拡張脅威検出機能が自動的に有効になります。デフォルトでは、この機能はすべての で複数のイベントを考慮します基礎データソース。この機能を活用するには、ユースケースに重点を置いた GuardDuty 保護プランをすべて有効にする必要はありません。

拡張脅威検出は、より多くの保護プランを有効にすると、包括的な脅威分析と攻撃シーケンスのカバレッジのための幅広いセキュリティシグナルを強化するように設計されています。 GuardDuty では、次の理由により、アカウントで GuardDuty S3 Protection を有効にすることをお勧めします。

拡張脅威検出で S3 Protection を有効にする利点

GuardDuty が Amazon Simple Storage Service (Amazon S3) バケット内のデータ侵害を含む可能性のある攻撃シーケンスを検出するには、アカウントで S3 Protection を有効にする必要があります。これにより、複数のデータソース間でより多様なシグナルを GuardDuty 関連付けることができます。 は専用の S3 Protection プラン GuardDuty を使用して、攻撃シーケンスの複数のステージの 1 つである可能性がある検出結果を特定します。例えば、 GuardDuty 基本的な脅威の検出のみでは、 は Amazon S3 IAM での特権検出アクティビティから潜在的な攻撃シーケンスを特定しAPIs、バケットリソースポリシーをより寛容にする変更など、その後の S3 コントロールプレーンの変更を検出 GuardDuty できます。S3 Protection を有効にすると、 はその脅威検出範囲 GuardDuty を拡張します。また、S3 バケットへのアクセスがより許容的になった後に発生する可能性のあるデータ流出アクティビティを検出する機能も得られます。

S3 Protection が有効になっていない場合、 は個々の を生成 GuardDuty できませんS3 Protection の検出結果タイプ。したがって、 は関連する検出結果を含む複数ステージの攻撃シーケンスを検出 GuardDuty できません。したがって、 はデータの侵害に関連する攻撃シーケンスを生成 GuardDuty できません。

追加リソース

攻撃シーケンスの詳細については、以下のセクションを参照してください。