翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
GuardDuty 基本データソース
GuardDuty は基本データソースを使用して、既知の悪質なドメインや IP アドレスとの通信を検出し、潜在的に異常な動作と不正なアクティビティを特定します。これらのソースから GuardDuty への通信中、ログデータはすべて暗号化されます。GuardDuty は、プロファイリングや異常の検出用のログソースから様々なフィールドを抽出して、これらのログを破棄します。
リージョンで初めて GuardDuty を有効にするときは、すべての基本データソースの脅威検出を含む 30 日間の無料トライアルがあります。この無料トライアルでは、基本データソースごとに分類された月単位の推定使用量をモニタリングできます。委任 GuardDuty 管理者アカウントは、組織に属し、GuardDuty を有効にしているメンバーアカウントごとに分類された月単位の推定使用コストを表示できます。30 日間のトライアル終了後の使用コストに関する情報は、AWS Billingを使用できます。
GuardDuty がこれらの基本データソースからのイベントとログにアクセスする場合、追加料金はかかりません。
AWS アカウントで GuardDuty を有効にすると、次のセクションで説明するログソースのモニタリングが自動的に開始されます。GuardDuty がこれらのデータソースの分析と処理を開始して関連付けられたセキュリティ検出結果を生成するのに、他のものを有効にする必要はありません。
AWS CloudTrail 管理イベント
AWS CloudTrail は、アカウントの AWS API コールの履歴を提供します。これには、AWS Management Console、AWS SDK、コマンドラインツール、特定の AWS のサービスを使用した API コールが含まれます。CloudTrail は、CloudTrail をサポートするサービス用の AWS API をどのユーザーとアカウントが呼び出したか、呼び出し元のソース IP アドレス、呼び出しの発生時間を特定するのにも役立ちます。詳細については、「AWS CloudTrail ユーザーガイド」の「AWS CloudTrail とは」を参照してください。
GuardDuty は、コントロールプレーンイベントとも呼ばれる CloudTrail 管理イベントをモニタリングします。これらのイベントでは、AWS アカウントのリソースで実行される管理オペレーションについてのインサイトが得られます。
次は、GuardDuty がモニタリングする CloudTrail 管理イベントの例です。
-
セキュリティの設定 (IAM
AttachRolePolicyAPI オペレーション) -
データをルーティングするルールの設定 (Amazon EC2
CreateSubnetAPI オペレーション) -
ログ記録の設定 (AWS CloudTrail
CreateTrailAPI オペレーション)
GuardDuty を有効にすると、イベントの独立した重複ストリームを通して CloudTrail 管理イベントが直接 CloudTrail から読み込まれ、CloudTrail イベントログが分析されます。
GuardDuty は CloudTrail イベントを管理したり、既存の CloudTrail 設定に影響を与えたりすることはありません。同様に、CloudTrail の設定は GuardDuty がイベントログを消費する方法や処理する方法に影響しません。CloudTrail イベントのアクセスと保持を管理するには、CloudTrail サービスコンソールまたは API を使用します。詳細については、「AWS CloudTrail ユーザーガイド」の「CloudTrail Event 履歴でのイベントの表示」を参照してください。
GuardDuty が AWS CloudTrail グローバルイベントを処理する方法
ほとんどの AWS のサービスでは、CloudTrail イベントは、それが作成される AWS リージョン に記録されます。AWS Identity and Access Management (IAM)、AWS Security Token Service、(AWS STS)、Amazon Simple Storage Service (Amazon S3)、Amazon CloudFront、Amazon Route 53 (Route 53) などのグローバルサービスの場合、イベントは、それが発生するリージョンでのみ生成されますが、グローバルな影響があります。
GuardDuty がネットワーク設定やユーザーアクセス許可などのセキュリティ値を持つ CloudTrail グローバルサービスイベントを消費すると、それらのイベントが複製され、GuardDuty が有効な各リージョンで処理されます。その結果、異常なイベントの検出に不可欠な各リージョンのユーザーとロールのプロファイルを GuardDuty で維持しやすくなります。
AWS アカウントに対して有効化されているすべての AWS リージョン で GuardDuty を有効にすることを強くお勧めします。これで、GuardDuty はアクティブに使用されていないリージョンでも、承認されていないアクティビティや異常なアクティビティに関する検出結果を生成できます。
VPC フローログ
Amazon VPC の VPC フローログ機能は、AWS 環境内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続されたネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャします。
GuardDuty を有効にすると、アカウント内の Amazon EC2 インスタンスからの VPC フローログの分析がすぐに開始されます。GuardDuty は、フローログの単独ストリームおよび重複ストリームを通じて、VPC フローログ機能から直接、VPC フローログイベントを消費します。このプロセスによる既存のフローログ設定への影響はありません。
- Lambda Protection
-
Lambda Protection は Amazon GuardDuty の拡張機能です (オプション)。現在、Lambda Network Activity Monitoring には、VPC ネットワークを使用しないログも含め、アカウントのすべての Lambda 関数からの Amazon VPC フローログが含まれています。Lambda 関数を潜在的なセキュリティ脅威から保護するには、GuardDuty アカウントで Lambda 保護を設定する必要があります。詳細については、「Lambda Protection」を参照してください。
- GuardDuty ランタイムモニタリング
EC2 インスタンスの EKS Runtime Monitoring または Runtime Monitoring で (手動または GuardDuty を使用して) セキュリティエージェントを管理し、GuardDuty が現在 Amazon EC2 インスタンスにデプロイされ、このインスタンスから収集されたランタイムイベントタイプを受け取る場合、GuardDuty はこの Amazon EC2 インスタンスからの VPC フローログの分析について AWS アカウントに課金しません。これにより、GuardDuty はアカウントでの二重課金を回避できます。
GuardDuty はフローログを管理したり、アカウントへのアクセスを可能にしたりしません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。
Route53 Resolver DNS クエリログ
Amazon EC2 インスタンス (デフォルト設定) で AWS DNS リゾルバーを使用している場合、GuardDuty は、内部の AWS DNS リゾルバーを介して、リクエストと応答の Route53 Resolver DNS クエリログにアクセスして処理することができます。OpenDNS や GoogleDNS などの別の DNS リゾルバーを使用している場合、または独自の DNS リゾルバーを設定している場合、GuardDuty は、このデータソースのデータにアクセスして処理できません。
GuardDuty を有効にすると、独立データストリームから Route53 Resolver DNS クエリログの分析がすぐに開始されます。このデータストリームは、Route 53 リゾルバークエリログ記録機能を通じて提供されるデータとは別のものです。この機能の設定は、GuardDuty の解析には影響しません。
注記
GuardDuty は、AWS Outposts で起動された Amazon EC2 インスタンスの DNS ログのモニタリングをサポートしていません。Amazon Route 53 Resolver クエリログ記録機能がその環境で使用できないためです。
