翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
GuardDuty は基本データソースを使用して、既知の悪質なドメインや IP アドレスとの通信を検出し、潜在的に異常な動作と不正なアクティビティを特定します。これらのソースから GuardDuty への通信中、ログデータはすべて暗号化されます。GuardDuty は、プロファイリングや異常の検出用のログソースから様々なフィールドを抽出して、これらのログを破棄します。
リージョンで初めて GuardDuty を有効にするときは、すべての基本データソースの脅威検出を含む 30 日間の無料トライアルがあります。この無料トライアルでは、基本データソースごとに分類された月単位の推定使用量をモニタリングできます。委任 GuardDuty 管理者アカウントは、組織に属し、GuardDuty を有効にしているメンバーアカウントごとに分類された月単位の推定使用コストを表示できます。30 日間のトライアルが終了したら、 を使用して使用コストに関する情報 AWS Billing を取得できます。
GuardDuty がこれらの基本データソースからのイベントとログにアクセスする場合、追加料金はかかりません。
で GuardDuty を有効にすると AWS アカウント、次のセクションで説明するログソースのモニタリングが自動的に開始されます。GuardDuty がこれらのデータソースの分析と処理を開始して関連付けられたセキュリティ検出結果を生成するのに、他のものを有効にする必要はありません。
AWS CloudTrail 管理イベント
AWS CloudTrail は、、 AWS SDKs、コマンドラインツール AWS Management Console、特定の AWS サービスを使用して行われた AWS API コールなど、 アカウントの API コールの履歴を提供します。CloudTrail は、CloudTrail をサポートするサービスの AWS APIs を呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しが呼び出された時間を特定するのにも役立ちます。詳細については、「AWS CloudTrail ユーザーガイド」の「AWS CloudTrailとは」を参照してください。
GuardDuty は、コントロールプレーンイベントとも呼ばれる CloudTrail 管理イベントをモニタリングします。これらのイベントは、 のリソースで実行される管理オペレーションに関するインサイトを提供します AWS アカウント。
次は、GuardDuty がモニタリングする CloudTrail 管理イベントの例です。
-
セキュリティの設定 (IAM
AttachRolePolicyAPI オペレーション) -
データをルーティングするルールの設定 (Amazon EC2
CreateSubnetAPI オペレーション) -
ログ記録の設定 (AWS CloudTrail
CreateTrailAPI オペレーション)
GuardDuty を有効にすると、イベントの独立した重複ストリームを通して CloudTrail 管理イベントが直接 CloudTrail から読み込まれ、CloudTrail イベントログが分析されます。
GuardDuty は CloudTrail イベントを管理したり、既存の CloudTrail 設定に影響を与えたりすることはありません。同様に、CloudTrail の設定は GuardDuty がイベントログを消費する方法や処理する方法に影響しません。CloudTrail イベントのアクセスと保持を管理するには、CloudTrail サービスコンソールまたは API を使用します。詳細については、「AWS CloudTrail ユーザーガイド」の「CloudTrail Event 履歴でのイベントの表示」を参照してください。
GuardDuty が AWS CloudTrail グローバルイベントを処理する方法
ほとんどの AWS サービスでは、CloudTrail イベントは、作成された AWS リージョン に記録されます。 AWS Identity and Access Management (IAM) AWS Security Token Service 、(AWS STS)、Amazon Simple Storage Service (Amazon S3)、Amazon CloudFront、Amazon Route 53 (Route 53) などのグローバルサービスでは、イベントは発生したリージョンでのみ生成されますが、グローバルに重要です。
GuardDuty がネットワーク設定やユーザーアクセス許可などのセキュリティ値を持つ CloudTrail グローバルサービスイベントを消費すると、それらのイベントが複製され、GuardDuty が有効な各リージョンで処理されます。その結果、異常なイベントの検出に不可欠な各リージョンのユーザーとロールのプロファイルを GuardDuty で維持しやすくなります。
で有効 AWS リージョン になっているすべての で GuardDuty を有効にすることを強くお勧めします AWS アカウント。これで、GuardDuty はアクティブに使用されていないリージョンでも、承認されていないアクティビティや異常なアクティビティに関する検出結果を生成できます。
VPC フローログ
Amazon VPC の VPC フローログ機能は、 AWS 環境内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続されたネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャします。
GuardDuty を有効にすると、アカウント内の Amazon EC2 インスタンスからの VPC フローログの分析がすぐに開始されます。GuardDuty は、フローログの単独ストリームおよび重複ストリームを通じて、VPC フローログ機能から直接、VPC フローログイベントを消費します。このプロセスによる既存のフローログ設定への影響はありません。
- Lambda Protection
-
Lambda Protection は Amazon GuardDuty の拡張機能です (オプション)。現在、Lambda Network Activity Monitoring には、VPC ネットワークを使用しないログも含め、アカウントのすべての Lambda 関数からの Amazon VPC フローログが含まれています。Lambda 関数を潜在的なセキュリティ脅威から保護するには、GuardDuty アカウントで Lambda 保護を設定する必要があります。詳細については、「Lambda Protection」を参照してください。
- GuardDuty Runtime Monitoring
EC2 インスタンスの EKS Runtime Monitoring または Runtime Monitoring で (手動でまたは GuardDuty を介して) セキュリティエージェントを管理し、GuardDuty が現在 Amazon EC2 インスタンスにデプロイされ、このインスタンス収集されたランタイムイベントタイプから を受け取った場合、GuardDuty はこの Amazon EC2 インスタンスからの VPC フローログの分析 AWS アカウント に対して に課金しません。これにより、GuardDuty はアカウントでの二重課金を回避できます。
GuardDuty はフローログを管理したり、アカウントへのアクセスを可能にしたりしません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。
Route53 Resolver DNS クエリログ
Amazon EC2 インスタンスに AWS DNS リゾルバーを使用する場合 (デフォルト設定)、GuardDuty は内部 DNS リゾルバーを介して Route53 Resolver DNS AWS クエリログにアクセスして処理できます。OpenDNS や GoogleDNS などの別の DNS リゾルバーを使用している場合、または独自の DNS リゾルバーを設定している場合、GuardDuty は、このデータソースのデータにアクセスして処理できません。
GuardDuty を有効にすると、独立データストリームから Route53 Resolver DNS クエリログの分析がすぐに開始されます。このデータストリームは、Route 53 リゾルバークエリログ記録機能を通じて提供されるデータとは別のものです。この機能の設定は、GuardDuty の解析には影響しません。
注記
GuardDuty は、 で起動された Amazon EC2 インスタンスの DNS ログのモニタリングをサポートしていません。これは、 Amazon Route 53 Resolver クエリログ記録機能がその環境で使用できない AWS Outposts ためです。
