Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

GuardDuty の検出結果の形式

PDF
RSS
フォーカスモード
GuardDuty の検出結果の形式 - Amazon GuardDuty
脅威の目的

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty は AWS 、環境で疑わしい動作や予期しない動作を検出すると、検出結果を生成します。検出結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。GuardDuty コンソールで生成された検出結果を表示する には、何が起こったか、疑わしいアクティビティに関与した AWS リソース、このアクティビティがいつ発生したか、根本原因を理解するのに役立つ関連情報が含まれます。

検出結果の詳細で最も役立つ情報の 1 つは、[finding type] (結果タイプ) です。検出結果タイプの目的は、潜在的なセキュリティ問題について簡潔でわかりやすい説明を提供することです。例えば、GuardDuty Recon:EC2/PortProbeUnprotectedPort 検出結果タイプは、 AWS 環境のどこかにEC2 インスタンスに保護されていないポートがあり、潜在的な攻撃者が調査していることをすばやく知らせます。

GuardDuty では、次のフォーマットを使って、生成するさまざまな検出結果タイプに名前を付けます。

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact

このフォーマットの各部分は、検出結果タイプの特徴を表します。これらの特徴には、次のような説明があります。

  • ThreatPurpose - 攻撃型または潜在的な攻撃型の脅威の主な目的についての説明です。GuardDuty 脅威の目的の一覧表については、次のセクションを参照してください。

  • ResourceTypeAffected - この検出結果でどの AWS リソースが攻撃対象の候補として特定されたかを示します。現在、GuardDuty は「GuardDuty のアクティブな検出結果タイプ」にリストされているリソースタイプの検出結果を生成できます。

  • ThreatFamilyName - GuardDuty で検出された全体的な脅威または潜在的な悪意のあるアクティビティの説明です。例えば、NetworkPortUnusual の値は、GuardDuty の検出結果で識別された EC2 インスタンスに、識別された特定のリモートポートでの通信履歴がないことを示します。

  • DetectionMechanism - どの GuardDuty が検出結果を検出した方法を説明します。これは、一般的な検出結果タイプの変動や、GuardDuty が特定のメカニズムを使用して検出した検出結果を示すために使用できます。例えば、Backdoor:EC2/DenialOfService.Tcp は、TCP 上でサービス拒否 (DoS) が検出されたことを示します。UDP バリアントは Backdoor:EC2/DenialOfService.Udp です。

    .Custom の値は、GuardDuty がカスタム脅威リストに基づいて検出結果を検出したことを示します。詳細については、「信頼できる IP と 脅威リスト」を参照してください。

    .Reputation の値は、GuardDuty がドメインレピュテーションスコアモデルを使用して検出結果を検出したことを示します。詳細については、「 がクラウドの最大のセキュリティ脅威 AWS を追跡し、それらをシャットダウンするのに役立つ方法」を参照してください。

  • Artifact - 悪意のあるアクティビティで使用されたツールが所有する特定のリソースを示します。例えば、検出結果タイプ CryptoCurrency:EC2/BitcoinTool.B!DNSDNS は、Amazon EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを示します。

    注記

    Artifact はオプションであり、すべての GuardDuty 検出結果タイプで使用できるとは限りません。

脅威の目的

GuardDuty において、[threat purpose] (脅威の目的) は、攻撃型または潜在的な攻撃の段階など脅威の主な目的について説明します。例えば、バックドアなどの脅威の目的は、攻撃型であると示します。ただし、MITRE ATT&CK 戦術と一致する [Impact] (影響) などの脅威の目的があります。MITRE ATT&CK 戦術は、攻撃者の攻撃サイクルにおける異なるフェーズを示します。現行の GuardDutyリリースの発売で、ThreatPurpose は次の値に設定できます。

Backdoor

この値は、攻撃者が AWS リソースを侵害し、そのリソースを変更して、ホームコマンドアンドコントロール (C&C) サーバーに連絡して悪意のあるアクティビティに関する詳細な指示を受けられるようにしたことを示します。

Behavior

この値は、GuardDutyは特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンを検出したことを示します。

CredentialAccess

この値は、ユーザーの環境からパスワード、ユーザー名、アクセスキーなどの認証情報を盗むために攻撃者が使用する可能性のあるアクティビティパターンを GuardDuty が検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術に基づいています。

Cryptocurrency

この値は、GuardDuty が環境内の AWS リソースが暗号通貨 (Bitcoin など) に関連付けられたソフトウェアをホストしていることを検出したことを示します。

DefenseEvasion

この値は、ユーザーの環境に侵入している間、GuardDuty は攻撃者が検出を回避するために使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術に基づいています。

Discovery

この値は、GuardDuty がシステムおよび内部ネットワークに関する知識を拡張するために使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術に基づいています。

実行

この値は、GuardDuty が攻撃者が AWS 環境を探索したり、データを盗んだりするために実行を試みたり、すでに悪意のあるコードを実行したりする可能性があることを検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術に基づいています。

Exfiltration

この値は、GuardDuty が環境からデータを盗もうとするときに攻撃者が使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的は、MITRE ATT&CK 戦術に基づいています。

Impact

この値は、GuardDuty がアクティビティまたはアクティビティパターンを検出することにより、ユーザーのシステムおよびデータを操作、中断、または破壊しようとしていることを示しています。この脅威の目的は、MITRE ATT&CK 戦術に基づいています。

InitialAccess

この値は、攻撃者がユーザーの環境へのアクセスを確立しようとするときの、攻撃の初期アクセス段階に一般的に関連しています。この脅威の目的は、MITRE ATT&CK 戦術に基づいています。

Pentest

AWS リソースの所有者や承認された担当者は、オープンなセキュリティグループや過度に寛容なアクセスキーなどの脆弱性を見つけるために、意図的に AWS アプリケーションに対してテストを実行する場合があります。これらの侵入テストは、攻撃者が気づく前に脆弱なリソースを特定してロックダウンする目的で実行されます。ただし、承認済みペンテスターが使用する一部のツールは一般的なものであるため、不正なユーザーや攻撃者がこのテストに便乗して利用する場合があります。GuardDuty は、このようなアクティビティの真の意図は特定できませんが、[Pentest] (侵入テスト) 値により、GuardDuty がこのようなアクティビティを検出し、および既知の侵入テストツールで生成したアクティビティと類似しユーザーのネットワークへの悪意のある調査を示します。

Persistence

この値は、GuardDuty が初期アクセスルートが切断された場合でも、攻撃者がシステムへのアクセスを維持するために使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。例えば、既存のユーザーの侵入して得た認証情報を介してアクセスした後に、新しい IAM ユーザーを作成することが含まれます。既存のユーザーの認証情報が削除されると、攻撃者はオリジナルイベントの一部として検出されなかった新しいユーザーへのアクセスを保持します。この脅威の目的は、MITRE ATT&CK 戦術に基づいています。

Policy

この値は、 AWS アカウント が推奨されるセキュリティのベストプラクティスに反する動作を行っていることを示します。例えば、 AWS リソースまたは環境に関連付けられたアクセス許可ポリシーの意図しない変更や、ほとんどまたはまったく使用すべきでない特権アカウントの使用などです。

PrivilegeEscalation

この値は、ユーザーの AWS 環境下の関連プリンシパルが、攻撃者にネットワークへのより高いレベルの許可を取得するために使用する可能性のあることを通知します。この脅威の目的は、MITRE ATT&CK 戦術に基づいています。

Recon

この値は、攻撃者が環境の偵察を実行するときに、アクセスを拡大したり、リソースを利用したりする方法を決定するために使用する可能性のあるアクティビティまたはアクティビティパターンを GuardDuty が検出したことを示します。例えば、このアクティビティには、ポートを調査したり、ユーザーをリストアップしたり、特にデータベーステーブルをリストアップしたりして、 AWS 環境の脆弱性を探そうとすることを含めることができます。

Stealth

この値は、攻撃者が積極的にアクションを隠そうとしていることを示します。例えば、匿名化したプロキシサーバーを使用し、アクティビティの本質の判断を非常に難しくしています。

Trojan

この値は、悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示します。このソフトウェアは合法的なプログラムを装う場合があります。ユーザーは、このソフトウェアを誤って実行することがあります。脆弱性を特定して自動的に実行されることもあります。

UnauthorizedAccess

この値は、承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.