翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
各 GuardDuty の検出結果には、セキュリティエンジニアが判断したとおり、検出結果によってお客様の環境に生じる可能性のあるリスクを反映する重要度レベルと値が割り当てられます。重要度の値は 1.0 から 10.0 の範囲内の任意の場所に収まり、値が大きいほどセキュリティリスクが大きいことを示します。検出結果によって強調表示された潜在的なセキュリティ問題への対応を決定するために、GuardDuty はこの範囲を重大、高、中、低の重要度レベルに分類します。
特定のタイプの検出結果は、検出結果に固有のコンテキストに応じて重要度が異なる場合があります。すべての GuardDuty 検出結果タイプのデフォルトの重要度レベルの統合リストを表示するには、「」を参照してくださいGuardDuty のアクティブな検出結果タイプ。
以下のセクションでは、GuardDuty の検出結果に定義された重要度レベルについて説明します。
重大度
値の範囲: 9.0~10.0
説明: 重大度レベルは、攻撃シーケンスが進行中であるか、最近発生した可能性があることを示します。IAM ユーザーのサインイン認証情報や Amazon S3 バケットなどの 1 つ以上の AWS リソースが侵害されている可能性があるか、既に侵害されている可能性があります。
推奨事項: GuardDuty では、すべての重大な重要度の検出結果の優先順位付けと修復を優先することをお勧めします。これらの問題はランサムウェア攻撃の一部であり、いつでもエスカレーションできるためです。関連するリソースの詳細を表示し、セキュリティ問題の対処を開始します。詳細については、「検出結果の修復」を参照してください。
重要度が高い
値の範囲: 7.0~8.9
説明: 重要度が高いということは、対象のリソース (Amazon EC2 インスタンスまたは一連の IAM ユーザーサインイン認証情報) が侵害され、不正な目的でアクティブに使用されていることを示します。
推奨事項: GuardDuty では、重要度の高い検出結果のセキュリティ問題を優先度として扱い、リソースのさらなる不正使用を防ぐための迅速な修復手順を実行することをお勧めします。例えば、Amazon EC2 インスタンスをクリーンアップするか、終了するか、IAM 認証情報をローテーションします。「」の手順に従って検出結果の修復、検出結果を修復します。
中程度の重要度
値の範囲: 4.0~6.9
説明: 重要度レベルが中程度の場合は、通常観察された動作から逸脱する疑わしいアクティビティを示し、ユースケースによっては、リソースの侵害を示している可能性があります。
推奨事項: GuardDuty は、影響を受ける可能性のあるリソースをできるだけ早く調査することをお勧めします。修復手順は、リソースと検出結果ファミリーによって異なります。確立アプローチでは、アクティビティが認可され、ユースケースと一致していることを確認します。原因を特定できない場合、またはアクティビティが承認されたことを確認する場合は、リソースが侵害されたと見なす必要があります。「」の手順に従って検出結果の修復、検出結果を修復します。
中レベルの検出結果を確認するときに考慮すべき点をいくつか示します。
-
未承認のユーザーがインストールした新しいソフトウェアでリソースの動作が変更されていないか確認してください。例えば、通常より高いトラフィックが許可されている場合や、新しいポートの通信が有効化されている場合などがあります。
-
許可されているユーザーがコントロールプレーンの設定を変更しているかどうかを確認します (セキュリティグループの設定の変更など)。
-
該当するリソースでアンチウィルススキャンを実行し、未承認のソフトウェアを検出します。
-
該当する IAM ロール、ユーザー、グループ、または認証情報セットにアタッチされている許可を検証します。次のアクセス許可を変更または更新する必要がある場合があります。
重要度が低い
値の範囲: 1.0~3.9
説明: 重要度が低い場合は、ポートスキャンや侵入試行の失敗など、環境を侵害しなかった不審なアクティビティが試みられたことを示します。
推奨事項: すぐに推奨されるアクションはありませんが、この情報をメモしておくと、ユーザーの環境で誰かが弱点を探している可能性があります。
