検出結果の詳細 - Amazon GuardDuty
検出結果の概要リソース攻撃シーケンスの検出結果の詳細RDS データベース (DB) ユーザーの詳細Runtime Monitoring の検出結果の詳細EBS ボリュームスキャンの詳細EC2 検出結果の詳細に関する Malware ProtectionMalware Protection for S3 の検出結果の詳細Actionアクターまたはターゲット位置情報の詳細追加情報証拠異常な動作

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

検出結果の詳細

Amazon GuardDuty コンソールでは、検出結果の概要セクションで検出結果の詳細を表示できます。検出結果の詳細は検出結果のタイプによって異なります。

検出結果にどのような情報が表示されるかを決める基本的な情報が 2 つあります。1 つ目はリソースタイプで、Instance、、、AccessKeyS3BucketS3ObjectKubernetes clusterECS clusterContainerRDSDBInstanceRDSLimitlessDB、、または ですLambda。情報の検出結果を決定する 2 つ目の詳細は [リソースロール] です。リソースロールは、Target である可能性があります。つまり、リソースが疑わしいアクティビティのターゲットであったことを意味します。インスタンスタイプの検出結果については、リソースロールが Actor である場合があります。つまり、リソースが不審なアクティビティを実行するアクターだったことを意味します。このトピックでは、検出結果の一般的に入手可能な詳細をいくつか説明します。「GuardDuty Runtime Monitoring の検出結果タイプ」および「Malware Protection for S3 の検出結果タイプ」の場合、リソースロールは入力されません。

検出結果の概要

検出結果の概要のセクションには、次の情報を含む、検索条件の最も基本的な識別機能が含まれています。

  • アカウント ID – この結果の生成 GuardDuty を に求めるアクティビティが行われたアカウントの ID AWS 。

  • カウント - このパターンとこの結果 ID に一致するアクティビティを GuardDuty が集計した回数。

  • 作成時刻 - この検出結果が初めて生成された日時。この値が [Updated at] (更新時刻) と異なる場合は、そのアクティビティが複数回発生しており、現在も進行中の問題でありことを示しています。

    注記

    GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンに表示され、JSONエクスポートとCLI出力は にタイムスタンプを表示しますUTC。

  • [Finding ID] (結果 ID) - この検出結果タイプおよびパラメータセットに対応する一意の識別子です。このパターンに一致するアクティビティが新しく出現した場合は、同じ ID に集約されます。

  • [結果タイプ] - 検出結果をトリガーしたアクティビティのタイプを表す、書式設定された文字列。詳細については、「GuardDuty の検出結果の形式」を参照してください。

  • リージョン – 結果が生成された AWS リージョン。サポートされるリージョンについては、「リージョンとエンドポイント」を参照してください。

  • リソース ID – この結果の生成 GuardDuty を に求めるアクティビティが行われたリソースの AWS ID。

  • スキャン ID – GuardDuty Malware Protection for EC2が有効になっている場合の検出結果に適用されます。これは、侵害された可能性のあるEC2インスタンスまたはコンテナワークロードにアタッチされたEBSボリュームで実行されるマルウェアスキャンの識別子です。詳細については、「EC2 検出結果の詳細に関する Malware Protection」を参照してください。

  • 重要度 – 重要度、高、中、低のいずれかの検出結果に割り当てられた重要度レベル。詳細については、「検出結果の重要度レベル」を参照してください。

  • 更新日時 – この検出結果が、 がこの検出結果を生成するように促 GuardDutyしたパターンに一致する新しいアクティビティで最後に更新された時刻。

リソース

影響を受けるリソースは、開始アクティビティのターゲットとなった AWS リソースに関する詳細を提供します。利用可能な情報は、リソースタイプとアクションタイプによって異なります。

リソースロール – 結果を開始した AWS リソースのロール。この値は TARGETまたは でACTOR、リソースが疑わしいアクティビティのターゲットであるか、疑わしいアクティビティを実行したアクターであるかを表します。

リソースタイプ - 該当するリソースのタイプ。複数のリソースが関係していた場合は、複数のリソースタイプが検出結果に含まれる可能性があります。リソースタイプは、インスタンスAccessKeyS3BucketS3ObjectKubernetesClusterECSClusterコンテナRDSDBInstanceRDSLimitlessDB、および Lambda です。リソースタイプによって、使用可能な検出結果の詳細が異なります。リソースオプションタブを選択して、そのリソースで使用可能な詳細について説明します。

Instance

インスタンスの詳細:

注記

インスタンスがすでに停止している場合、またはクロスリージョンAPI呼び出しを行うときに基盤となるAPI呼び出しが別のリージョンのEC2インスタンスから発生した場合、インスタンスの詳細が欠落している可能性があります。

  • インスタンス ID – 結果の生成 GuardDuty を に求めるアクティビティに関与したEC2インスタンスの ID。

  • インスタンスタイプ – 検出結果に関係するEC2インスタンスのタイプ。

  • [起動時刻] - インスタンスが開始された日時

  • Outpost ARN – の Amazon リソースネーム (ARN) AWS Outposts。 AWS Outposts インスタンスにのみ適用されます。詳細については、「Outposts ラック用ユーザーガイド」の「 とは AWS Outposts」を参照してください。

  • [セキュリティグループ名] - 関連するインスタンスに付属するセキュリティグループの名前。

  • [セキュリティグループ ID] - 関係するインスタンスに付属するセキュリティグループの ID。

  • [インスタンスの状態]- ターゲットインスタンスの現在の状態。

  • [アベイラビリティーゾーン] - 関連するインスタンスが配置されている AWS リージョンアベイラビリティーゾーン。

  • [イメージ ID] - アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID。

  • [イメージの説明] - アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID に関する説明。

  • [タグ] - このリソースにアタッチされているタグのリスト。リストの形式は key:value です。

AccessKey

アクセスキーの詳細:

  • アクセスキー ID – 結果の生成 GuardDuty を に求めるアクティビティを行ったユーザーのアクセスキー ID。

  • プリンシパル ID – 結果の生成を に求める GuardDutyアクティビティを行ったユーザーのプリンシパル ID。

  • ユーザータイプ – に結果の生成 GuardDuty を求めるアクティビティを行ったユーザーのタイプ。詳細については、「 CloudTrail userIdentity 要素」を参照してください。

  • ユーザー名 – 結果の生成 GuardDuty を に求めるアクティビティを行ったユーザーの名前。

S3Bucket

Amazon S3 バケットの詳細

  • [名前] - 検出結果に関連するバケットの名前。

  • ARN - 検出結果に関係するバケットARNの 。

  • [所有者] - 検出結果に関連するバケットを所有するユーザーの正規ユーザー ID。正規ユーザーの詳細については、AWS 「 アカウント識別子IDs」を参照してください。

  • [タイプ] - バケット検出結果のタイプで、[送信先] または [ソース] になります。

  • デフォルトのサーバー側暗号化 - バケットの暗号化に関する詳細。

  • バケットタグ - このリソースにアタッチされたタグのリスト。リストの形式は key:value です。

  • [有効な許可] - 関連するバケットが公開されているかどうかを示す、バケットに関するすべての有効な許可とポリシーの評価。値は [公開] または [非公開] です。

S3Object

  • [S3 オブジェクトの詳細] – スキャンされた S3 オブジェクトに関する以下の情報が含まれます。

    • ARN – スキャンされた S3 オブジェクトの Amazon リソースネーム (ARN)。

    • [キー] – S3 バケットでファイルの作成時にファイルに割り当てられた名前。

    • [Version Id] – バケットのバージョニングを有効にすると、このフィールドには、スキャンされた S3 オブジェクトの最新バージョンに関連付けられたバージョン ID が表示されます。詳細については、『Amazon S3 ユーザーガイド』「S3 バケットでのバージョニングの使用」を参照してください。

    • eTag – スキャンされた S3 オブジェクトの特定のバージョンを表します。

    • [ハッシュ] – この検出結果で検出された脅威のハッシュ。

  • [S3 バケットの詳細] – スキャンされた S3 オブジェクトに関連付けられた Amazon S3 バケットに関する以下の情報が含まれます。

    • [名前] – オブジェクトが含まれている S3 バケットの名前を示します。

    • ARN – S3 バケットの Amazon リソースネーム (ARN)。

  • [所有者] – S3 バケット所有者の正規 ID。

EKSCluster

Kubernetes クラスターの詳細:

  • 名前 — Kubernetes クラスターの名前。

  • ARN – クラスターARNを識別する 。

  • 作成時刻 - このクラスターが生成された日時。

    注記

    GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンに表示され、JSONエクスポートとCLI出力は にタイムスタンプを表示しますUTC。

  • VPC ID – クラスターVPCに関連付けられている の ID。

  • 状態 – クラスターの現在の状態。

  • タグ - クラスターに適用し、クラスターの分類と整理に役立つメタデータ。各タグは、key:value 形式でリストされているキーとオプションの値で構成されます。キーと値の両方を定義できます。

    クラスタータグは、クラスターに関連付けられた他のリソースには伝達されません。

Kubernetes ワークロードの詳細:

  • タイプ - ポッド、デプロイ、ジョブなどの Kubernetes ワークロードのタイプ。

  • 名前 - Kubernetes ワークロードの名前。

  • UID - Kubernetes ワークロードの固有の ID。

  • 作成時刻 - このワークロードが生成された日時。

  • ラベル - Kubernetes ワークロードにアタッチされたキーと値のペア。

  • コンテナ - Kubernetes ワークロードの一部として実行されているコンテナの詳細。

  • 名前空間 - ワークロードはこの Kubernetes 名前空間に属します。

  • ボリューム - Kubernetes ワークロードが使用するボリューム。

    • ホストパス - ボリュームがマッピングされるホストマシン上の既存のファイルまたはディレクトリを示します。

    • 名前 - ボリュームの名前。

  • ポッドセキュリティコンテキスト - ポッド内のすべてのコンテナの権限とアクセスコントロール設定を定義します。

  • ホストネットワーク - ポッドが Kubernetes ワークロードに含まれている場合は true に設定します。

Kubernetes ユーザーの詳細

  • グループ – 結果を生成したアクティビティに関与したユーザーの Kubernetes RBAC (ロールアクセスベースのコントロール) グループ。

  • ID — Kubernetes ユーザーの固有の ID。

  • ユーザー名 — 検出結果を生成したアクティビティに関係した Kubernetes ユーザーの名前。

  • セッション名 – Kubernetes アクセスRBAC許可を持つIAMロールを引き受けたエンティティ。

ECSCluster

ECS クラスターの詳細:

  • ARN – クラスターARNを識別する 。

  • 名前 - クラスターの名前。

  • 状態 – クラスターの現在の状態。

  • アクティブサービスの数ACTIVE 状態のクラスター内で実行されているサービスの数。これらのサービスは で表示できます。 ListServices

  • 登録されたコンテナインスタンス数 — クラスターに登録されているコンテナインスタンスの数。これには、ACTIVE および DRAINING 状態の両方のコンテナインスタンスが含まれます

  • 実行中のタスク数RUNNING 状態のクラスターのタスクの数。

  • タグ - クラスターに適用し、クラスターの分類と整理に役立つメタデータ。各タグは、key:value 形式でリストされているキーとオプションの値で構成されます。キーと値の両方を定義できます。

  • コンテナ – タスクに関連付けられたコンテナの詳細:

    • コンテナ名 – コンテナの名前。

    • コンテナイメージ – コンテナのイメージ。

  • タスクの詳細 — クラスター内のタスクの詳細。

    • ARN – タスクの Amazon リソースネーム (ARN)。

    • 定義 ARN — タスクを作成するタスク定義の Amazon リソースネーム (ARN)。

    • バージョン– タスクのバージョンカウンター。

    • タスクの作成時刻 – タスクが作成されたときの Unix タイムスタンプ。

    • タスクの開始時刻 – タスクが開始されたときの Unix タイムスタンプ。

    • タスクの開始ユーザー – タスクの開始時に指定されたタグ。

Container

コンテナの詳細:

  • コンテナランタイム — コンテナの実行に使用されたコンテナランタイム (docker または containerd など)。

  • ID – コンテナインスタンスの ID または完全なARNエントリ。

  • 名前 — コンテナの名前。

  • イメージ — コンテナインスタンスのイメージ。

  • ボリュームマウント — コンテナボリュームのマウントのリスト。コンテナは、そのファイルシステムの下にボリュームをマウントできます。

  • セキュリティコンテキスト — コンテナセキュリティコンテキストは、コンテナの権限とアクセス制御設定を定義します。

  • プロセスの詳細 — 検出結果に関連付けられているプロセスの詳細が記述されます。

RDSDBInstance

RDSDBInstance の詳細:

注記

このリソースは、データベースインスタンスに関連する RDS Protection の検出結果で使用できます。

  • データベースインスタンス ID – GuardDuty 検出結果に関与したデータベースインスタンスに関連付けられた識別子。

  • [Engine] (エンジン) — 検出に関与したデータベースインスタンスのデータベースエンジン名。指定できる値は、Aurora MySQL-Compatible または Aurora PostgreSQL-Compatible です。

  • エンジンバージョン — 検出結果に関与 GuardDutyしたデータベースエンジンのバージョン。

  • データベースクラスター ID – GuardDuty 検出結果に関連するデータベースインスタンス ID を含むデータベースクラスターの識別子。

  • データベースインスタンス ARN – 結果に関係する GuardDutyデータベースインスタンスARNを識別する 。

RDSLimitlessDB

RDSLimitlessDB の詳細:

このリソースは、サポートされているエンジンバージョンの Limitless Database に関連する RDS Protection の検出結果で利用できます。

  • DB シャードグループ識別子 — Limitless DB シャードグループに関連付けられている名前。

  • DB シャードグループのリソース ID – Limitless DB 内の DB シャードグループのリソース識別子。

  • DB シャードグループ ARN – DB シャードグループを識別する Amazon リソースネーム (ARN)。

  • エンジン — 検出結果に関係する Limitless DB の識別子。

  • エンジンバージョン – Limitless DB エンジンのバージョン。

  • DB クラスター識別子 — Limitless DB の一部であるデータベースクラスターの名前。

影響を受ける可能性のあるデータベースのユーザーと認証の詳細については、「」を参照してくださいRDS データベース (DB) ユーザーの詳細

Lambda
Lambda 関数の詳細

  • 関数名 - 検出結果に含まれた Lambda 関数の名前。

  • 関数バージョン - 検出結果に含まれる Lambda 関数のバージョン。

  • 関数の説明 - 検出結果に含まれた Lambda 関数の説明。

  • 関数 ARN – 検出結果に関係する Lambda 関数の Amazon リソースネーム (ARN)。

  • リビジョン ID - Lambda 関数バージョンのリビジョン ID。

  • ロール - 検出結果に関係する Lambda 関数の実行ロール。

  • VPC 設定 – Lambda 関数IDsに関連付けられた VPC ID、セキュリティグループ、サブネットを含む Amazon VPC設定。

    • VPC ID – 検出結果に関係する Lambda 関数VPCに関連付けられている Amazon の ID。

    • Subnet IDs – Lambda 関数に関連付けられているサブネットの ID。

    • セキュリティグループ - 関連する Lambda 関数にアタッチされたセキュリティグループ。これには、セキュリティグループ名とグループ ID が含まれます。

  • タグ - このリソースにアタッチされているタグのリスト。リストの形式は key:value ペアです。

攻撃シーケンスの検出結果の詳細

GuardDuty は、アカウントで生成された各結果の詳細を提供します。これらの詳細は、検出結果の理由を理解するのに役立ちます。このセクションでは、 に関連する詳細に焦点を当てます攻撃シーケンスの検出結果タイプ。これには、影響を受ける可能性のあるリソース、イベントのタイムライン、指標、シグナル、検出結果に関連するエンドポイントなどのインサイトが含まれます。

GuardDuty 検出結果であるシグナルに関連する詳細を表示するには、このページの関連するセクションを参照してください。

GuardDuty コンソールで攻撃シーケンスの検出結果を選択すると、詳細サイドパネルは次のタブに分割されます。

  • 概要 – シグナル、MITRE戦術、影響を受ける可能性のあるリソースなど、攻撃シーケンスの詳細をコンパクトに表示します。

  • シグナル — 攻撃シーケンスに関連するイベントのタイムラインを表示します。

  • リソース — 影響を受ける可能性のあるリソース、またはリスクにさらされている可能性のあるリソースに関する情報を提供します。

次のリストは、攻撃シーケンスの検出結果の詳細に関連する説明を示しています。

シグナル

シグナルは、攻撃シーケンスの検出結果を検出するために が GuardDuty使用するAPIアクティビティまたは検出結果である可能性があります。 は、自身には存在しない弱いシグナル GuardDuty を明確な脅威と見なし、それらを結合して、個別に生成された検出結果と関連付けます。コンテキストの詳細については、シグナルタブには、シグナルのタイムラインが表示されます GuardDuty。

GuardDuty 結果である各シグナルには、独自の重要度レベルと値が割り当てられます。 GuardDuty コンソールでは、各シグナルを選択して、関連する詳細を表示できます。

アクター

攻撃シーケンス内の脅威アクターに関する詳細を提供します。詳細については、「Amazon GuardDuty API リファレンス」の「アクター」を参照してください。

エンドポイント

この攻撃シーケンスで使用されたネットワークエンドポイントの詳細を提供します。詳細については、「Amazon GuardDuty API リファレンスNetworkEndpoint」の「」を参照してください。が場所 GuardDuty を決定する方法については、「」を参照してください位置情報の詳細

インジケータ

セキュリティ問題のパターンに一致する観測データが含まれます。このデータは、疑わしいアクティビティの可能性 GuardDuty を示す理由について を指定します。たとえば、インジケータ名が の場合HIGH_RISK_API、これは脅威アクターが一般的に使用するアクション、または認証情報へのアクセスやリソースの変更など AWS アカウント、 に潜在的な影響を引き起こす可能性のある機密性の高いアクションを示します。

次の表に、潜在的な指標とその説明のリストを示します。

インジケータ名 説明

SUSPICIOUS_USER_AGENT

ユーザーエージェントは、Amazon S3 クライアントや攻撃ツールなど、疑わしいアプリケーションや悪用された可能性のある既知のアプリケーションに関連付けられています。

SUSPICIOUS_NETWORK

ネットワークは、リスクの高い仮想プライベートネットワーク (VPN) プロバイダーやプロキシサービスなど、既知の低評価スコアに関連付けられています。

MALICIOUS_IP

IP アドレスは、悪意のあるインテントを示す脅威インテリジェンスを確認しました。

TOR_IP

IP アドレスは Tor 出口ノードに関連付けられています。

HIGH_RISK_API

という AWS のサービス 名前 AWS APIを含み、脅威アクターが一般的に使用するアクションeventName、または認証情報へのアクセスやリソースの変更など AWS アカウント、 に潜在的な影響を与える可能性のある機密性の高いアクションを示します。

ATTACK_TACTIC

Discovery Impact MITRE などの戦術。

ATTACK_TECHNIQUE

攻撃シーケンスで脅威アクターが使用するMITRE手法。例としては、 リソースへのアクセスの取得、意図しない使用、脆弱性の悪用などがあります。

UNUSUAL_API_FOR_ACCOUNT

アカウントの履歴ベースラインに基づいて、 が異常に呼び出されたことを示します AWS API。詳細については、「異常な動作」を参照してください。

UNUSUAL_ASN_FOR_ACCOUNT

アカウントの履歴ベースラインに基づいて、自律システム番号 (ASN) が異常として識別されたことを示します。詳細については、「異常な動作」を参照してください。

UNUSUAL_ASN_FOR_USER

ユーザーの履歴ベースラインに基づいて、自律システム番号 (ASN) が異常として識別されたことを示します。詳細については、「異常な動作」を参照してください。

MITRE 戦術

このフィールドは、脅威アクターが攻撃シーケンスを通じて試みる MITRE ATT&CK 戦術を指定します。 は、攻撃シーケンス全体にコンテキストを追加する MITRE ATT&ACK フレームワーク GuardDuty を使用します。脅威アクターが使用した脅威の目的を指定するために GuardDuty コンソールが使用する色は、重大、高、中、低の を示す色と一致します検出結果の重要度レベル

ネットワークインジケータ

インジケータには、ネットワークが疑わしい動作を示している理由を説明するネットワークインジケータ値の組み合わせが含まれます。このセクションは、インジケータSUSPICIOUS_NETWORKまたは が含まれている場合にのみ適用できますMALICIOUS_IP。次の例は、ネットワークインジケータをインジケータに関連付ける方法を示しています。

  • AnyCompany は自律システム (AS) です。

  • TUNNEL_VPNIS_ANONYMOUSALLOWS_FREE_ACCESSはネットワークインジケータです。

...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...

次の表に、ネットワークインジケータの値とその説明を示します。これらのタグは、Spur などのソースから GuardDuty 収集された脅威インテリジェンスに基づいて追加されます。

ネットワークインジケータ値 説明

TUNNEL_VPN

ネットワークまたは IP アドレスはVPNトンネルタイプに関連付けられます。これは、パブリックネットワーク経由で 2 つのポイント間に安全で暗号化された接続を確立するのに役立つ特定のプロトコルを指します。

TUNNEL_PROXY

ネットワークまたは IP アドレスは、プロキシトンネルタイプに関連付けられています。これは、プロキシサーバーを介して接続を確立するのに役立つ特定のプロトコルを指します。

TUNNEL_RDP

ネットワークまたは IP アドレスは、別のプロトコル内にリモートデスクトップ (RDP) トラフィックをカプセル化する方法を使用して、セキュリティを強化したり、ネットワーク制限を回避したり、ファイアウォールを介したリモートアクセスを有効にしたりするために に関連付けられます。

IS_ANONYMOUS

ネットワークまたは IP アドレスは、既知の匿名サービスまたはプロキシサービスに関連付けられています。これは、匿名ネットワークの背後に隠れている疑わしいアクティビティの可能性を示している可能性があります。

KNOWN_THREAT_OPERATOR

ネットワークまたは IP アドレスは、既知のリスクの高いトンネルプロバイダーに関連付けられています。これは、悪意のある目的で頻繁に使用される VPN、プロキシ、またはその他のトンネリングサービスにリンクされている IP アドレスから疑わしいアクティビティが検出されたことを示します。

ALLOWS_FREE_ACCESS

ネットワークまたは IP アドレスは、認証や支払いを必要とせずに、そのサービスへのアクセスを許可するトンネルオペレーターに関連付けられます。また、トライアルアカウントや、さまざまなオンラインサービスが提供する限られた使用体験が含まれる場合もあります。

ALLOWS_CRYPTO

ネットワークまたは IP アドレスは、支払い方法として暗号通貨やその他のデジタル通貨を排他的に受け入れるトンネルプロバイダー ( やVPNプロキシサービスなど) に関連付けられます。

ALLOWS_TORRENTS

ネットワークまたは IP アドレスは、トラフィックを拾うことができるサービスまたはプラットフォームに関連付けられています。このようなサービスは、Torrent や著作権回避活動のサポートと使用によく関連しています。

RISK_CALLBACK_PROXY

ネットワークまたは IP アドレスは、トラフィックをルーティングして、住宅用プロキシ、マルウェアプロキシ、またはその他のコールバックプロキシタイプのネットワークにルーティングすることが知られているデバイスに関連付けられます。これは、ネットワーク上のすべてのアクティビティがプロキシ関連であることを意味するのではなく、ネットワークがこれらのプロキシネットワークに代わってトラフィックをルーティングできることを意味します

RISK_GEO_MISMATCH

このインジケータは、ネットワークのデータセンターまたはホスティング場所が、その背後にあるユーザーやデバイスの予想される場所と異なることを示唆しています。このインジケータ値が存在しない場合は、不一致がないことを意味するものではありません。これは、不一致を確認するのに十分なデータがないことを示している可能性があります。

IS_SCANNER

ネットワークまたは IP アドレスは、ウェブフォームに対する永続的なログイン試行の実行に関連付けられます。

RISK_WEB_SCRAPING

IP アドレスのネットワークは、自動ウェブクライアントやその他のプログラムによるウェブアクティビティに関連付けられます。

CLIENT_BEHAVIOR_FILE_SHARING

ネットワークまたは IP アドレスは、 (P2P) ネットワークやファイル共有プロトコルなどの peer-to-peerファイル共有アクティビティを示すクライアントの動作に関連付けられます。

CATEGORY_COMMERCIAL_VPN

ネットワークまたは IP アドレスは、データセンタースペース内で運用されている従来の商用仮想プライベートネットワーク (VPN) サービスに分類されるトンネルオペレーターに関連付けられます。

CATEGORY_FREE_VPN

ネットワークまたは IP アドレスは、完全に無料のVPNサービスとして分類されたトンネルオペレーターに関連付けられます。

CATEGORY_RESIDENTIAL_PROXY

ネットワークまたは IP アドレスは、、マルウェアSDK、または get-paid-toソースプロキシサービスに分類されるトンネルオペレーターに関連付けられます。

OPERATOR_XXX

このトンネルを運用しているサービスプロバイダーの名前。

RDS データベース (DB) ユーザーの詳細

注記

このセクションは、 でRDS保護機能を有効にする場合の検出結果に適用されます GuardDuty。詳細については、「GuardDuty RDS 保護」を参照してください。

この GuardDuty 検出結果は、侵害された可能性のあるデータベースの以下のユーザーと認証の詳細を提供します。

  • [User] (ユーザー) - 異常なログイン試行に使用されたユーザー名

  • [Application] (アプリケーション) — 異常なログイン試行に使用されたアプリケーション名

  • [Database] (データベース) — 異常なログイン試行に関与したデータベースインスタンスの名前

  • SSL – ネットワークに使用される Secure Socket Layer (SSL) のバージョン。

  • [認証方法] — 検出に関与したユーザーが使用した認証方法

侵害された可能性のあるリソースの詳細については、「」を参照してくださいリソース

Runtime Monitoring の検出結果の詳細

注記

これらの詳細は、 が の 1 つ GuardDuty を生成する場合にのみ使用できますGuardDuty Runtime Monitoring の検出結果タイプ

このセクションには、プロセスの詳細や必要なコンテキストなど、ランタイムの詳細が含まれています。プロセスの詳細には、観察されたプロセスに関する情報が記述され、ランタイムのコンテキストには、潜在的に疑わしいアクティビティに関する追加情報が記述されます。

プロセスの詳細

  • 名前 - プロセスの名前。

  • 実行可能ファイルのパス - プロセスの実行可能ファイルの絶対パス。

  • 実行可能ファイル SHA-256 – プロセス実行可能ファイルのSHA256ハッシュ。

  • 名前空間 PID – ホストレベルPID名前空間以外のセカンダリPID名前空間にあるプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。

  • 現在の作業ディレクトリ - プロセスの現在の作業ディレクトリ。

  • プロセス ID - オペレーティングシステムによってプロセスに割り当てられた ID。

  • startTime – プロセスが開始された時刻。これはUTC日付文字列形式 () です2023-03-22T19:37:20.168Z

  • UUID – プロセスに割り当てられた一意の ID GuardDuty。

  • 親 UUID – 親プロセスの一意の ID。この ID は親プロセスに割り当てられます GuardDuty。

  • ユーザー - プロセスを実行したユーザー。

  • ユーザー ID - プロセスを実行したユーザーの ID。

  • 有効なユーザー ID - イベント発生時のプロセスの有効な実効ユーザー ID。

  • 系列 - プロセスの先祖に関する情報。

    • プロセス ID - オペレーティングシステムによってプロセスに割り当てられた ID。

    • UUID – プロセスに割り当てられた一意の ID GuardDuty。

    • 実行可能ファイルのパス - プロセスの実行可能ファイルの絶対パス。

    • 有効なユーザー ID - イベント発生時のプロセスの有効な実効ユーザー ID。

    • 親 UUID – 親プロセスの一意の ID。この ID は、 によって親プロセスに割り当てられます GuardDuty。

    • 開始時間 - プロセスが開始された時間。

    • 名前空間 PID – ホストレベルPID名前空間以外のセカンダリPID名前空間にあるプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。

    • ユーザー ID - プロセスを実行したユーザーのユーザー ID。

    • 名前 - プロセスの名前。

ランタイムのコンテキスト

次のフィールドから、生成された検出結果には、その検出結果タイプに関連するフィールドのみが含まれる場合があります。

  • マウントソース - コンテナによってマウントされたホスト上のパス。

  • マウントターゲット - ホストディレクトリにマッピングされているコンテナ内のパス。

  • ファイルシステムタイプ - マウントされたファイルシステムのタイプを示します。

  • フラグ - この検出結果に関係するイベントの動作をコントロールするオプションを示します。

  • プロセスの変更 - 実行時にコンテナ内でバイナリ、スクリプト、またはライブラリを作成または変更したプロセスに関する情報。

  • 修正日時 - 実行時にプロセスがコンテナ内のバイナリ、スクリプト、またはライブラリを作成または変更したときのタイムスタンプ。このフィールドは、UTC日付文字列形式 () です2023-03-22T19:37:20.168Z

  • ライブラリパス - ロードされた新しいライブラリへのパス。

  • LD プリロード値 - LD_PRELOAD 環境変数の値。

  • ソケットパス - アクセスされた Docker ソケットへのパス。

  • Runc バイナリパス - runc バイナリへのパス。

  • リリースエージェントパス - cgroup リリースエージェントファイルへのパス。

  • コマンドラインの例 – 潜在的に疑わしいアクティビティに関連するコマンドラインの例。

  • ツールカテゴリ – ツールが属するカテゴリ。この例としては、Backdoor Tool、Pentest Tool、Network Scanner、Network Sniffer などがあります。

  • ツール名 – 潜在的に疑わしいツールの名前。

  • スクリプトパス – 検出結果を生成した実行済みスクリプトへのパス。

  • 脅威ファイルパス – 脅威インテリジェンスの詳細が見つかった疑わしいパス。

  • サービス名 – 無効化されたセキュリティサービスの名前。

EBS ボリュームスキャンの詳細

注記

このセクションは、 GuardDutyで開始されたマルウェアスキャンを有効にする場合の検出結果に適用されますMalware Protection for EC2

EBS ボリュームスキャンは、侵害された可能性のあるEC2インスタンスまたはコンテナワークロードにアタッチされたEBSボリュームに関する詳細を提供します。

  • スキャン — マルウェアスキャンの識別子。

  • スキャン開始日 — マルウェアスキャンが開始された日時。

  • スキャン完了日 — 不正プログラムのスキャンの完了日時。

  • Trigger Finding ID – このマルウェアスキャンを開始した検出結果の検出 GuardDuty 結果 ID。

  • ソース – 想定される値は、BitdefenderAmazon です。

    マルウェアの検出に使用されるスキャンエンジンの詳細については、「GuardDuty マルウェア検出スキャンエンジン」を参照してください。

  • スキャン検出 — 各マルウェアスキャンの詳細と結果の全情報。

    • スキャンされたアイテム数 — スキャンされたファイルの合計数。totalGbfiles、および volumes などの詳細を提供します。

    • 脅威が検出されたアイテム数 — スキャン中に検出された悪意のある files の合計数。

    • 最も重要度の高い脅威の詳細 — スキャン中に検出された、重要度が最も高い脅威の詳細と、悪意のあるファイルの数。severitythreatName、および count などの詳細を提供します。

    • 名前で検出された脅威 — すべての重要度レベルの脅威をグループ化するコンテナ要素。itemCountuniqueThreatNameCountshortened、および threatNames などの詳細を提供します。

EC2 検出結果の詳細に関する Malware Protection

注記

このセクションは、 GuardDutyで開始されたマルウェアスキャンを有効にする場合の検出結果に適用されますMalware Protection for EC2

Malware Protection for EC2 scan がマルウェアを検出すると、 https://console.aws.amazon.com/guardduty/コンソールの検出結果ページで対応する検出結果を選択して、スキャンの詳細を表示できます。Malware Protection for EC2の検出結果の重要度は、検出結果の GuardDuty重要度によって異なります。

次の情報は、詳細パネルの「検出された脅威」セクションでご覧になれます。

  • 名前 — 検出によってファイルをグループ化することによって取得された脅威の名前。

  • 重要度 — 検出された脅威の重要度。

  • Hash – ファイルの SHA-256。

  • ファイルパス — EBSボリューム内の悪意のあるファイルの場所。

  • ファイル名 — 脅威が検出されたファイルの名前。

  • Volume ARN – スキャンされたEBSボリュームARNの 。

次の情報は、詳細パネルの「マルウェアスキャンの詳細」のセクションでご覧になれます。

  • スキャン — 不正プログラムスキャンのスキャン ID。

  • スキャン開始日 — スキャンが開始された日時。

  • スキャン完了日 — スキャンの完了日時。

  • スキャンされたファイル — スキャンされたファイルとディレクトリの合計数。

  • スキャンされた合計 GB — プロセス中にスキャンされたストレージの容量。

  • 検出結果 ID のトリガー — このマルウェアスキャンを開始した検出 GuardDuty 結果の検出結果 ID。

  • 次の情報は、詳細パネルの「ボリュームの詳細」のセクションでご覧になれます。

    • Volume ARN – ボリュームの Amazon リソースネーム (ARN)。

    • スナップショットARN – EBSボリュームARNのスナップショットの 。

    • ステータスRunningSkipped、および Completed などのボリュームのスキャン状態。

    • 暗号化タイプ — ボリュームの暗号化に使用される暗号化のタイプ。例えば、CMCMK と指定します。

    • デバイス名 - デバイスの名前。例えば、/dev/xvda と指定します。

Malware Protection for S3 の検出結果の詳細

で GuardDuty と Malware Protection for S3 の両方を有効にすると、次のマルウェアスキャンの詳細が表示されます AWS アカウント。

  • 脅威 – マルウェアスキャン中に検出された脅威のリスト。

    アーカイブファイル内の複数の潜在的な脅威

    潜在的な脅威が複数含まれるアーカイブファイルがある場合、Malware Protection for S3 は最初に検出された脅威のみを報告します。その後、スキャンステータスは complete とマークされます。 は、関連する結果タイプ GuardDuty を生成し、生成された EventBridge イベントも送信します。 EventBridge イベントを使用した Amazon S3 オブジェクトスキャンのモニタリングの詳細については、 の THREATS_FOUND のサンプル通知スキーマを参照してくださいS3 オブジェクトスキャンの結果

  • 項目パス – スキャンされた S3 オブジェクトのネストされた項目パスとハッシュの詳細のリスト。

    • ネストされた項目パス – 脅威が検出されたスキャンされた S3 オブジェクトの項目パス。

      このフィールドの値は、最上位レベルのオブジェクトがアーカイブであり、アーカイブ内で脅威が検出された場合にのみ使用できます。

    • [ハッシュ] – この検出結果で検出された脅威のハッシュ。

  • ソース – 想定される値は、BitdefenderAmazon です。

    マルウェアの検出に使用されるスキャンエンジンの詳細については、「GuardDuty マルウェア検出スキャンエンジン」を参照してください。

Action

検出結果の [Action] (アクション) は、その検出をトリガーしたアクティビティのタイプに関する詳細を示します。利用可能な情報は、アクションタイプによって異なります。

[アクションタイプ] - 検出結果アクティビティのタイプ。この値は、NETWORK_CONNECTIONPORT_PROBEDNS_REQUESTAWS_API_CALL、または RDS_LOGIN_ATTEMPT です。利用可能な情報は、アクションタイプによって異なります。

  • NETWORK_CONNECTION – 識別されたEC2インスタンスとリモートホストの間でネットワークトラフィックが交換されたことを示します。このアクションタイプには、次の追加情報が含まれています。

    • 接続方向 — 結果の生成 GuardDuty を に求めるアクティビティで確認されたネットワーク接続方向。これには、次のいずれかの値を指定できます。

      • INBOUND – リモートホストがアカウント内の識別されたEC2インスタンスのローカルポートへの接続を開始したことを示します。

      • OUTBOUND – 識別されたEC2インスタンスがリモートホストへの接続を開始したことを示します。

      • UNKNOWN – が接続の方向を判断 GuardDuty できなかったことを示します。

    • プロトコル – 結果の生成 GuardDuty を に求めるアクティビティで確認されたネットワーク接続プロトコル。

    • ローカル IP (ローカル IP) - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKSポッドが実行されているインスタンスの IP アドレスではなくEKS、 ポッドの IP アドレスです。

    • [ブロック] - ターゲットポートがブロックされているかどうかを示します。

  • PORT_PROBE – リモートホストが複数の開いているポートで識別されたEC2インスタンスをプローブしたことを示します。このアクションタイプには、次の追加情報が含まれています。

    • ローカル IP - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKSポッドが実行されているインスタンスの IP アドレスではなくEKS、 ポッドの IP アドレスです。

    • [ブロック] - ターゲットポートがブロックされているかどうかを示します。

  • DNS_REQUEST – 識別されたEC2インスタンスがドメイン名をクエリしたことを示します。このアクションタイプには、次の追加情報が含まれています。

    • プロトコル — 結果の生成 GuardDuty を に求めるアクティビティで確認されたネットワーク接続プロトコル。

    • [ブロック] - ターゲットポートがブロックされているかどうかを示します。

  • AWS_API_CALL – APIが AWS 呼び出されたことを示します。このアクションタイプには、次の追加情報が含まれています。

    • API - 呼び出されたため、この結果の生成 GuardDuty を求められたAPIオペレーションの名前。

      注記

      これらのオペレーションには、 によってキャプチャされた API以外のイベントを含めることもできます AWS CloudTrail。詳細については、「 でキャプチャされた非 APIイベント CloudTrail」を参照してください。

    • ユーザーエージェント – APIリクエストを行ったユーザーエージェント。この値は、呼び出しが 、 AWS サービス AWS Management Console、、 AWS SDKsまたは のいずれから行われたかを示します AWS CLI。

    • ERROR CODE – 検出結果が失敗したAPI呼び出しによってトリガーされた場合、その呼び出しのエラーコードが表示されます。

    • サービス名 – 検出結果をトリガーしたAPI呼び出しを試みたサービスDNSの名前。

  • RDS_LOGIN_ATTEMPT – リモート IP アドレスから侵害された可能性のあるデータベースへのログインが試行されたことを示します。

    • [IP アドレス] — 疑わしいログイン試行に使用されたリモート IP アドレス。

アクターまたはターゲット

[リソースロール] が TARGET の場合には、検出結果に [アクター] セクションが表示されます。これは、リソースが疑わしいアクティビティの対象であったことを示します。また、[Actor] (アクター) セクションには、リソースを対象としたエンティティの詳細が含められます。

[リソースロール] が ACTOR の場合には、検出結果に [ターゲット] セクションが表示されます。これは、リソースがリモートホストに対する不審なアクティビティに関与していたことを示します。また、このセクションには、リソースのターゲットになった IP またはドメインに関する情報が含められます。

[アクター] セクションまたは [ターゲット] セクションには、次の情報を含めることができます。

  • 登録済み – リモートAPI発信者の AWS アカウントが GuardDuty 環境に関連しているかどうかに関する詳細。この値が の場合true、API呼び出し元は何らかの方法で アカウントに関連付けられます。 の場合false、API呼び出し元は 環境外からのものです。

  • [リモートアカウント ID] – 最終的なネットワークでリソースにアクセスするために使用されたアウトバウンド IP アドレスを所有するアカウント ID。

  • IP アドレス – 結果の生成 GuardDuty を に求めるアクティビティに関与した IP アドレス。

  • Location – に結果の生成 GuardDuty を求めるアクティビティに関与した IP アドレスの位置情報。

  • 組織 - 結果の生成 GuardDuty を に求めるアクティビティに関与した IP アドレスのISP組織情報。

  • ポート – 結果の生成 GuardDuty を に求めるアクティビティに関連するポート番号。

  • ドメイン – 結果の生成 GuardDuty を に求めるアクティビティに関与したドメイン。

  • サフィックス付きのドメイン – 結果の生成を GuardDuty に求める可能性のあるアクティビティに関与した第 2 レベルと最上位レベルのドメイン。最上位ドメインとセカンドレベルドメインのリストについては、「public suffix list」を参照してください。

位置情報の詳細

GuardDuty は、 MaxMind GeoIP データベースを使用してリクエストの場所とネットワークを決定します。 は、国レベルでデータの非常に高い精度 MaxMind を報告しますが、精度は国や IP アドレスのタイプなどの要因によって異なります。詳細については MaxMind、MaxMind 「IP Geolocation」を参照してください。GeoIP データのいずれかが正しくないと思われる場合は、MaxMind正しい GeoIP2 Data MaxMind で に修正リクエストを送信します。

追加情報

すべての検出結果には [追加情報] セクションがあり、次のような情報が含まれます。

  • 脅威リスト名 – 結果の生成 GuardDuty を に求めるアクティビティに関連する IP アドレスまたはドメイン名を含む脅威リストの名前。

  • サンプル - サンプル検出結果であるかどうかを示す true または false の値。

  • アーカイブ - 検出結果がアーカイブ済みかどうかを示す true または false の値。

  • [異常] - 履歴で確認されていないアクティビティの詳細 これには、異常な (以前には確認されていない) ユーザー、場所、時間、バケット、ログイン動作、またはASN組織が含まれます。

  • 異常なプロトコル — 結果の生成 GuardDuty を に求めるアクティビティに関与したネットワーク接続プロトコル。

  • エージェントの詳細 – のEKSクラスターに現在デプロイされているセキュリティエージェントに関する詳細 AWS アカウント。これは Runtime Monitoring EKS の検出結果タイプにのみ適用されます。

    • エージェントバージョン — GuardDuty セキュリティエージェントのバージョン。

    • エージェント ID – GuardDuty セキュリティエージェントの一意の識別子。

証拠

脅威インテリジェンスに基づく検出結果には [証拠] セクションがあり、次のような情報が含まれます。

  • 脅威インテリジェンスの詳細 - 認識された Threat name が表示される脅威リストの名前。

  • 脅威名 - 脅威に関連付けられているマルウェアファミリーの名前、またはその他の識別子。

  • 脅威ファイル SHA256 – 結果を生成したSHA256ファイルの 。

異常な動作

で終わる検出結果タイプは、検出結果が GuardDuty 異常検出機械学習 (ML) モデルによって生成されたAnomalousBehaviorことを示します。ML モデルは、アカウントへのすべてのAPIリクエストを評価し、攻撃者が使用する戦術に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストAPIされた特定の など、リクエストのさまざまな要因を追跡します。

API リクエストを呼び出した CloudTrail ユーザー ID にとって、リクエストのどの要因が異常であるかに関する詳細は、検出結果の詳細で確認できます。ID は CloudTrail userIdentity Element によって定義され、指定できる値は RootIAMUser、、AssumedRoleFederatedUserAWSAccount、または ですAWSService

API アクティビティに関連付けられているすべての GuardDuty 検出結果の詳細に加えて、AnomalousBehavior検出結果には、次のセクションで概説する追加の詳細があります。これらの詳細は コンソールで表示でき、結果の でも確認できますJSON。

  • 異常 APIs — 検出結果に関連付けられたプライマリAPIリクエストの近くでユーザー ID によって呼び出されたAPIリクエストのリスト。このペインでは、次の方法でAPIイベントの詳細をさらに分類します。

    • 最初にAPIリストされているのはプライマリ です。プライマリ はAPI、最もリスクの高い観測アクティビティに関連付けられたAPIリクエストです。これは、検出結果をAPIトリガーし、検出結果タイプの攻撃ステージと相関する です。これは、コンソールのアクションセクションと結果の で詳細にAPI説明されている でもありますJSON。

    • APIs リストされている他の は、プライマリ の近くで観測されたリストされたユーザー ID APIsから追加の異常ですAPI。リストAPIに 1 つしかない場合、ML モデルはそのユーザー ID からの追加のAPIリクエストを異常として識別しませんでした。

    • のリストAPIsは、 が正常に呼び出APIされたかどうか、または が正常に呼び出APIされなかったかどうか、つまりエラーレスポンスが受信されたかどうかに基づいて分割されます。受信したエラーレスポンスのタイプは、 という失敗した各レスポンスの上に表示されますAPI。考えられるエラーレスポンスのタイプは、access deniedaccess denied exceptionauth failureinstance limit exceededinvalid permission - duplicateinvalid permission - not found、および operation not permitted です。

    • APIs は、関連するサービスによって分類されます。

    • 詳細については、履歴 APIs を選択して、上位 の詳細を最大 20 APIsまで表示します。通常、ユーザー ID とアカウント内のすべてのユーザーの両方に表示されます。APIs は、アカウント内で使用されている頻度に応じて、Rare (1 か月に 1 回未満)低頻度 (1 か月に数回)、または高頻度 (毎日から毎週) とマークされます。

  • [Unusual Behavior (Account)] (異常な動作 (アカウント)) - このセクションでは、アカウントでプロファイリングされた動作に関する詳細について説明します。

    プロファイルされた動作

    GuardDuty は、配信されたイベントに基づいて、アカウント内のアクティビティについて継続的に学習します。これらのアクティビティと観測されたその頻度は、プロファイルされた動作と呼ばれます。

    このパネルで追跡される情報は次のとおりです。

    • ASN 組織 – 異常なAPI呼び出しが行われた自律システム番号 (ASN) 組織。

    • ユーザー名 – 異常なAPI呼び出しを行ったユーザーの名前。

    • ユーザーエージェント - 異常なAPI呼び出しを行うために使用されたユーザーエージェント。ユーザーエージェントは、aws-cli または Botocore などのコールを行うために使用されるメソッドです。

    • ユーザータイプ – 異常なAPI呼び出しを行ったユーザーのタイプ。可能な値は、AWS_SERVICEASSUMED_ROLEIAM_USER または ROLE です。

    • バケット — アクセスされている S3 バケットの名前。

  • [Unusual Behavior (User Identity)] (異常な動作 (ユーザー ID)) - このセクションでは、検出に関与したユーザーアイデンティティのプロファイリングされた動作の詳細について説明します。動作が履歴として識別されない場合、ML GuardDuty モデルはトレーニング期間内にこの方法でこのユーザー ID がこのAPI呼び出しを行ったことを以前に確認していないことを意味します。ユーザーアイデンティティ に関する詳細については、次を参照してください。

    • ASN 組織 – 異常なAPI呼び出しが行われたASN組織。

    • ユーザーエージェント - 異常なAPI呼び出しを行うために使用されたユーザーエージェント。ユーザーエージェントは、aws-cli または Botocore などのコールを行うために使用されるメソッドです。

    • バケット — アクセスされている S3 バケットの名前。

  • [Unusual Behavior (Bucket)] (異常な動作 (バケット)) - このセクションでは、検出結果に関連する、S3 バケットのプロファイリングされた動作に関する詳細について説明します。動作が履歴として識別されない場合、ML GuardDuty モデルはトレーニング期間内にこの方法でこのバケットに対して行われたAPI呼び出しを以前に確認していないことを意味します。このセクションで追跡される情報は次のとおりです。

    • ASN 組織 – 異常なAPI呼び出しが行われたASN組織。

    • ユーザー名 – 異常なAPI呼び出しを行ったユーザーの名前。

    • ユーザーエージェント - 異常なAPI呼び出しを行うために使用されたユーザーエージェント。ユーザーエージェントは、aws-cli または Botocore などのコールを行うために使用されるメソッドです。

    • ユーザータイプ – 異常なAPI呼び出しを行ったユーザーのタイプ。可能な値は、AWS_SERVICEASSUMED_ROLEIAM_USER または ROLE です。

    注記

    過去の動作の詳細については、[異常な動作 (アカウント)][ユーザー ID]、または [バケット] セクションのいずれかで [過去の動作] を選択し、アカウント内での使用頻度に応じて、[頻度が低い (月に 1 回未満)][頻繁でない (月に数回)]、または [頻度が高い (毎日から毎週)] の各カテゴリーのアカウントで、想定される動作の詳細を表示します。

  • 異常な動作 (データベース) - このセクションでは、検出結果に関連するデータベースインスタンスの、プロファイリングされた動作に関する詳細について説明します。動作が履歴として識別されない場合、ML GuardDuty モデルがトレーニング期間内にこの方法でこのデータベースインスタンスへのログイン試行を以前に確認していないことを意味します。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。

    • [User name] (ユーザー名) - 異常なログイン試行に使用されたユーザー名

    • ASN 組織 – 異常なログイン試行が行われたASN組織。

    • [Application name] (アプリケーション名) — 異常なログイン試行に使用されたアプリケーション名

    • [データベース名] — 異常なログイン試行に関与したデータベースインスタンス名

    履歴動作セクションには、以前に確認された、関連付けられたデータベースのユーザー名ASN組織アプリケーション名、データベースに関するコンテキストの詳細が表示されます。固有の値にはそれぞれ、ログインが成功した際にその値が確認された回数を示すカウントが関連付けられています。

  • 異常動作 (アカウント Kubernetes クラスター、Kubernetes 名前空間、 Kubernetes ユーザー名) - このセクションでは、検出結果に関連する、Kubernetes クラスターと名前空間の、プロファイリングされた動作に関する詳細を説明します。動作が履歴として識別されない場合は、ML GuardDuty モデルがこのアカウント、クラスター、名前空間、またはユーザー名をこの方法で以前に確認していないことを意味します。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。

    • ユーザー名 – 検出結果APIに関連付けられた Kubernetes を呼び出したユーザー。

    • 偽装されたユーザー名username に偽装されているユーザー。

    • 名前空間 – アクションが発生した Amazon EKSクラスター内の Kubernetes 名前空間。

    • ユーザーエージェント – Kubernetes APIコールに関連付けられたユーザーエージェント。ユーザーエージェントは、kubectl などのコールを行うために使用されるメソッドです。

    • API – Amazon EKSクラスターusername内で によってAPI呼び出される Kubernetes。

    • ASN 情報 – この呼び出しを行うユーザーの IP アドレスISPに関連付けられた Organization や などのASN情報。

    • 曜日 – Kubernetes API呼び出しが行われた曜日。

    • アクセス許可 – が Kubernetes をusername使用できるかどうかを示すためにアクセスがチェックされている Kubernetes 動詞とリソースAPI。

    • サービスアカウント名 – ワークロードに ID を提供する Kubernetes ワークロードに関連付けられたサービスアカウント。

    • レジストリ — Kubernetes ワークロードにデプロイした、コンテナイメージに関連付けられたコンテナレジストリ。

    • イメージ — Kubernetes ワークロードにデプロイされた、関連するタグやダイジェストを含まないコンテナイメージ。

    • イメージプレフィックス設定 — イメージを使用するコンテナの、hostNetwork または privileged などのコンテナとワークロードセキュリティ設定が有効になっているイメージプレフィックス。

    • サブジェクト名RoleBindingClusterRoleBinding 内の参照ロールにバインドされている usergroupserviceAccountName などのサブジェクト。

    • ロール名 – ロールまたは roleBinding の作成または変更に関係するロールの名前API。

S3 ボリュームベースの異常

このセクションでは、S3 ボリュームベースの異常についてのコンテキスト情報について詳しく説明します。ボリュームベースの検出結果 (Exfiltration:S3/AnomalousBehavior) は、ユーザーが S3 バケットに対して行った異常な数の S3 API呼び出しをモニタリングし、潜在的なデータ流出を示します。次の S3 API呼び出しは、ボリュームベースの異常検出についてモニタリングされます。

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

次のメトリクスは、IAMエンティティが S3 バケットにアクセスするときの通常の動作のベースラインを構築するのに役立ちます。データの流出を検出するために、ボリュームベースの異常検出結果は通常の行動ベースラインに対してすべてのアクティビティを評価します。次のメトリクスを表示するには、[異常な動作][確認されたボリューム (ユーザーアイデンティティ)]、および [確認されたボリューム (バケット)] セクションで [過去の動作] を選択します。

  • 影響を受けた S3 バケットに関連付けられたIAMユーザーまたはIAMロールによって過去 24 時間に呼び出されたs3-api-nameAPI呼び出しの数 (発行された呼び出しによって異なります)。

  • 過去 24 時間にすべての S3 バケットに関連付けられたIAMユーザーまたはIAMロールによって呼び出されたs3-api-nameAPI呼び出しの数 (発行された呼び出しによって異なります)。

  • 過去 24 時間の、影響を受ける S3 バケットに関連付けられたすべてのIAMユーザーまたはIAMロール (どのユーザーまたはロールが発行されたかによって異なります) のs3-api-nameAPI呼び出しの数。

RDS ログインアクティビティベースの異常

このセクションは、異常なアクターが行ったログイン試行回数の詳細について説明するものであり、ログイン試行の結果ごとにグループ分けされています。RDS 保護結果タイプ はログインイベントをモニタリングして successfulLoginCountfailedLoginCountincompleteConnectionCount などの異常なパターンがないかを確認し、異常な動作を特定します。

  • successfulLoginCount – このカウンターは、異常なアクターによってデータベースインスタンスに対して行われた正常な接続 (ログイン属性の正しい組み合わせ) の合計を表します。ログイン属性には、ユーザー名、パスワード、データベース名が含まれます。

  • failedLoginCount – このカウンターは、データベースインスタンスへの接続を確立するために失敗した (失敗した) ログイン試行の合計を表します。これは、ユーザー名、パスワード、データベース名など、ログイン情報の組み合わせの属性が 1 つ以上、正しくなかったことを示します。

  • incompleteConnectionCount – このカウンターは、成功または失敗として分類できない接続試行の数を表します。これらの接続は、データベースが応答する前に閉じられています。例えば、データベースポートは接続されているものの情報がデータベースに送信されないポートスキャンや、ログインが成功または失敗して完了する前に接続が中止された場合などです。