AWS CloudTrail での Amazon GuardDuty API コールのログ記録 - Amazon GuardDuty
CloudTrail での GuardDuty 情報CloudTrail の GuardDuty コントロールプレーンイベントCloudTrail の GuardDuty データイベント

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudTrail での Amazon GuardDuty API コールのログ記録

Amazon GuardDuty は、GuardDuty のユーザー、ロール、または AWS のサービスによって実行されたアクションの記録を提供するサービスである AWS CloudTrail と統合されています。CloudTrail は、GuardDuty コンソールからの呼び出しや GuardDuty API へのコード呼び出しを含む、GuardDuty のすべての API コールをイベントとしてキャプチャします。追跡を作成する場合は、GuardDuty に関するイベントを含めた CloudTrail のイベントの Amazon Simple Storage Service (Amazon S3) バケットへの継続的な配信を有効にすることができます。追跡を設定しない場合でも、CloudTrail コンソールの [Event history] (イベント履歴) で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、GuardDuty に対するリクエスト、そのリクエストが発信された IP アドレス、リクエストの作成者、リクエスト作成日時、その他の詳細情報などを確認できます。

CloudTrail を設定して有効にする方法などの詳細については、AWS CloudTrail ユーザーガイドを参照してください。

CloudTrail での GuardDuty 情報

CloudTrail は、アカウントを作成すると AWS アカウントで有効になります。サポートされているイベントアクティビティが GuardDuty で発生すると、そのアクティビティは [Event history] (イベント履歴) の他の AWS のサービスのイベントとともに、CloudTrail イベントにレコードされます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail Event 履歴でのイベントの表示」を参照してください。

GuardDuty のイベントなど、AWS アカウントのイベントの継続的な記録については、追跡を作成します。追跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべての リージョンに適用されます。追跡は、AWSパーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS のサービスを設定できます。詳細については、次を参照してください。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。ID 情報は次の判断に役立ちます。

  • リクエストが、ルートユーザーまたは IAM ユーザーのどちらのサインイン認証情報を使用して送信されたか

  • リクエストが、ロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたか

  • リクエストが、別の AWS のサービスによって送信されたかどうか

詳細については、「CloudTrail userIdentity 要素」を参照してください。

CloudTrail の GuardDuty コントロールプレーンイベント

デフォルトでは、CloudTrail は Amazon GuardDuty API リファレンスで提供されているすべての GuardDuty API オペレーションを CloudTrail ファイルにイベントとして記録します。

CloudTrail の GuardDuty データイベント

GuardDuty ランタイムモニタリング は、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS Fargate Amazon Elastic Container Service (Amazon ECS)タスクにデプロイされた GuardDuty セキュリティエージェントを使用して、AWS ワークロード用に 収集されたランタイムイベントタイプ を収集するアドオン (aws-guardduty-agent) を収集し、脅威検出と分析に使用するため、GuardDuty に送信します。

データイベントのログとモニタリング

オプションで、GuardDuty セキュリティエージェントのデータイベントを表示するように AWS CloudTrail ログを設定できます。

CloudTrail を作成して設定するには、「AWS CloudTrail ユーザーガイド」の「データイベント」を参照して、「AWS Management Console の高度なイベントセレクターによるデータイベントのロギング」の手順に従ってください。トレイルを記録するには、以下の変更を実行します。

  • [データイベントタイプ] には、[GuardDuty ディテクター] を選択します。

  • [ログセレクターテンプレート] では、[すべてのイベントをログに記録する] を選択します。

  • 設定の [JSON ビュー] を展開します。次の JSON と同じようになります。

    [
  {
    "name": "",
    "fieldSelectors": [
      {
        "field": "eventCategory",
        "equals": [
          "Data"
        ]
      },
      {
        "field": "resources.type",
        "equals": [
          "AWS::GuardDuty::Detector"
        ]
      }
    ]
  }
]

トレイルのセレクターを有効にした後、https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールに移動します。CloudTrail ログの設定時に選択した S3 バケットからデータイベントをダウンロードできます。