GuardDuty が使用する収集されたランタイムイベントタイプ - Amazon GuardDuty
イベントを処理するコンテナイベントAWS Fargate (Amazon ECS のみ) のタスクイベントKubernetes ポッドイベントドメインネームシステム (DNS) イベントオープンイベントロードモジュールのイベントモプロテクトイベントマウントイベントリンクイベントSymlink イベントDup イベントメモリマッピングイベントソケットイベントイベントを接続VM Readv イベントの処理VM Writev イベントの処理プロセストレース (Ptrace) イベントバインドイベントリッスンイベント名前変更イベントユーザー ID (UID) 設定イベントChmod イベント

GuardDuty が使用する収集されたランタイムイベントタイプ

GuardDuty セキュリティエージェントは、以下のイベントタイプを収集し、脅威の検出と分析のために GuardDuty バックエンドに送信します。GuardDuty では、これらのイベントにはアクセスできません。GuardDuty が潜在的な脅威を検出し、「Runtime Monitoring の検出結果タイプ」を生成した場合は、対応する検出結果の詳細を表示できます。

GuardDuty が Runtime Monitoring で収集したイベントタイプをどのように使用するかについては、「サービス改善のためのデータ使用をオプトアウトする」を参照してください。

イベントを処理する

プロセスイベントは、Amazon EC2 インスタンスとコンテナワークロードで実行されているプロセスに関連する情報を表します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するプロセスイベントの名前と説明を示します。

フィールド名 説明

プロセス名

監視されたプロセスの名前。

プロセスパス

プロセスの実行可能ファイルの絶対パス。

プロセス ID

オペレーティングシステムによってプロセスに割り当てられた ID。

名前空間 PID

ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。

プロセスユーザー ID

プロセスを実行したユーザーの固有 ID。

プロセス UUID。

GuardDuty によってプロセスに割り当てられた一意の ID。

プロセス GID。

プロセスグループのプロセス ID。

プロセス EGID。

プロセスグループの実効グループ ID。

プロセス EUID。

プロセスの実効ユーザー ID。

プロセスユーザー名

プロセスを実行したユーザー名。

プロセス開始時間

プロセスが作成された時間。このフィールドは、UTC 日付文字列形式 (2023-03-22T19:37:20.168Z)です。

プロセスの実行可能ファイル SHA-256

プロセスの実行可能ファイルの SHA256 ハッシュ。

プロセススクリプトパス

実行されたスクリプトファイルのパス。

プロセス環境変数

プロセスで利用可能になった環境変数。LD_PRELOAD および LD_LIBRARY_PATH のみ収集可能です。

プロセス現在の作業ディレクトリ (PWD)

プロセスの現在の作業ディレクトリ。

親プロセス

親プロセスのプロセス詳細。親プロセスとは、監視対象のプロセスを作成したプロセスです。

コマンドライン引数

現在、このフィールドはリソースタイプに対応する特定のエージェントバージョンに制限されています。

  • GuardDuty セキュリティエージェント v1.0.0 以降の Fargate (Amazon ECS のみ)。

  • GuardDuty セキュリティエージェント v1.0.0 以降の Amazon EC2 インスタンス。

  • セキュリティエージェント v1.4.0 以降の Amazon EKS クラスター。

詳細については、「GuardDuty セキュリティエージェントのリリースバージョン」を参照してください。

プロセスの実行時に提供されるコマンドライン引数。このフィールドには機密の顧客データが含まれている可能性があります。

コンテナイベント

コンテナイベントは、コンテナワークロードのアクティビティに関連する情報を表します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するコンテナワークロードイベントのフィールド名と説明を示します。

フィールド名 説明

コンテナ名

コンテナの名前。

使用可能な場合、このフィールドには io.kubenetes.container.name ラベルの値が表示されます。

コンテナ UID

コンテナランタイムによって割り当てられたコンテナの固有の ID。

コンテナランタイム

コンテナの実行に使用されたコンテナランタイム (docker または containerd など)。

コンテナイメージ ID

コンテナのイメージの ID。

コンテナイメージ名

コンテナイメージの名前。

AWS Fargate (Amazon ECS のみ) のタスクイベント

Fargate-Amazon ECS タスクイベントは、Fargate コンピューティングで実行されている Amazon ECS タスクに関連付けられたアクティビティを表します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する Amazon ECS-Fargate タスクイベントのフィールド名と説明を示します。

フィールド名 説明

タスク Amazon リソースネーム (ARN)

タスクの ARN。

[クラスター名]

Amazon ECS クラスターの名前。

[Family Name] (姓)

タスク定義のファミリー名。family は、タスクを起動するために使用されるタスク定義の名前として使用されます。

サービス名

タスクがサービスの一部として起動された場合の Amazon ECS サービスの名前。

起動タイプ

タスクが実行されるインフラストラクチャ。ECSCluster のリソースタイプの Runtime Monitoring では、起動タイプは EC2 または FARGATE のどちらかになります。

CPU

タスク定義に示されている、タスクで使用される CPU ユニットの数。

Kubernetes ポッドイベント

次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する Kubernetes ポッドイベントのフィールド名と説明を示します。

フィールド名 説明

ポッド ID

Kubernetes ポッドの ID。

ポッド名

Kubernetes ポッドの名前。

ポッド名前空間

Kubernetes ワークロードが属する Kubernetes 名前空間の名前。

Kubernetes クラスター名

Kubernetes クラスターの名前。

ドメインネームシステム (DNS) イベント

ドメインネームシステム (DNS) イベントには、リソースタイプと対応するレスポンスによって行われた DNS クエリの詳細が含まれます。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する DNS イベントの名前と説明を示します。

フィールド名 説明

ソケットタイプ

通信セマンティクスを示すソケットのタイプ。例えば、SOCK_RAW と指定します。

アドレスファミリー

アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー AF_INET は IP v4 プロトコルに使用されます。

方向 ID

接続方向の ID。

プロトコル番号

レイヤー 4 プロトコル番号。例えば UDP の場合は 17、TCP の場合は 6 です。

DNS リモートエンドポイント IP

接続のリモート IP。

DNS リモートエンドポイントポート

接続のポート番号。

DNS ローカルエンドポイント IP

接続のローカル IP。

DNS ローカルエンドポイントポート

接続のポート番号。

DNS ペイロード

DNS クエリと応答を含む DNS パケットのペイロード。

オープンイベント

オープンイベントは、ファイルアクセスと変更に関連付けられます。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するオープンイベントの名前と説明を示します。

フィールド名 説明

Filepath

このイベントで開かれるファイルのパス。

Flags

読み込み専用、書き込み専用、読み込み/書き込みなどのファイルアクセスモードについて説明します。

ロードモジュールのイベント

次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するロードモジュールイベントの名前と説明を示します。

フィールド名 説明

モジュール名

カーネルにロードされたモジュールの名前。

モプロテクトイベント

Mprotect イベントは、モニタリング対象のシステムで実行されているプロセスのメモリ保護設定の変更に関する情報を提供します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する Mprotect イベントの名前と説明を示します。

フィールド名 説明

アドレス範囲

アクセス保護が変更されたアドレス範囲。

メモリ領域

スタックやヒープなど、プロセスのアドレス空間のリージョンを指定します。

Flags

このイベントの動作をコントロールするオプションを示します。

マウントイベント

マウントイベントは、モニタリング対象のリソースでのファイルシステムのマウントとアンマウントに関連する情報を提供します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するマウントイベントの名前と説明を示します。

フィールド名 説明

マウントターゲット

マウントソースがマウントされているパス。

マウントソース

マウントターゲットにマウントされているホスト上のパス。

ファイルシステムタイプ

マウントされているファイルシステムのタイプを示します。

Flags

このイベントの動作をコントロールするオプションを示します。

リンクイベントは、モニタリング対象のリソース内のファイルシステムリンク管理アクティビティを可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するリンクイベントのフィールド名と説明を示します。

フィールド名 説明

リンクパス

ハードリンクが作成されるパス。

ターゲットパス

ハードリンクが指すファイルのパス。

Symlink イベントは、モニタリング対象のリソース内のファイルシステムのシンボリックリンク管理アクティビティを可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するシンボリックリンクイベントの名前と説明を示します。

フィールド名 説明

リンクパス

Symlink リンクが作成されるパス。

ターゲットパス

Symlink リンクが指すファイルのパス。

Dup イベント

Dup イベントは、モニタリング対象のリソースで実行されているプロセスによるファイル記述子の重複を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する dup イベントの名前と説明を示します。

フィールド名

説明

古いファイルディスクリプタ

開いているファイルオブジェクトを表すファイル記述子。

新規ファイルディスクリプタ

古いファイル記述子の複製である新しいファイル記述子。古いファイル記述子と新しいファイル記述子はどちらも同じ開いているファイルオブジェクトを示します。

Dup リモートエンドポイント IP

古いファイル記述子で表されるネットワークソケットのリモート IP アドレス。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。

Dup リモートエンドポイントポート

古いファイル記述子で表されるネットワークソケットのリモートポート。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。

Dup ローカルエンドポイント IP

古いファイルディスクリプタで表されるネットワークソケットのローカル IP アドレス。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。

Dup ローカルエンドポイントポート

古いファイル記述子で表されるネットワークソケットのローカルポート。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。

メモリマッピングイベント

次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するメモリマップイベントの名前と説明を示します。

フィールド名 説明

Filepath

メモリがマッピングされているファイルのパス。

ソケットイベント

ソケットイベントは、モニタリング対象のリソースのアクティビティで使用されるネットワークソケット接続に関する情報を提供します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するソケットイベントのフィールド名と説明を示します。

フィールド名 説明

アドレスファミリー

アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー AF_INET は IP バージョンの 4 プロトコルに使用されます。

ソケットタイプ

通信セマンティクスを示すソケットのタイプ。例えば、SOCK_RAW と指定します。

プロトコル番号

アドレスファミリー内の特定のプロトコルを指定します。通常、アドレスファミリーには単一のプロトコルがあります。例えば、アドレスファミリー AF_INET には IP プロトコルしかありません。

イベントを接続

接続イベントは、モニタリング対象のリソース上のプロセスによって確立されたネットワーク接続を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する接続イベントの名前と説明を示します。

フィールド名 説明

アドレスファミリー

アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー AF_INET は IP v4 プロトコルに使用されます。

ソケットタイプ

通信セマンティクスを示すソケットのタイプ。例えば、SOCK_RAW と指定します。

プロトコル番号

アドレスファミリー内の特定のプロトコルを指定します。通常、アドレスファミリーには単一のプロトコルがあります。例えば、アドレスファミリー AF_INET には IP プロトコルしかありません。

Filepath

アドレスファミリーが AF_UNIX の場合のソケットファイルのパス。

リモートエンドポイント IP

接続のリモート IP。

リモートエンドポイントポート

接続のポート番号。

ローカルエンドポイント IP

接続のローカル IP。

ローカルエンドポイントポート

接続のポート番号。

VM Readv イベントの処理

プロセス VM readv イベントは、プロセスによって独自の仮想メモリ領域で実行される読み取り操作を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するプロセス VM readv イベントのフィールド名と説明を示します。

フィールド名 説明

Flags

このイベントの動作をコントロールするオプションを示します。

ターゲット PID

メモリを読み込んでいるプロセスのプロセス ID。

ターゲットプロセスの UUID

ターゲットプロセスの一意の ID。

ターゲットの実行可能ファイルのパス

ターゲットプロセスの実行可能ファイルの絶対パス。

VM Writev イベントの処理

プロセス VM writev イベントは、プロセスによって独自の仮想メモリ領域で実行される書き込み操作を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するプロセス VM writev イベントのフィールド名と説明を示します。

フィールド名 説明

Flags

このイベントの動作をコントロールするオプションを示します。

ターゲット PID

メモリが書き込まれているプロセスのプロセス ID。

ターゲットプロセスの UUID

ターゲットプロセスの一意の ID。

ターゲットの実行可能ファイルのパス

ターゲットプロセスの実行可能ファイルの絶対パス。

プロセストレース (Ptrace) イベント

プロセストレース (Ptrace) システムコールは、あるプロセス (トレーサー) が別のプロセス (トレース) の実行を監視および制御できるようにするデバッグおよびトレースメカニズムです。これにより、トレーサーはターゲットプロセスのメモリ、レジスタ、実行フローを検査および変更できます。

Ptrace イベントは、モニタリング対象のリソースで実行されているプロセスによる ptrace システムコールの使用を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する ptrace イベントのフィールド名と説明を示します。

フィールド名 説明

ターゲット PID

ターゲットプロセスのプロセス ID。

ターゲットプロセスの UUID

ターゲットプロセスの一意の ID。

ターゲットの実行可能ファイルのパス

ターゲットプロセスの実行可能ファイルの絶対パス。

Flags

このイベントの動作をコントロールするオプションを示します。

バインドイベント

バインドイベントは、モニタリング対象のリソースで実行されているプロセスによるネットワークソケットのバインドを可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するバインドイベントの名前と説明を示します。

フィールド名 説明

アドレスファミリー

アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー AF_INET は IP v4 プロトコルに使用されます。

ソケットタイプ

通信セマンティクスを示すソケットのタイプ。例えば、SOCK_RAW と指定します。

プロトコル番号

レイヤー 4 プロトコル番号。例えば UDP の場合は 17、TCP の場合は 6 です。

ローカルエンドポイント IP

接続のローカル IP。

ローカルエンドポイントポート

接続のポート番号。

リッスンイベント

リッスンイベントは、ネットワークソケットのリッスン状態を可視化し、ネットワークソケットが受信接続を受け入れる準備ができているかどうかを示します。モニタリング対象のリソースで実行されるプロセスは、ネットワークソケットをリッスン状態に設定します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するリスンイベントのフィールド名と説明を示します。

フィールド名 説明

アドレスファミリー

アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー AF_INET は IP v4 プロトコルに使用されます。

ソケットタイプ

通信セマンティクスを示すソケットのタイプ。例えば、SOCK_RAW と指定します。

プロトコル番号

レイヤー 4 プロトコル番号。例えば UDP の場合は 17、TCP の場合は 6 です。

ローカルエンドポイント IP

接続のローカル IP。

ローカルエンドポイントポート

接続のポート番号。

名前変更イベント

名前変更イベントは、モニタリング対象のリソースで実行されているプロセスによるファイルとディレクトリの名前変更に関する情報を提供します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する名前変更イベントの名前と説明を示します。

フィールド名 説明

Filepath

名前が変更されたファイルがあるパス。

Target

ファイルの新しいパス。

ユーザー ID (UID) 設定イベント

ユーザー ID (UID) 設定イベントは、モニタリング対象のリソースで実行中のプロセスに関連付けられたユーザー ID (UID) に加えられた変更を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する UID 設定イベントの名前と説明を示します。

フィールド名 説明

新しい EUID

プロセスの新しい実効ユーザー ID。

新しい UID

プロセスの新しいユーザー ID。

Chmod イベント

Chmod イベントは、モニタリング対象のリソース上のファイルとディレクトリのアクセス許可 (モード) の変更を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する chmod イベントの名前と説明を示します。

フィールド名 説明

Filepath

このイベントを呼び出すファイルのパス。

Filemode

関連付けられたファイルの更新されたアクセス許可。