翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
との統合 AWS Security Hub
AWS Security Hub では、 AWS のセキュリティ状態を総合的に把握することができ、セキュリティ業界標準およびベストプラクティスに照らし合わせて環境をチェックすることができます。Security Hub は、 AWS アカウント、サービス、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集し、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。
Amazon GuardDuty と Security Hub との統合により、GuardDuty から Security Hub に検出結果の送信が可能になります。Security Hub では、このような検出結果をセキュリティ体制の分析に含めることができます。
目次
Amazon GuardDuty が検出結果を に送信する方法 AWS Security Hub
では AWS Security Hub、セキュリティの問題は検出結果として追跡されます。一部の検出結果は、他の AWS サービスまたはサードパーティーパートナーによって検出された問題から発生します。Security Hub には、セキュリティの問題を検出し、検出結果を生成するために使用する一連のルールもあります。
Security Hub には、これらすべてのソースからの結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。詳細については、AWS Security Hub ユーザーガイドの「検出結果の表示」を参照してください。検出結果の調査状況を追跡することもできます 詳細については、AWS Security Hub ユーザーガイドの「検出結果に対するアクションの実行」を参照してください。
Security Hub のすべての検出結果は、 AWS Security Finding 形式 (ASFF) と呼ばれる標準 JSON 形式を使用します。ASFF には、問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。 AWS ユーザーガイド の「AWS Security Hub Security Finding 形式 (ASFF)」を参照してください 。
Amazon GuardDuty は、Security Hub に結果を送信する AWS サービスの 1 つです。
GuardDuty が Security Hub に送信する検出結果の種類
同じアカウント内で同じアカウントで GuardDuty と Security Hub を有効にすると AWS リージョン、GuardDuty は生成されたすべての検出結果を Security Hub に送信し始めます。これらの検出結果は、AWS
Security Finding Format (ASFF) を使用して Security Hub に送信されます。ASFF では、Types フィールドが検出結果タイプを提供します。
新しい検出結果が送信されるまでのレイテンシー
GuardDuty が新しい検出結果を作成すると、通常は 5 分以内に Security Hub へ送信されます。
Security Hub が使用できないときに再試行する
Security Hub が使用できない場合、GuardDuty は検出結果が受信されるまでその検出結果を再送信し続けます。
Security Hub の既存の検出結果を更新する
検出結果を Security Hub に送信した後、GuardDuty は検出結果アクティビティの追加の観測を反映するために、更新を送信します。こうした検出結果が新たに観測されると、その観測結果が AWS アカウントの「ステップ 5 – 検出結果をエクスポートする頻度」での設定に基づいて Security Hub に送信されます。
検出結果をアーカイブまたはアーカイブ解除したときに、その検出結果が Security Hub に送信されることはありません。手動でアーカイブ解除した検出結果を後に GuardDuty でアクティブにしても、その検出結果は Security Hub に送信されません。
での GuardDuty の検出結果の表示 AWS Security Hub
にサインイン AWS Management Console し、https://console.aws.amazon.com/securityhub/
次のいずれかの方法を使用して、Security Hub コンソールで GuardDuty の検出結果を表示できるようになりました。
- オプション 1: Security Hub での統合の使用
-
左側のナビゲーションペインで、統合を選択します。
-
統合ページで、Amazon のステータス: GuardDuty を確認します。 GuardDuty
-
Status が Accepting findings の場合は、Accepting findings の横にある「See findings」を選択します。
-
そうでない場合は、 統合の仕組みの詳細については、AWS Security Hub 「 ユーザーガイド」の「Security Hub 統合」を参照してください。
-
- オプション 2: Security Hub での結果の使用
-
左のナビゲーションペインで [検出結果] を選択します。
-
検出結果ページで、フィルター製品名を追加し、 と入力
GuardDutyして GuardDuty の検出結果のみを表示します。
での GuardDuty の検出結果名の解釈 AWS Security Hub
GuardDuty は、AWS
Security Finding Format (ASFF) を使用して検出結果を Security Hub に送信します。ASFF では、Types フィールドが検出結果タイプを提供します。ASFF タイプは、GuardDuty のタイプとは異なる命名規則を使用します。Security Hub に表示されるので、次の表では、それらの ASFF counterpart と共にすべての GuardDuty の検出結果タイプの詳細が示されます。
注記
いくつかの GuardDuty の検出結果タイプのために、Security Hub は、[Resource Role] (リソースロール) が [ACTOR] か [TARGET] によって、異なった ASFF 検出結果名を割り当てます。詳細については、「検出結果の詳細」を参照してください。
|
GuardDuty の検出結果タイプ |
ASFF 検出結果タイプ |
|---|---|
|
TTPs/AttackSequence:IAM/CompromisedCredentials |
|
|
TTPs/AttackSequence:S3/CompromisedData |
|
|
TTPs/Command and Control/Backdoor:EC2-C&CActivity.B |
|
|
TTPs/Command and Control/Backdoor:EC2-C&CActivity.B!DNS |
|
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Dns |
|
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Tcp |
|
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Udp |
|
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.UdpOnTcpPorts |
|
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.UnusualProtocol |
|
|
TTPs/Command and Control/Backdoor:EC2-Spambot |
|
|
Unusual Behaviors/VM/Behavior:EC2-NetworkPortUnusual |
|
|
Unusual Behaviors/VM/Behavior:EC2-TrafficVolumeUnusual |
|
|
TTPs/Command and Control/Backdoor:Lambda-C&CActivity.B |
|
|
TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B |
|
|
TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B!DNS |
|
|
TTPs/Credential Access/IAMUser-AnomalousBehavior |
|
|
CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed |
TTPs/AnomalousBehavior/CredentialAccess:Kubernetes-SecretsAccessed |
| CredentialAccess:Kubernetes/MaliciousIPCaller |
TTPs/CredentialAccess/CredentialAccess:Kubernetes-MaliciousIPCaller |
| CredentialAccess:Kubernetes/MaliciousIPCaller.Custom |
TTPs/CredentialAccess/CredentialAccess:Kubernetes-MaliciousIPCaller.Custom |
| CredentialAccess:Kubernetes/SuccessfulAnonymousAccess |
TTPs/CredentialAccess/CredentialAccess:Kubernetes-SuccessfulAnonymousAccess |
| CredentialAccess:Kubernetes/TorIPCaller |
TTPs/CredentialAccess/CredentialAccess:Kubernetes-TorIPCaller |
|
TTPs/Credential Access/CredentialAccess:RDS-AnomalousBehavior.FailedLogin |
|
|
TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulBruteForce |
|
|
TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulLogin |
|
|
TTPs/Credential Access/RDS-MaliciousIPCaller.FailedLogin |
|
|
TTPs/Credential Access/RDS-MaliciousIPCaller.SuccessfulLogin |
|
|
TTPs/Credential Access/RDS-TorIPCaller.FailedLogin |
|
|
TTPs/Credential Access/RDS-TorIPCaller.SuccessfulLogin |
|
|
TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B |
|
|
TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B!DNS |
|
|
TTPs/Command and Control/CryptoCurrency:Lambda-BitcoinTool.B Effects/Resource Consumption/CryptoCurrency:Lambda-BitcoinTool.B |
|
|
TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B |
|
|
TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B!DNS |
|
|
TTPs/DefenseEvasion/EC2:Unusual-DNS-Resolver |
|
|
TTPs/DefenseEvasion/EC2:Unusual-DoH-Activity |
|
|
TTPs/DefenseEvasion/EC2:Unusual-DoT-Activity |
|
|
TTPs/Defense Evasion/IAMUser-AnomalousBehavior |
|
|
TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-MaliciousIPCaller |
|
|
TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-MaliciousIPCaller.Custom |
|
|
TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-SuccessfulAnonymousAccess |
|
|
TTPs/DefenseEvasion/DefenseEvasion:Kubernetes-TorIPCaller |
|
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-FilelessExecution |
|
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.Proc |
|
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.Ptrace |
|
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-ProcessInjection.VirtualMemoryWrite |
|
|
TTPs/DefenseEvasion/DefenseEvasion:Runtime-PtraceAntiDebugging |
|
|
TTPs/DefenseEvasion/DefenseEvasion:Runtime-SuspiciousCommand |
|
|
TTPs/Discovery/IAMUser-AnomalousBehavior |
|
|
TTPs/AnomalousBehavior/Discovery:Kubernetes-PermissionChecked |
|
|
TTPs/Discovery/Discovery:Kubernetes-MaliciousIPCaller |
|
|
TTPs/Discovery/Discovery:Kubernetes-MaliciousIPCaller.Custom |
|
|
TTPs/Discovery/Discovery:Kubernetes-SuccessfulAnonymousAccess |
|
|
TTPs/Discovery/Discovery:Kubernetes-TorIPCaller |
|
|
TTPs/Discovery/RDS-MaliciousIPCaller |
|
|
TTPs/Discovery/RDS-TorIPCaller |
|
|
TTPs/Discovery/Discovery:Runtime-SuspiciousCommand |
|
|
TTPs/Discovery:S3-AnomalousBehavior |
|
|
TTPs/Discovery:S3-BucketEnumeration.Unusual |
|
|
TTPs/Discovery:S3-MaliciousIPCaller.Custom |
|
|
TTPs/Discovery:S3-TorIPCaller |
|
|
TTPs/Discovery:S3-MaliciousIPCaller |
|
| Exfiltration:IAMUser/AnomalousBehavior |
TTPs/Exfiltration/IAMUser-AnomalousBehavior |
| Execution:Kubernetes/ExecInKubeSystemPod |
TTPs/Execution/Execution:Kubernetes-ExecInKubeSystemPod |
|
TTPs/AnomalousBehavior/Execution:Kubernetes-ExecInPod |
|
|
TTPs/AnomalousBehavior/Execution:Kubernetes-WorkloadDeployed |
|
|
TTPs/Impact/Impact:Kubernetes-MaliciousIPCaller |
|
|
TTPs/Impact/Impact:Kubernetes-MaliciousIPCaller.Custom |
|
|
TTPs/Impact/Impact:Kubernetes-SuccessfulAnonymousAccess |
|
|
TTPs/Impact/Impact:Kubernetes-TorIPCaller |
|
TTPs/Persistence/Persistence:Kubernetes-ContainerWithSensitiveMount |
|
|
Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount |
TTPs/AnomalousBehavior/Persistence:Kubernetes-WorkloadDeployed!ContainerWithSensitiveMount |
PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer |
TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-WorkloadDeployed!PrivilegedContainer |
|
TTPs/Persistence/Persistence:Kubernetes-MaliciousIPCaller |
|
|
TTPs/Persistence/Persistence:Kubernetes-MaliciousIPCaller.Custom |
|
|
TTPs/Persistence/Persistence:Kubernetes-SuccessfulAnonymousAccess |
|
|
TTPs/Persistence/Persistence:Kubernetes-TorIPCaller |
|
|
TTPs/Execution/Execution:EC2-MaliciousFile |
|
|
TTPs/Execution/Execution:ECS-MaliciousFile |
|
|
TTPs/Execution/Execution:Kubernetes-MaliciousFile |
|
|
TTPs/Execution/Execution:Container-MaliciousFile |
|
|
TTPs/Execution/Execution:EC2-SuspiciousFile |
|
|
TTPs/Execution/Execution:ECS-SuspiciousFile |
|
|
TTPs/Execution/Execution:Kubernetes-SuspiciousFile |
|
|
TTPs/Execution/Execution:Container-SuspiciousFile |
|
|
TTPs/Execution/Execution:Runtime-MaliciousFileExecuted |
|
|
TTPs/Execution/Execution:Runtime-NewBinaryExecuted |
|
|
TTPs/Execution/Execution:Runtime-NewLibraryLoaded |
|
|
TTPs/Execution/Execution:Runtime-ReverseShell |
|
|
TTPs/Execution/Execution:Runtime-SuspiciousCommand |
|
|
TTPs/Execution/Execution:Runtime-SuspiciousShellCreated |
|
|
TTPs/Execution/Execution:Runtime-SuspiciousTool |
|
|
TTPs/Exfiltration:S3-AnomalousBehavior |
|
|
TTPs/Exfiltration:S3-ObjectRead.Unusual |
|
|
TTPs/Exfiltration:S3-MaliciousIPCaller |
|
|
TTPs/Impact:EC2-AbusedDomainRequest.Reputation |
|
|
TTPs/Impact:EC2-BitcoinDomainRequest.Reputation |
|
|
TTPs/Impact:EC2-MaliciousDomainRequest.Reputation |
|
|
TTPs/Impact/Impact:EC2-PortSweep |
|
|
TTPs/Impact:EC2-SuspiciousDomainRequest.Reputation |
|
|
TTPs/Impact/Impact:EC2-WinRMBruteForce |
|
|
TTPs/Impact/IAMUser-AnomalousBehavior |
|
|
TTPs/Impact/Impact:Runtime-AbusedDomainRequest.Reputation |
|
|
TTPs/Impact/Impact:Runtime-BitcoinDomainRequest.Reputation |
|
|
TTPs/Impact/Impact:Runtime-CryptoMinerExecuted |
|
|
TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation |
|
|
TTPs/Impact/Impact:Runtime-SuspiciousDomainRequest.Reputatio |
|
|
TTPs/Impact:S3-AnomalousBehavior.Delete |
|
|
TTPs/Impact:S3-AnomalousBehavior.Permission |
|
|
TTPs/Impact:S3-AnomalousBehavior.Write |
|
|
TTPs/Impact:S3-ObjectDelete.Unusual |
|
|
TTPs/Impact:S3-PermissionsModification.Unusual |
|
|
TTPs/Impact:S3-MaliciousIPCaller |
|
|
TTPs/Initial Access/IAMUser-AnomalousBehavior |
|
|
TTPs/Object/Object:S3-MaliciousFile |
|
|
TTPs/PenTest:IAMUser/KaliLinux |
|
|
TTPs/PenTest:IAMUser/ParrotLinux |
|
|
TTPs/PenTest:IAMUser/PentooLinux |
|
|
TTPs/PenTest:S3-KaliLinux |
|
|
TTPs/PenTest:S3-ParrotLinux |
|
|
TTPs/PenTest:S3-PentooLinux |
|
| TTPs/Persistence/IAMUser-AnomalousBehavior | |
|
TTPs/Persistence/Persistence:IAMUser-NetworkPermissions |
|
|
TTPs/Persistence/Persistence:IAMUser-ResourcePermissions |
|
|
TTPs/Persistence/Persistence:IAMUser-UserPermissions |
|
|
TTPs/Persistence/Persistence:Runtime-SuspiciousCommand |
|
|
TTPs/Policy:IAMUser-RootCredentialUsage |
|
|
TTPs/Policy:IAMUser-ShortTermRootCredentialUsage |
|
|
Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-AdminAccessToDefaultServiceAccount |
|
|
Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-AnonymousAccessGranted |
|
|
Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-ExposedDashboard |
|
|
Software and Configuration Checks/AWS Security Best Practices/Policy:Kubernetes-KubeflowDashboardExposed |
|
|
TTPs/Policy:S3-AccountBlockPublicAccessDisabled |
|
|
TTPs/Policy:S3-BucketAnonymousAccessGranted |
|
|
Effects/Data Exposure/Policy:S3-BucketBlockPublicAccessDisabled |
|
|
TTPs/Policy:S3-BucketPublicAccessGranted |
|
| TTPs/Privilege Escalation/IAMUser-AnomalousBehavior | |
|
TTPs/Privilege Escalation/PrivilegeEscalation:IAMUser-AdministrativePermissions |
|
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated |
TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-RoleBindingCreated |
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated |
TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-RoleCreated |
|
TTPs/PrivilegeEscalation/PrivilegeEscalation:Kubernetes-PrivilegedContainer |
|
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ContainerMountsHostDirectory |
|
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-CGroupsReleaseAgentModified |
|
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-DockerSocketAccessed |
|
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ElevationToRoot |
|
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-RuncContainerEscape |
|
|
Software and Configuration Checks/PrivilegeEscalation:Runtime-SuspiciousCommand |
|
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-UserfaultfdUsage |
|
|
TTPs/Discovery/Recon:EC2-PortProbeEMRUnprotectedPort |
|
|
TTPs/Discovery/Recon:EC2-PortProbeUnprotectedPort |
|
|
TTPs/Discovery/Recon:EC2-Portscan |
|
|
TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller |
|
|
TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller.Custom |
|
|
TTPs/Discovery/Recon:IAMUser-NetworkPermissions |
|
|
TTPs/Discovery/Recon:IAMUser-ResourcePermissions |
|
|
TTPs/Discovery/Recon:IAMUser-TorIPCaller |
|
|
TTPs/Discovery/Recon:IAMUser-UserPermissions |
|
|
Unusual Behaviors/User/ResourceConsumption:IAMUser-ComputeResources |
|
|
TTPs/Defense Evasion/Stealth:IAMUser-CloudTrailLoggingDisabled |
|
|
TTPs/Defense Evasion/Stealth:IAMUser-LoggingConfigurationModified |
|
|
TTPs/Defense Evasion/Stealth:IAMUser-PasswordPolicyChange |
|
|
TTPs/Defense Evasion/Stealth:S3-ServerAccessLoggingDisabled |
|
|
TTPs/Command and Control/Trojan:EC2-BlackholeTraffic |
|
|
TTPs/Command and Control/Trojan:EC2-BlackholeTraffic!DNS |
|
|
TTPs/Command and Control/Trojan:EC2-DGADomainRequest.B |
|
|
TTPs/Command and Control/Trojan:EC2-DGADomainRequest.C!DNS |
|
|
TTPs/Command and Control/Trojan:EC2-DNSDataExfiltration |
|
|
TTPs/Initial Access/Trojan:EC2-DriveBySourceTraffic!DNS |
|
|
Effects/Data Exfiltration/Trojan:EC2-DropPoint |
|
|
Effects/Data Exfiltration/Trojan:EC2-DropPoint!DNS |
|
|
TTPs/Command and Control/Trojan:EC2-PhishingDomainRequest!DNS |
|
|
TTPs/Command and Control/Trojan:Lambda-BlackholeTraffic |
|
|
Effects/Data Exfiltration/Trojan:Lambda-DropPoint |
|
|
TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic |
|
|
TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic!DNS |
|
|
TTPs/Command and Control/Trojan:Runtime-DGADomainRequest.C!DNS |
|
|
TTPs/Initial Access/Trojan:Runtime-DriveBySourceTraffic!DNS |
|
|
Effects/Data Exfiltration/Trojan:Runtime-DropPoint |
|
|
Effects/Data Exfiltration/Trojan:Runtime-DropPoint!DNS |
|
|
TTPs/Command and Control/Trojan:Runtime-PhishingDomainRequest!DNS |
|
|
TTPs/Command and Control/UnauthorizedAccess:EC2-MaliciousIPCaller.Custom |
|
|
TTPs/UnauthorizedAccess:EC2-MetadataDNSRebind |
|
|
TTPs/Initial Access/UnauthorizedAccess:EC2-RDPBruteForce |
|
|
TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce |
|
|
Effects/Resource Consumption/UnauthorizedAccess:EC2-TorClient |
|
|
Effects/Resource Consumption/UnauthorizedAccess:EC2-TorRelay |
|
|
Unusual Behaviors/User/UnauthorizedAccess:IAMUser-ConsoleLogin |
|
|
TTPs/UnauthorizedAccess:IAMUser-ConsoleLoginSuccess.B |
|
|
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS |
Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.InsideAWS |
|
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS |
Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.OutsideAWS |
|
TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller |
|
|
TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller.Custom |
|
|
TTPs/Command and Control/UnauthorizedAccess:IAMUser-TorIPCaller |
|
|
TTPs/Command and Control/UnauthorizedAccess:Lambda-MaliciousIPCaller.Custom |
|
|
Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorClient |
|
|
Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorRelay |
|
|
TTPs/UnauthorizedAccess:Runtime-MetadataDNSRebind |
|
|
Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorRelay |
|
|
Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorClient |
|
|
TTPs/UnauthorizedAccess:S3-MaliciousIPCaller.Custom |
|
|
TTPs/UnauthorizedAccess:S3-TorIPCaller |
GuardDuty からの一般的な検出結果
GuardDuty は、AWS Security Finding Format (ASFF) を使って、検出結果を Security Hub に送信します。
次に、GuardDuty からの一般的な検出結果の例を示します。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "ProductArn": "arn:aws:securityhub:us-east-1:product/aws/guardduty", "GeneratorId": "arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64", "AwsAccountId": "193043430472", "Types": [ "TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce" ], "FirstObservedAt": "2020-08-22T09:15:57Z", "LastObservedAt": "2020-09-30T11:56:49Z", "CreatedAt": "2020-08-22T09:34:34.146Z", "UpdatedAt": "2020-09-30T12:14:00.206Z", "Severity": { "Product": 2, "Label": "MEDIUM", "Normalized": 40 }, "Title": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356.", "Description": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356. Brute force attacks are used to gain unauthorized access to your instance by guessing the SSH password.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/guardduty/home?region=us-east-1#/findings?macros=current&fId=46ba0ac2845071e23ccdeb2ae03bfdea", "ProductFields": { "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/portName": "Unknown", "aws/guardduty/service/archived": "false", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asnOrg": "CENTURYLINK-US-LEGACY-QWEST", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lat": "42.5122", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "199.241.229.197", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lon": "-90.7384", "aws/guardduty/service/action/networkConnectionAction/blocked": "false", "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/port": "46717", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/country/countryName": "United States", "aws/guardduty/service/serviceName": "guardduty", "aws/guardduty/service/evidence": "", "aws/guardduty/service/action/networkConnectionAction/localIpDetails/ipAddressV4": "172.31.43.6", "aws/guardduty/service/detectorId": "d4b040365221be2b54a6264dc9a4bc64", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/org": "CenturyLink", "aws/guardduty/service/action/networkConnectionAction/connectionDirection": "INBOUND", "aws/guardduty/service/eventFirstSeen": "2020-08-22T09:15:57Z", "aws/guardduty/service/eventLastSeen": "2020-09-30T11:56:49Z", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/portName": "SSH", "aws/guardduty/service/action/actionType": "NETWORK_CONNECTION", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/city/cityName": "Dubuque", "aws/guardduty/service/additionalInfo": "", "aws/guardduty/service/resourceRole": "TARGET", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/port": "22", "aws/guardduty/service/action/networkConnectionAction/protocol": "TCP", "aws/guardduty/service/count": "74", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asn": "209", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/isp": "CenturyLink", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/guardduty/arn:aws:guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "aws/securityhub/ProductName": "GuardDuty", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "18.234.130.16", "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475", "LaunchedAt": "2020-08-03T23:21:57Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }
統合の有効化と構成
との統合を使用するには AWS Security Hub、Security Hub を有効にする必要があります。Security Hub を有効にする方法については、「AWS Security Hub ユーザーガイド」の「Setting up Security Hub」(Security Hub の設定) を参照してください。
GuardDuty と Security Hub の両方を有効にすると、統合は自動的に有効になります。GuardDuty は、直ちに検出結果を Security Hub に送信し始めます。
Security Hub における GuardDuty コントロールの使用
AWS Security Hub は、セキュリティコントロールを使用して AWS リソースを評価し、セキュリティ業界標準とベストプラクティスに照らしてコンプライアンスをチェックします。GuardDuty リソースおよび選択されている保護プランに関連するコントロールを使用できます。詳細については、「AWS Security Hub ユーザーガイド」の「Amazon GuardDuty のコントロール」を参照してください。
AWS サービスおよびリソース全体のすべてのコントロールのリストについては、「 AWS Security Hub ユーザーガイド」の「Security Hub コントロールリファレンス」を参照してください。
結果の Security Hub への公開の停止
Security Hub への結果の送信を停止するには、Security Hub コンソールまたは API を使用できます。
「 ユーザーガイド」の「統合からの検出結果フローの無効化と有効化 (コンソール)」または「統合からの検出結果フローの無効化 (Security Hub API、 AWS CLI)」を参照してください。 AWS Security Hub
