翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon GuardDuty は、 AWS 環境内の AWS データソースとログを継続的にモニタリング、分析、処理する脅威検出サービスです。GuardDuty は、悪意のある IP アドレスとドメインのリスト、ファイルハッシュ、機械学習 (ML) モデルなどの脅威インテリジェンスフィードを使用して、 AWS 環境内の疑わしいアクティビティや悪意のある可能性のあるアクティビティを特定します。次に、GuardDuty で検出可能な脅威シナリオの概要を示します。
-
AWS 認証情報の侵害と漏洩。
-
データを引き出し破棄することでランサムウェアイベントを引き起こす。サポートされている Amazon Aurora および Amazon RDS データベースのエンジンバージョンで、異常な動作を示すログインイベントの異常なパターン。
-
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとコンテナワークロードに不正なクリプトマイニングアクティビティが見られる。
-
Amazon EC2 インスタンスとコンテナワークロードにマルウェアが存在し、Amazon Simple Storage Service (Amazon S3) バケットにファイルが新規にアップロードされる。
-
オペレーティングシステムレベルイベント、ネットワークイベント、ファイルイベントにより、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター、Amazon Elastic Container Service (Amazon ECS)、 AWS Fargate タスク、Amazon EC2 インスタンス、コンテナワークロードでの不正な動作が示唆される。
次の動画では、GuardDuty で AWS 環境内の脅威をどのように検出できるのかを簡単に説明しています。
GuardDuty の機能
Amazon GuardDuty が AWS 環境内の潜在的な脅威のモニタリング、検出、管理に役立つ主な方法をいくつか紹介します。
- 特定のデータソースとイベントログを継続してモニタリングする
-
-
基本的な脅威の検出 – で GuardDuty を有効にすると AWS アカウント、GuardDuty はそのアカウントに関連付けられた基本的なデータソースの取り込みを自動的に開始します。こうしたデータソースには、 AWS CloudTrail 管理イベント、VPC フローログ (Amazon EC2 インスタンスから生成)、DNS ログなどがあります。GuardDuty がこれらのデータソースの分析と処理を開始して関連付けられたセキュリティ検出結果を生成するのに、他のものを有効にする必要はありません。詳細については、「GuardDuty 基本データソース」を参照してください。
-
拡張脅威検出 – この機能は、 内の基本的なデータソース、複数のタイプの AWS リソース、および時間にわたるマルチステージ攻撃を検出します AWS アカウント。アカウントには複数のイベントがあり、個別には明確な脅威として表示されない場合があります。ただし、これらのイベントが疑わしいアクティビティを示すシーケンスで観察された場合、GuardDuty はそれを攻撃シーケンスとして識別します。GuardDuty は、関連付けられた攻撃シーケンス検出結果タイプを生成して通知し、観測された攻撃シーケンスに関する詳細を提供します。
追加コストがかからなくても、GuardDuty を有効にする AWS アカウント と、拡張脅威検出は ごとに自動的に有効になります。この機能では、ユースケースに重点を置いた保護プランを有効にする必要はありません。ただし、Amazon S3 リソースに対するセキュリティの幅を広げるために、GuardDuty ではアカウントで S3 Protection を有効にすることをお勧めします。これにより、拡張脅威検出は、Amazon S3 リソースに影響を与える可能性のあるマルチステージ攻撃を特定するのに役立ちます。
この機能の仕組みと対象となる脅威シナリオの詳細については、「」を参照してくださいGuardDuty 拡張脅威検出。
-
ユースケースに重点を置いた GuardDuty 保護プラン – AWS 環境のセキュリティに対する脅威検出の可視性を高めるために、GuardDuty は有効にできる専用の保護プランを提供しています。保護プランは、他の AWS サービスのログとイベントをモニタリングするのに役立ちます。こうしたソースには、EKS 監査ログ、RDS ログインアクティビティ、CloudTrail の Amazon S3 データイベント、EBS ボリュームのほか、Amazon EKS、Amazon EC2、Amazon ECS-Fargate 全体にわたる Runtime Monitoring や Lambda ネットワークアクティビティログなどがあります。GuardDuty では、こうしたログとイベントソースをまとめて「機能」と呼んでいます。サポートされている で 1 つ以上の専用保護プランを AWS リージョン いつでも有効にできます。どの保護プランを有効にしているかに基づいて、GuardDuty がアクティビティのモニタリング、処理、分析を開始します。各保護プランとその仕組みの詳細については、対応する保護プランのドキュメントを参照してください。
保護プラン 説明 Amazon S3 バケット内のデータを引き出して破棄しようとするなど、潜在するセキュリティリスクを識別します。
EKS 監査ログのモニタリングは、Amazon EKS クラスターで記録された Kubernetes 監査ログを分析して、疑わしいアクティビティや悪意のあるアクティビティがないかチェックします。
Amazon EKS、Amazon EC2、Amazon ECS ( AWS Fargateを含む) でオペレーティングシステムレベルのイベントをモニタリングし分析して、潜在するランタイム脅威がないか検出します。
Amazon EC2 インスタンスに関連付けられている Amazon EBS ボリュームをスキャンして、潜在するマルウェアがないか検出します。この機能をオンデマンドで使用するオプションもあります。
Amazon S3 バケット内に新規にアップロードされたオブジェクトに潜在するマルウェアがないか検出します。
RDS ログインアクティビティを分析しプロファイリングして、サポートされている Amazon Aurora と Amazon RDS データベースへのアクセス脅威が潜んでいないか確認します。
VPC フローログから Lambda ネットワークアクティビティログのモニタリングを始めて、 AWS Lambda 関数への脅威を検出します。こうした潜在する脅威の例として、クリプトマイニングや悪意あるサーバーとの通信などがあります。
Malware Protection for S3 を個別に有効にする
GuardDuty には、Amazon GuardDuty サービスを有効にすることなく Malware Protection for S3 を個別に使用できるという柔軟性があります。Malware Protection for S3 のみを開始する方法については、「GuardDuty Malware Protection for S3」を参照してください。これ以外の保護プランを使用する場合は、GuardDuty サービスを有効にする必要があります。
-
- マルチアカウント環境を管理する
-
マルチアカウント AWS 環境を管理するには、 AWS Organizations (推奨) または従来の招待方法を使用します。詳細については、「GuardDuty の複数のアカウント」を参照してください。
- 検出された脅威に関するセキュリティ検出結果を生成する
-
GuardDuty は、 AWS リソースに関して潜在するセキュリティ脅威を検出すると、セキュリティ検出結果の生成を開始して侵害された可能性のあるリソースを記録します。アカウントで GuardDuty を有効にしたら、サンプルの検出結果を生成して関連付けられた検出結果の詳細を表示します。セキュリティ検出結果の詳細なリストについては、「GuardDuty 検出結果タイプ」を参照してください。
GuardDuty では、テスタースクリプトを使用して特定の GuardDuty セキュリティ検出結果を生成することもできす。これにより、GuardDuty の検出結果を確認して対応する方法を理解できます。詳細については、「専用アカウントでの GuardDuty の検出結果のテスト」を参照してください。
- セキュリティ検出結果の評価および管理
-
GuardDuty は、複数のアカウントにわたるセキュリティ検出結果をまとめて、結果を GuardDuty コンソールの [概要] ダッシュボードに表示します。API、 AWS Security Hub AWS Command Line Interface、または AWS SDK を使用して結果を取得することもできます。現在のセキュリティ状態を全体的に把握することで、傾向と潜在する問題を識別し、必要な修復手順を実行できます。詳細については、「GuardDuty の検出結果の管理」を参照してください。
- 関連する AWS セキュリティサービスとの統合
-
AWS 環境のセキュリティ傾向の分析と調査をさらに支援するには、次の AWS セキュリティ関連サービスを GuardDuty と組み合わせて使用することを検討してください。
-
AWS Security Hub – このサービスでは、 リソースのセキュリティ状態を包括的に AWS 把握し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS サービス (Amazon Macie を含む) およびサポートされている AWS パートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub は、セキュリティの傾向を分析し、 AWS 環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。
GuardDuty と Security Hub を共に使用する方法については、「GuardDuty と の統合 AWS Security Hub」を参照してください。Security Hub の詳細については、「AWS Security Hub ユーザーガイド」を参照してください。
-
Amazon Detective - このサービスを使用すると、セキュリティに関する検出結果や疑わしいアクティビティを分析し、調査して根本原因を迅速に特定できます。Detective は、 AWS リソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。Detective の事前に作成されたデータの集計、要約、およびコンテキストは、考えられるセキュリティ問題の性質と範囲を分析して特定するのに役立ちます。
GuardDuty と Detective を共に使用する方法については、「GuardDuty と Amazon Detective の統合」を参照してください。Detective の詳細については、「Amazon Detective ユーザーガイド」を参照してください。
-
Amazon EventBridge - このサービスを使用すると、通知を受け取って GuardDuty のセキュリティ検出結果にほぼリアルタイムに対応できます。検出結果に変化があると、GuardDuty はイベントを作成します。EventBridge から通知を受け取る頻度を選択できます。詳細については、「Amazon EventBridge ユーザーガイド」の「Amazon EventBridge とは」を参照してください。
-
PCI DSS コンプライアンス
GuardDuty は、加盟店またはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および送信をサポートし、Payment Card Industry (PCI) データセキュリティスタンダード (DSS) に準拠していることが検証されています。PCI コンプライアンスパッケージのコピーをリクエストする方法など、 AWS PCI DSS の詳細については、「PCI DSS レベル 1
詳細については、「AWS セキュリティブログ」の「New third-party test compares Amazon GuardDuty to network intrusion detection systems
