Amazon GuardDuty とは - Amazon GuardDuty

Amazon GuardDuty とは

Amazon GuardDuty は、AWS 環境内の AWS データソースとログを継続的にモニタリングし、分析して処理する脅威検出サービスです。GuardDuty は、悪意のある IP アドレスとドメインのリスト、ファイルハッシュ、機械学習 (ML) モデルなどの脅威インテリジェンスフィードを使用して、AWS 環境内の疑わしいアクティビティや悪意の可能性があるアクティビティを識別します。次に、GuardDuty で検出可能な脅威シナリオの概要を示します。

  • AWS 認証情報を侵害して引き出す。

  • データを引き出し破棄することでランサムウェアイベントを引き起こす。Amazon Aurora と Amazon RDS データベースに対応したエンジンバージョンで、ログインイベントの異常なパターンが異常な動作を示唆する。

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとコンテナワークロードに不正なクリプトマイニングアクティビティが見られる。

  • Amazon EC2 インスタンスとコンテナワークロードにマルウェアが存在し、Amazon Simple Storage Service (Amazon S3) バケットにファイルが新規にアップロードされる。

  • オペレーティングシステムレベルイベント、ネットワークイベント、ファイルイベントにより、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター、Amazon Elastic Container Service (Amazon ECS)、AWS Fargate タスク、Amazon EC2 インスタンス、コンテナワークロードでの不正な動作が示唆される。

次の動画では、GuardDuty で AWS 環境内の脅威をどのように検出できるのかを簡単に説明しています。

GuardDuty の機能

次に、Amazon GuardDuty が AWS 環境に潜む脅威をモニタリングし、検出して管理する際の主な方法をいくつか示します。

特定のデータソースとイベントログを継続してモニタリングする
  • 基本的な脅威検出 - AWS アカウントで GuardDuty を有効にすると、GuardDuty がそのアカウントに関連付けられている基本的なデータソースの取り込みを自動的に開始します。こうしたデータソースには、AWS CloudTrail 管理イベント、VPC フローログ (Amazon EC2 インスタンスから生成)、DNS ログなどがあります。GuardDuty がこれらのデータソースの分析と処理を開始して関連付けられたセキュリティ検出結果を生成するのに、他のものを有効にする必要はありません。詳細については、「GuardDuty 基本データソース」を参照してください。

  • ユースケースに焦点を当てた GuardDuty 保護プラン - AWS 環境の脅威検出を強化してセキュリティの可視化を高めるために、GuardDuty に専用の保護プランがいくつか用意されており、ユーザーはその中から任意のものを有効にできます。保護プランを使用すると、他の AWS サービスからログとイベントをモニタリングできるようになります。こうしたソースには、EKS 監査ログ、RDS ログインアクティビティ、CloudTrail の Amazon S3 データイベント、EBS ボリュームのほか、Amazon EKS、Amazon EC2、Amazon ECS-Fargate 全体にわたる Runtime Monitoring や Lambda ネットワークアクティビティログなどがあります。GuardDuty では、こうしたログとイベントソースをまとめて「機能」と呼んでいます。サポートされている AWS リージョンで 1 つ以上の専用保護プランをいつでも有効にできます。どの保護プランを有効にしているかに基づいて、GuardDuty がアクティビティのモニタリング、処理、分析を開始します。各保護プランとその仕組みの詳細については、対応する保護プランのドキュメントを参照してください。

    保護プラン 説明

    S3 Protection

    Amazon S3 バケット内のデータを引き出して破棄しようとするなど、潜在するセキュリティリスクを識別します。

    EKS Protection

    EKS 監査ログのモニタリングは、Amazon EKS クラスターで記録された Kubernetes 監査ログを分析して、疑わしいアクティビティや悪意のあるアクティビティがないかチェックします。

    Runtime Monitoring

    Amazon EKS、Amazon EC2、Amazon ECS (AWS Fargate を含む) でオペレーティングシステムレベルのイベントをモニタリングし分析して、潜在するランタイム脅威がないか検出します。

    Malware Protection for EC2

    Amazon EC2 インスタンスに関連付けられている Amazon EBS ボリュームをスキャンして、潜在するマルウェアがないか検出します。この機能をオンデマンドで使用するオプションもあります。

    S3 向けのマルウェア防御

    Amazon S3 バケット内に新規にアップロードされたオブジェクトに潜在するマルウェアがないか検出します。

    RDS Protection

    RDS ログインアクティビティを分析しプロファイリングして、サポートされている Amazon Aurora と Amazon RDS データベースへのアクセス脅威が潜んでいないか確認します。

    Lambda Protection

    VPC フローログから Lambda ネットワークアクティビティログのモニタリングを始めて、AWS Lambda 関数への脅威を検出します。こうした潜在する脅威の例として、クリプトマイニングや悪意あるサーバーとの通信などがあります。

    Malware Protection for S3 を個別に有効にする

    GuardDuty には、Amazon GuardDuty サービスを有効にすることなく Malware Protection for S3 を個別に使用できるという柔軟性があります。Malware Protection for S3 のみを開始する方法については、「GuardDuty Malware Protection for S3」を参照してください。これ以外の保護プランを使用する場合は、GuardDuty サービスを有効にする必要があります。

マルチアカウント環境を管理する

マルチアカウント AWS 環境を管理するには、AWS Organizations (推奨) または従来の招待による方法を使用します。詳細については、「GuardDuty の複数のアカウント」を参照してください。

検出された脅威に関するセキュリティ検出結果を生成する

GuardDuty は、AWS リソースに関して潜在するセキュリティ脅威を検出すると、セキュリティ検出結果の生成を開始して侵害された可能性のあるリソースを記録します。アカウントで GuardDuty を有効にしたら、サンプルの検出結果を生成して関連付けられた検出結果の詳細を表示します。セキュリティ検出結果の詳細なリストについては、「GuardDuty 検出結果タイプ」を参照してください。

GuardDuty では、テスタースクリプトを使用して特定の GuardDuty セキュリティ検出結果を生成することもできす。これにより、GuardDuty の検出結果を確認して対応する方法を理解できます。詳細については、「専用アカウントでの GuardDuty の検出結果のテスト」を参照してください。

セキュリティ検出結果の評価および管理

GuardDuty は、複数のアカウントにわたるセキュリティ検出結果をまとめて、結果を GuardDuty コンソールの [概要] ダッシュボードに表示します。AWS Security Hub API、AWS Command Line Interface、または AWS SDK を通じて結果を取得することもできます。現在のセキュリティ状態を全体的に把握することで、傾向と潜在する問題を識別し、必要な修復手順を実行できます。詳細については、「GuardDuty の検出結果の管理」を参照してください。

関連する AWS セキュリティサービスと統合する

AWS 環境内のセキュリティトレンドをさらに分析して調査するために、GuardDuty の他に次の AWS セキュリティ関連のサービスも併せて使用することを検討してください。

  • AWS Security Hub - このサービスは、AWS リソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS サービス (Amazon Macie など) およびサポートされている AWS パートナーネットワーク (APN) 製品からのセキュリティの調査結果を利用、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub を使用すると、セキュリティの傾向を分析し、AWS 環境全体で最も優先度の高いセキュリティ問題を特定できます。

    GuardDuty と Security Hub を共に使用する方法については、「GuardDuty と AWS Security Hub の統合」を参照してください。Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。

  • Amazon Detective - このサービスを使用すると、セキュリティに関する検出結果や疑わしいアクティビティを分析し、調査して根本原因を迅速に特定できます。Detective は、AWS リソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。Detective の事前に作成されたデータの集計、要約、およびコンテキストは、考えられるセキュリティ問題の性質と範囲を分析して特定するのに役立ちます。

    GuardDuty と Detective を共に使用する方法については、「GuardDuty と Amazon Detective の統合」を参照してください。Detective の詳細については、「Amazon Detective ユーザーガイド」を参照してください。

  • Amazon EventBridge - このサービスを使用すると、通知を受け取って GuardDuty のセキュリティ検出結果にほぼリアルタイムに対応できます。検出結果に変化があると、GuardDuty はイベントを作成します。EventBridge から通知を受け取る頻度を選択できます。詳細については、「Amazon EventBridge ユーザーガイド」の「Amazon EventBridge とは」を参照してください。

PCI DSS コンプライアンス

GuardDuty は、加盟店またはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および送信をサポートし、Payment Card Industry (PCI) データセキュリティスタンダード (DSS) に準拠していることが検証されています。PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。

詳細については、「AWS セキュリティブログ」の「New third-party test compares Amazon GuardDuty to network intrusion detection systems」を参照してください。