Amazon GuardDuty で脅威を検出する

Amazon GuardDuty は、AWS 環境内のアカウント、コンテナ、ワークロード、データを保護する脅威検知サービスです。機械学習 (ML) モデルと異常および脅威検出機能を使用して、GuardDuty はさまざまなログソースを継続的に監視し、環境内の潜在的なセキュリティリスクと悪意のあるアクティビティを特定して優先順位を付けます。例えば、GuardDuty は、インスタンス起動ロールを通じて Amazon EC2 インスタンス専用に作成された認証情報が、AWS 内の別のアカウントから使用されていることを検出した場合に、シークレットへの異常なアクセスや不審なアクセス、認証情報の漏洩などの潜在的な脅威を検出します。詳細については、「Amazon GuardDuty User Guide」を参照してください。

検出の別のユースケースの例は、異常な動作です。例えば、AWS Secrets Manager が通常、Java SDK を使用してエンティティから create-secret、get-secret-value、describe-secret、list-secrets の呼び出しを取得し、その後、別のエンティティが VPN の外部から AWS CLI を使用して batch-get-secret-value と get-secret-value の呼び出しを開始すると、GuardDuty は、2 番目のエンティティが異常に API を呼び出しているという検出結果を報告できます。詳細については、「GuardDuty IAM finding type CredentialAccess:IAMUser/AnomalousBehavior」を参照してください。