翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
GuardDuty の Security Hub コントロール
これらの AWS Security Hub コントロールは、Amazon GuardDuty サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[GuardDuty.1] GuardDuty を有効にする必要があります
関連する要件: PCI DSS v3.2.1/11.4、 PCI DSS v4.0.1/11.5.1、 NIST.800-53.r5 AC-2(12)、 NIST.800-53.r5 AU-6(1)、 NIST.800-53.r5 AU-6 (5)、 NIST.800-53.r5 CA-7、 NIST.800-53.r5 CM-8(3)、 NIST.800-53.r5 RA-3(4)、 NIST.800-53.r5 SA-11(1)、 NIST.800-53.r5 SA-11(6)、 NIST.800-53.r5 SA-15(2)、 NIST.800-53.r5 SA-15(8)、 NIST.800-53.r5 SA-8(19)、 NIST.800-53.r5 SA-8(21)、 NIST.800-53.r5 SA-8(25)、 NIST.800-53.r5 SC-5、 NIST.800-53.r5 SC-5(1)、 NIST.800-53.r5 SC-5(3)、 NIST.800-53.r5 SI-20、 NIST.800-53.r5 SI-3 (8)、 NIST.800-53.r5 SI-4、 NIST.800-53.r5 SI-4(1)、 NIST.800-53.r5 SI-4(13)、 NIST.800-53.r5 SI-4(2)、 NIST.800-53.r5 SI-4 (22)、 NIST.800-53.r5 SI-4 (25)、 NIST.800-53.r5 SI-4 (4)、 NIST.800-53.r5 SI-4 (5)
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ : AWS::::Account
AWS Config ルール : guardduty-enabled-centralized
スケジュールタイプ: 定期的
パラメータ: なし
このコントロールは、GuardDuty アカウントおよびリージョンで Amazon GuardDuty が有効になっているかどうかをチェックします。
サポートされているすべての AWS リージョンで GuardDuty を有効にすることを強くお勧めします。このように設定することで、ユーザーが能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する結果を GuardDuty で生成できます。これにより GuardDuty で、IAM などのグローバルな AWS のサービス の CloudTrail イベントもモニタリングできます。
修正
GuardDuty を有効にするには、「Amazon GuardDuty ユーザーガイド」の「GuardDuty の開始方法」を参照してください。
[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::GuardDuty::Filter
AWS Config ルール: tagged-guardduty-filter (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon GuardDuty フィルターにパラメータ requiredTagKeys で定義された特定のキーを含むタグがあるかどうかをチェックします。フィルターにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、フィルターにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
GuardDuty フィルターにタグを追加するには、「Amazon GuardDutyリファレンス」の「TagResource」を参照してください。
[GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::GuardDuty::IPSet
AWS Config ルール: tagged-guardduty-ipset (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon GuardDuty IPSet にパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。IPSet にタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、IPSet にキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
GuardDuty IPSet にタグを追加するには、「Amazon GuardDutyリファレンス」の「TagResource」を参照してください。
[GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール: tagged-guardduty-detector (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon GuardDuty ディテクターにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。ディテクターにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ディテクターがキーでタグ付けされていない場合に失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
GuardDuty ディテクターにタグを追加するには、「Amazon GuardDutyリファレンス」の「TagResource」を参照してください。
[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール : guardduty-eks-protection-audit-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty EKS 監査ログモニタリングが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで GuardDuty EKS 監査ログモニタリングが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで EKS 監査ログモニタリングが有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。組織内のメンバーアカウントの EKS 監査ログのモニタリング機能を有効または無効にできるのは、委任管理者アカウントのみです。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任 GuardDuty 管理者に GuardDuty EKS 監査ログモニタリングが有効になっていない停止されたメンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
GuardDuty EKS 監査ログのモニタリングは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの疑わしいアクティビティの可能性を検出するのに役立ちます。EKS 監査ログのモニタリングは、ユーザー、Kubernetes API を使用するアプリケーション、およびコントロールプレーンからの時系列アクティビティをキャプチャします。
修正
GuardDuty EKS 監査ログモニタリングを有効にするには、「Amazon GuardDuty ユーザーガイド」の「EKS 監査ログモニタリング」を参照してください。
[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります
関連する要件: PCI DSS v4.0.1/11.5.1
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール : guardduty-lambda-protection-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty Lambda Protection が有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty Lambda Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで Lambda Protection が有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者は、組織内の既存のメンバーアカウントに対して Lambda Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任 GuardDuty 管理者に GuardDuty Lambda Protection が有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
GuardDuty Lambda Protection は、 AWS Lambda 関数が呼び出されたときに潜在的なセキュリティ脅威を特定するのに役立ちます。Lambda Protection を有効にすると、GuardDuty は AWS アカウントの Lambda 関数に関連付けられた Lambda ネットワークアクティビティログのモニタリングを開始します。Lambda 関数が呼び出され GuardDuty が Lambda 関数に潜在的に悪意のあるコードが存在することを示す疑わしいネットワークトラフィックを特定した場合、GuardDuty は検出結果を生成します。
修正
GuardDuty Lambda Protection を有効にするには、「Amazon GuardDutyユーザーガイド」の「Lambda Protection の設定」を参照してください。
[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります
関連する要件: PCI DSS v4.0.1/11.5.1
カテゴリ: 検出 > 検出サービス
重要度: 中
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール : guardduty-eks-protection-runtime-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、自動エージェント管理による GuardDuty EKS ランタイムモニタリングが有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで自動エージェント管理による GuardDuty EKS ランタイムモニタリングが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントに自動エージェント管理が有効になっている EKS Runtime Monitoring がない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントのエージェント管理を自動化して EKS ランタイムモニタリング機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任 GuardDuty 管理者に GuardDuty EKS ランタイムモニタリングが有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
Amazon GuardDuty の EKS Protection は、脅威検出の範囲を提供し、 AWS 環境内の Amazon EKS クラスターを保護するのに役立ちます。EKS Runtime Monitoring は、オペレーティングシステムレベルのイベントを使用して、EKS クラスター内の EKS ノードとコンテナにおける潜在的な脅威を検出するのに役立ちます。
修正
自動エージェント管理で EKS ランタイムモニタリングを有効にするには、「Amazon GuardDuty ユーザーガイド」の「GuardDuty ランタイムモニタリングの有効化」を参照してください。
[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール : guardduty-malware-protection-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty Malware Protection が有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty Malware Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで Malware Protection が有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントに対して Malware Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任された GuardDuty 管理者に GuardDuty Malware Protection が有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
GuardDuty Malware Protection for EC2 は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスおよびコンテナワークロードにアタッチされた Amazon Elastic Block Store (Amazon EBS) ボリュームをスキャンすることで、マルウェアの潜在的な存在を検出することに役立ちます。Malware Protection は、スキャン時に特定の EC2 インスタンスおよびコンテナワークロードを含めるか除外するかを決定できるスキャンオプションを提供します。EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームのスナップショットを GuardDuty アカウントに保持するオプションも提供します。スナップショットは、マルウェアが検出されて Malware Protection の検出結果が生成された場合にのみ保持されます。
修正
EC2 で GuardDuty Malware Protection を有効にするには、「Amazon GuardDuty ユーザーガイド」の「GuardDuty で開始されたマルウェアスキャンの設定」を参照してください。
[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります
関連する要件: PCI DSS v4.0.1/11.5.1
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール : guardduty-rds-protection-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty RDS Protection が有効になっているかを確認します。スタンドアロンアカウントの場合、アカウントで GuardDuty RDS Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで RDS Protection が有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントに対して RDS Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任された GuardDuty 管理者に GuardDuty RDS Protection が有効になっていない停止メンバーアカウントがある場合にFAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
GuardDuty の RDS Protection は、RDS ログインアクティビティを分析してプロファイリングし、Amazon Aurora データベース (Aurora MySQL 互換エディションおよび Aurora PostgreSQL 互換エディション) への潜在的なアクセス脅威がないかどうかを調べます。この機能により、潜在的に疑わしいログイン動作を特定できます。RDS Protection は追加のインフラストラクチャが不要で、データベースインスタンスのパフォーマンスに影響を与えないように設計されています。RDS Protection がデータベースへの脅威を示す潜在的に疑わしいログイン試行または異常なログイン試行を検出すると、GuardDuty は侵害の可能性があるデータベースに関する詳細な新しい検出結果を生成します。
修正
GuardDuty RDS Protection を有効にするには、「Amazon GuardDuty ユーザーガイド」の「GuardDuty RDS Protection」を参照してください。
[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります
関連する要件: PCI DSS v4.0.1/11.5.1
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール : guardduty-s3-protection-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、GuardDuty S3 Protection が有効になっているかどうかをチェックします。スタンドアロンアカウントの場合、アカウントで GuardDuty S3 Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで S3 Protection が有効になっていない場合、コントロールは失敗します。
マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任管理者のみが、組織内のメンバーアカウントに対して S3 Protection 機能を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。このコントロールは、委任された GuardDuty 管理者に GuardDuty S3 Protection が有効になっていない停止メンバーアカウントがある場合に FAILED 検出結果を生成します。PASSED 検出結果を受け取るには、委任管理者が GuardDuty でこれらの停止されたアカウントの関連付けを解除する必要があります。
S3 Protectionにより、GuardDuty は、オブジェクトレベルの API オペレーションをモニタリングし、Amazon Simple Storage Service (Amazon S3) バケット内のデータに関する潜在的なセキュリティリスクを特定できるようになります。GuardDuty は AWS CloudTrail 、管理イベントと CloudTrail S3 データイベントを分析して、S3 リソースに対する脅威をモニタリングします。
修正
GuardDuty S3 Protection を有効にするには、「Amazon GuardDuty ユーザーガイド」の「Amazon S3 protection in Amazon GuardDuty」を参照してください。
[GuardDuty.11] GuardDuty Runtime Monitoring を有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール : guardduty-runtime-monitoring-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon GuardDuty で Runtime Monitoring が有効になっているかどうかを確認します。スタンドアロンアカウントの場合、アカウントで GuardDuty Runtime Monitoring が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで GuardDuty Runtime Monitoring が無効になっていると、コントロールは失敗します。
マルチアカウント環境では、委任 GuardDuty 管理者のみが組織内のアカウントの GuardDuty Runtime Monitoring を有効または無効にできます。さらに、GuardDuty 管理者のみが、GuardDuty が組織内のアカウントの AWS ワークロードとリソースのランタイムモニタリングに使用するセキュリティエージェントを設定および管理できます。GuardDuty メンバーアカウントは、自分のアカウントの Runtime Monitoring を有効、設定、または無効にすることはできません。
GuardDuty Runtime Monitoring は、オペレーティングシステムレベル、ネットワーク、ファイルイベントを監視および分析し、環境内の特定の AWS ワークロードで潜在的な脅威を検出するのに役立ちます。ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続など、ランタイムの動作を可視化する GuardDuty セキュリティエージェントを使用します。Amazon EKS クラスターや Amazon EC2 インスタンスなど、潜在的な脅威をモニタリングするリソースのタイプごとにセキュリティエージェントを有効にして管理できます。
修正
GuardDuty Runtime Monitoring の設定と有効化の詳細については、「Amazon GuardDuty ユーザーガイド」の「GuardDuty Runtime Monitoring と GuardDuty Runtime Monitoring の有効化」を参照してください。 Amazon GuardDuty
[GuardDuty.12] GuardDuty ECS Runtime Monitoring を有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 中
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール : guardduty-ecs-protection-runtime-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon GuardDuty 自動セキュリティエージェントが Amazon ECS クラスターのランタイムモニタリングが有効になっているかどうかを確認します AWS Fargate。スタンドアロンアカウントの場合、アカウントでセキュリティエージェントが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントでセキュリティエージェントが無効になっている場合、コントロールは失敗します。
マルチアカウント環境では、このコントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。これは、委任 GuardDuty 管理者のみが、組織内のアカウントの ECS-Fargate リソースの Runtime Monitoring を有効または無効にできるためです。GuardDuty メンバーアカウントは、自分のアカウントに対してこれを行うことはできません。さらに、このコントロールは、GuardDuty がメンバーアカウントで停止され、ECS-Fargate リソースのランタイムモニタリングがメンバーアカウントで無効になっている場合にFAILED検出結果を生成します。PASSED 検出結果を受け取るには、GuardDuty 管理者は、GuardDuty を使用して、停止されたメンバーアカウントと管理者アカウントの関連付けを解除する必要があります。
GuardDuty Runtime Monitoring は、オペレーティングシステムレベル、ネットワーク、ファイルイベントを監視および分析し、環境内の特定の AWS ワークロードで潜在的な脅威を検出するのに役立ちます。ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続など、ランタイムの動作を可視化する GuardDuty セキュリティエージェントを使用します。潜在的な脅威をモニタリングするリソースのタイプごとに、セキュリティエージェントを有効にして管理できます。これには、 上の Amazon ECS クラスターが含まれます AWS Fargate。
修正
ECS-Fargate リソースの GuardDuty Runtime Monitoring のセキュリティエージェントを有効にして管理するには、GuardDuty を直接使用する必要があります。ECS-Fargate リソースに対して手動で有効化または管理することはできません。セキュリティエージェントの有効化と管理の詳細については、「Amazon GuardDuty ユーザーガイド」の AWS Fargate 「(Amazon ECS のみ) サポートの前提条件」とAWS Fargate 「(Amazon ECS のみ) の自動セキュリティエージェントの管理」を参照してください。 Amazon GuardDuty
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring を有効にする必要があります
カテゴリ: 検出 > 検出サービス
重要度: 中
リソースタイプ : AWS::GuardDuty::Detector
AWS Config ルール : guardduty-ec2-protection-runtime-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon GuardDuty 自動セキュリティエージェントが Amazon EC2 インスタンスのランタイムモニタリングが有効になっているかどうかを確認します。スタンドアロンアカウントの場合、アカウントでセキュリティエージェントが無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントでセキュリティエージェントが無効になっている場合、コントロールは失敗します。
マルチアカウント環境では、このコントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。これは、委任 GuardDuty 管理者のみが、組織内のアカウントの Amazon EC2 インスタンスの Runtime Monitoring を有効または無効にできるためです。GuardDuty メンバーアカウントは、自分のアカウントに対してこれを行うことはできません。さらに、GuardDuty がメンバーアカウントで停止され、EC2 インスタンスのランタイムモニタリングがメンバーアカウントで無効になっている場合、このコントロールはFAILED検出結果を生成します。PASSED 検出結果を受け取るには、GuardDuty 管理者は、GuardDuty を使用して、停止されたメンバーアカウントと管理者アカウントの関連付けを解除する必要があります。
GuardDuty Runtime Monitoring は、オペレーティングシステムレベル、ネットワーク、ファイルイベントを監視および分析し、環境内の特定の AWS ワークロードで潜在的な脅威を検出するのに役立ちます。ファイルアクセス、プロセス実行、コマンドライン引数、ネットワーク接続など、ランタイムの動作を可視化する GuardDuty セキュリティエージェントを使用します。潜在的な脅威をモニタリングするリソースのタイプごとに、セキュリティエージェントを有効にして管理できます。これには Amazon EC2 インスタンスが含まれます。
修正
EC2 インスタンスの GuardDuty Runtime Monitoring 用の自動セキュリティエージェントの設定と管理については、Amazon EC2 インスタンスのサポートの前提条件」とAmazon EC2 インスタンスの自動セキュリティエージェントの有効化」を参照してください。 Amazon GuardDuty
