翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub コントロール GuardDuty

これらの AWS Security Hub コントロールは、Amazon GuardDuty サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔GuardDuty.1] GuardDuty 有効にする必要があります

関連する要件： PCI DSS v3.2.1/11.4、PCIDSSv4.0.1/11.5.1、 NIST.800-53.r5 AC-2(12) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7、 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3(4)、 NIST.800-53.r5 SA-11(1)、 NIST.800-53.r5 SA-11(6) NIST.800-53.r5 SA-1、5(2)、 NIST.800-53.r5 SA-15(8)、 NIST.800-53.r5 SA-8(19) NIST.800-53.r5 SA-8、(21)、 NIST.800-53.r5 SA-8(25) NIST.800-53.r5 SC-5、 NIST.800-53.r5 SC-5(1)、 NIST.800-53.r5 SC-5(3)、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(1)、NIST.800-53.r5 SI-4(13)、NIST.800SI-4NIST-53NIST.r5 SI-4(2)、 SI-4 NIST SI-4 NIST SI-4

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール : guardduty-enabled-centralized

スケジュールタイプ: 定期的

パラメータ : なし

このコントロール GuardDuty は、 GuardDuty アカウントとリージョンで Amazon が有効になっているかどうかを確認します。

サポートされているすべての AWS リージョン GuardDuty で を有効にすることを強くお勧めします。これにより GuardDuty 、 は、アクティブに使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検出結果を生成できます。これにより、 GuardDuty は などのグローバル AWS のサービス の CloudTrail イベントをモニタリングすることもできますIAM。

修正

を有効にするには GuardDuty、「Amazon GuardDuty ユーザーガイド」の「 の開始方法 GuardDuty」を参照してください。

〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::GuardDuty::Filter

AWS Config ルール: tagged-guardduty-filter (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon GuardDuty フィルターにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。フィルターにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、フィルターにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

修正

GuardDuty フィルターにタグを追加するには、「」を参照してください。 TagResource 「Amazon GuardDuty API リファレンス」の「」を参照してください

〔GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::GuardDuty::IPSet

AWS Config ルール: tagged-guardduty-ipset (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon GuardDuty IPSet にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。にタグキーIPSetがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータ が指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、 にキーがタグ付けされていない場合IPSetは失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

修正

にタグを追加するには GuardDuty IPSet、「」を参照してください。 TagResource 「Amazon GuardDuty API リファレンス」の「」を参照してください

〔GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::GuardDuty::Detector

AWS Config ルール: tagged-guardduty-detector (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon GuardDuty ディテクターにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ディテクターにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ディテクターがキーでタグ付けされていない場合に失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

修正

GuardDuty ディテクターにタグを追加するには、「」を参照してください。 TagResource 「Amazon GuardDuty API リファレンス」の「」を参照してください

〔GuardDuty.5] GuardDuty EKS 監査ログのモニタリングを有効にする必要があります

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::GuardDuty::Detector

AWS Config ルール : guardduty-eks-protection-audit-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、監査ログのモニタリングが有効になっているかどうかを確認します GuardDuty EKS。スタンドアロンアカウントの場合、アカウントで監査ログのモニタリングが無効になっていると GuardDuty EKS、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで EKS Audit Log Monitoring が有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任された管理者のみが、組織内のメンバーアカウントのEKS監査ログのモニタリング機能を有効または無効にできます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された GuardDuty 管理者に、監査ログのモニタリングが有効になっていない停止されたメンバーアカウントがある場合にFAILED GuardDuty EKS検出結果を生成します。PASSED 結果を受け取るには、委任管理者はこれらの停止されたアカウントの関連付けを解除する必要があります GuardDuty。

GuardDuty EKS 監査ログのモニタリングは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター内の疑わしいアクティビティを検出するのに役立ちます。 EKSAudit Log Monitoring は、Kubernetes 監査ログを使用して、ユーザー、Kubernetes を使用するアプリケーションAPI、およびコントロールプレーンからの時系列アクティビティをキャプチャします。

修正

監査ログのモニタリングを有効にする GuardDuty EKSには、「Amazon GuardDuty ユーザーガイド」のEKS「監査ログのモニタリング」を参照してください。

〔GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります

関連する要件： PCI DSS v4.0.1/11.5.1

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::GuardDuty::Detector

AWS Config ルール : guardduty-lambda-protection-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、 GuardDuty Lambda Protection が有効になっているかどうかを確認します。スタンドアロンアカウントの場合、アカウントで GuardDuty Lambda Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで Lambda Protection が有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任された管理者のみが、組織内のメンバーアカウントの Lambda Protection 機能を有効または無効にできます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された GuardDuty 管理者に GuardDuty Lambda Protection が有効になっていない停止されたメンバーアカウントがある場合にFAILED検出結果を生成します。PASSED 結果を受け取るには、委任管理者はこれらの停止されたアカウントの関連付けを解除する必要があります GuardDuty。

GuardDuty Lambda Protection は、 AWS Lambda 関数が呼び出されたときに潜在的なセキュリティ脅威を特定するのに役立ちます。Lambda Protection を有効にすると、 は の Lambda 関数に関連付けられた Lambda ネットワークアクティビティログのモニタリング GuardDuty を開始します AWS アカウント。Lambda 関数が呼び出され、Lambda 関数に悪意のある可能性のあるコードが存在することを示す疑わしいネットワークトラフィック GuardDuty を特定すると、 は検出結果 GuardDuty を生成します。

修正

GuardDuty Lambda Protection を有効にするには、「Amazon GuardDuty ユーザーガイド」の「Lambda Protection の設定」を参照してください。

〔GuardDuty.7] GuardDuty EKS Runtime Monitoring を有効にする必要があります

関連する要件： PCI DSS v4.0.1/11.5.1

カテゴリ: 検出 > 検出サービス

重要度: 中

リソースタイプ : AWS::GuardDuty::Detector

AWS Config ルール : guardduty-eks-protection-runtime-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、自動エージェント管理による Runtime Monitoring が有効になっているかどうかを確認します GuardDuty EKS。スタンドアロンアカウントの場合 GuardDuty EKS、自動エージェント管理による Runtime Monitoring がアカウントで無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任された GuardDuty 管理者アカウントとすべてのメンバーアカウントに自動エージェント管理が有効になっている EKS Runtime Monitoring がない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任された管理者のみが、組織内のメンバーアカウントの自動エージェント管理を使用して EKS Runtime Monitoring 機能を有効または無効にできます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された GuardDuty 管理者に Runtime Monitoring が有効になっていない停止されたメンバーアカウントがある場合にFAILED GuardDuty EKS結果を生成します。PASSED 結果を受け取るには、委任管理者はこれらの停止されたアカウントの関連付けを解除する必要があります GuardDuty。

EKS Amazon の保護 GuardDuty は、 環境内の Amazon EKSクラスターの保護に役立つ脅威検出カバレッジを提供します AWS 。 EKSRuntime Monitoring は、オペレーティングシステムレベルのイベントを使用して、EKSクラスター内のEKSノードやコンテナで潜在的な脅威を検出するのに役立ちます。

修正

自動エージェント管理で EKS Runtime Monitoring を有効にするには、「Amazon GuardDuty ユーザーガイド」の GuardDuty 「Runtime Monitoring の有効化」を参照してください。

〔GuardDuty.8] GuardDuty のマルウェア保護を有効にするEC2必要があります

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::GuardDuty::Detector

AWS Config ルール : guardduty-malware-protection-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、 GuardDuty Malware Protection が有効になっているかどうかを確認します。スタンドアロンアカウントの場合、 GuardDuty Malware Protection がアカウントで無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで Malware Protection が有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任 GuardDuty 管理者アカウントでのみ結果を生成します。委任された管理者のみが、組織内のメンバーアカウントの Malware Protection 機能を有効または無効にできます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された GuardDuty 管理者に GuardDuty Malware Protection が有効になっていない停止されたメンバーアカウントがある場合にFAILED検出結果を生成します。PASSED 結果を受け取るには、委任管理者はこれらの停止されたアカウントの関連付けを解除する必要があります GuardDuty。

GuardDuty Malware Protection for EC2は、Amazon Elastic Compute Cloud (Amazon EBS) インスタンスとコンテナワークロードにアタッチされている Amazon Elastic Block Store (Amazon EC2) ボリュームをスキャンして、マルウェアの潜在的な存在を検出するのに役立ちます。Malware Protection には、スキャン時に特定のEC2インスタンスとコンテナワークロードを含めるか除外するかを決定できるスキャンオプションが用意されています。また、EC2インスタンスまたはコンテナワークロードにアタッチされたEBSボリュームのスナップショットを GuardDuty アカウント内に保持するオプションも提供します。スナップショットは、マルウェアが検出されて Malware Protection の検出結果が生成された場合にのみ保持されます。

修正

GuardDuty Malware Protection for を有効にするにはEC2、「Amazon GuardDuty ユーザーガイド GuardDuty」の「開始されたマルウェアスキャンの設定」を参照してください。

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

関連する要件： PCI DSS v4.0.1/11.5.1

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::GuardDuty::Detector

AWS Config ルール : guardduty-rds-protection-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、保護が有効になっているかどうか GuardDuty RDSをチェックします。スタンドアロンアカウントの場合、アカウントで Protection が無効になっていると GuardDuty RDS、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで RDS Protection が有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任された GuardDuty 管理者アカウントでのみ結果を生成します。委任された管理者のみが、組織内のメンバーアカウントのRDS保護機能を有効または無効にできます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された GuardDuty 管理者に Protection が有効になっていない停止メンバーアカウントがある場合にFAILED GuardDuty RDS検出結果を生成します。PASSED 結果を受け取るには、委任管理者はこれらの停止されたアカウントの関連付けを解除する必要があります GuardDuty。

RDS の保護は、Amazon Aurora データベース (Aurora MySQL-Compatible Edition および Aurora PostgreSQL-Compatible Edition) への潜在的なアクセス脅威について、RDSログインアクティビティ GuardDuty を分析してプロファイリングします。この機能を使用すると、疑わしいログイン動作を特定できます。 RDS保護には追加のインフラストラクチャは必要ありません。データベースインスタンスのパフォーマンスに影響を与えないように設計されています。RDS Protection が、データベースへの脅威を示す疑わしい、または異常なログイン試行を検出すると、 は侵害された可能性のあるデータベースに関する詳細を含む新しい検出 GuardDuty 結果を生成します。

修正

Protection を有効にする GuardDuty RDSには、「Amazon GuardDuty ユーザーガイド」のGuardDuty RDS「 Protection」を参照してください。

〔GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります

関連する要件： PCI DSS v4.0.1/11.5.1

カテゴリ: 検出 > 検出サービス

重要度: 高

リソースタイプ : AWS::GuardDuty::Detector

AWS Config ルール : guardduty-s3-protection-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、 GuardDuty S3 Protection が有効になっているかどうかを確認します。スタンドアロンアカウントの場合、アカウントで GuardDuty S3 Protection が無効になっていると、コントロールは失敗します。マルチアカウント環境では、委任 GuardDuty 管理者アカウントとすべてのメンバーアカウントで S3 Protection が有効になっていない場合、コントロールは失敗します。

マルチアカウント環境では、コントロールは委任された GuardDuty 管理者アカウントでのみ結果を生成します。委任された管理者のみが、組織内のメンバーアカウントの S3 Protection 機能を有効または無効にできます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。このコントロールは、委任された GuardDuty 管理者に GuardDuty S3 Protection が有効になっていない停止されたメンバーアカウントがある場合にFAILED検出結果を生成します。PASSED 結果を受け取るには、委任管理者はこれらの停止されたアカウントの関連付けを解除する必要があります GuardDuty。

S3 Protection を使用すると GuardDuty 、 はオブジェクトレベルのAPIオペレーションをモニタリングして、Amazon Simple Storage Service (Amazon S3) バケット内のデータの潜在的なセキュリティリスクを特定できます。 は、 AWS CloudTrail 管理イベントと S3 データイベントを分析して、CloudTrail S3 リソースに対する脅威 GuardDuty を監視します。

修正

GuardDuty S3 Protection を有効にするには、「Amazon ユーザーガイド」の「Amazon での Amazon S3 Protection GuardDuty」を参照してください。 GuardDuty