翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon GuardDuty コントロール
これらのコントロールは GuardDuty リソースに関連しています。
これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
〔GuardDuty.1] GuardDuty を有効にする必要があります
関連する要件: PCI DSS v3.2.1/11.4、NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 RA-3(4)、NIST.800-53.r5 SA-11(1)、NIST.800-53.r5 SA-11(6)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SA-8(21)、NIST.800-53.r5 SA-8(25)、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-5(1)、NIST.800-53.r5 SC-5(3)、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(1)、NIST.800-53.r5 SI-4(13)、NIST.800-53.r5 SI-4(2)、NIST.800-53.r5 SI-4(22)、NIST.800-53.r5 SI-4(25)、NIST.800-53.r5 SI-4(4)、NIST.800-53.r5 SI-4(5)
カテゴリ: 検出 > 検出サービス
重要度: 高
リソースタイプ: AWS::::Account
AWS Config ルール: guardduty-enabled-centralized
スケジュールタイプ: 定期的
パラメータ: なし
このコントロール GuardDuty は、 GuardDuty アカウントとリージョンで Amazon が有効になっているかどうかをチェックします。
サポートされているすべての AWS リージョン GuardDuty で を有効にすることを強くお勧めします。これにより、アクティブ GuardDuty に使用されていないリージョンでも、不正または異常なアクティビティに関する検出結果を生成できます。これにより、 GuardDuty は IAM などのグローバル AWS のサービス の CloudTrail イベントをモニタリングすることもできます。
修正
この問題を修正するには、 を有効にします GuardDuty。
を使用して複数のアカウント AWS Organizations を管理する方法など GuardDuty、 を有効にする方法の詳細については、「Amazon ユーザーガイド」の GuardDuty「 の開始方法」を参照してください。 GuardDuty
〔GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ: AWS::GuardDuty::Filter
AWS Config ルール: tagged-guardduty-filter (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon GuardDuty フィルターにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。フィルターにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、フィルターにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。ABAC は、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「 の ABAC とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
GuardDuty フィルターにタグを追加するには、「Amazon GuardDuty API リファレンスTagResource」の「」を参照してください。
〔GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ: AWS::GuardDuty::IPSet
AWS Config ルール: tagged-guardduty-ipset (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon GuardDuty IPSet にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。IPSet にタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、IPSet にキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「 の ABAC とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
GuardDuty IPSet にタグを追加するには、「Amazon API リファレンス GuardDuty TagResource」の「」を参照してください。
〔GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ: AWS::GuardDuty::Detector
AWS Config ルール: tagged-guardduty-detector (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon GuardDuty ディテクターにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ディテクターにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ディテクターがキーでタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「 の ABAC とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
GuardDuty ディテクターにタグを追加するには、「Amazon GuardDuty API リファレンスTagResource」の「」を参照してください。
