GuardDuty S3 保護 - Amazon GuardDuty
AWS CloudTrail S3 のデータイベント GuardDuty が S3 CloudTrail のデータイベントを使用する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty S3 保護

S3 Protection は、Amazon Simple Storage Service (Amazon S3) バケット内のデータの流出や破壊などの潜在的なセキュリティリスクを検出するのに役立ちます。 は、アカウント内のすべての Amazon S3 バケットでこれらのリスクを識別するためのオブジェクトレベルのAPIオペレーションを含む Amazon S3 AWS CloudTrail のデータイベント GuardDuty を監視します。

は、S3 データイベントのモニタリングに基づいて潜在的な脅威 GuardDuty を検出すると、セキュリティ検出結果を生成します。S3 Protection を有効にすると が生成 GuardDuty する可能性のある検出結果タイプについては、「」を参照してくださいGuardDuty S3 Protection の検出結果タイプ

基本的な脅威検出では、デフォルトで AWS CloudTrail 管理イベントをモニタリングして Amazon S3 リソースに潜む脅威を識別します。このデータソースは、環境でモニタリングするアクティビティの種類が違うため、S3 の AWS CloudTrail データイベントとは異なります。

が GuardDuty この機能をサポートしているリージョンのアカウントで S3 Protection を有効にできます。これにより、そのアカウントとリージョンで S3 CloudTrail のデータイベントをモニタリングできます。S3 Protection を有効にすると、 GuardDuty は Amazon S3 バケットを完全にモニタリングし、S3 バケットに保存されているデータへの疑わしいアクセスに関する検出結果を生成できます。

S3 Protection を使用するために、 AWS CloudTrailで S3 データイベントのログ記録を明示的に有効にしたり設定したりする必要はありません。

30 日間の無料トライアル

次に、アカウントに適用される 30 日間無料トライアルの仕組みについて説明します。

  • AWS アカウント 新しいリージョン GuardDuty で を初めて有効にすると、30 日間の無料トライアルが適用されます。この場合、 は無料トライアルに含まれている S3 Protection GuardDuty も有効にします。

  • をすでに使用 GuardDuty していて、S3 Protection を初めて有効にすると、このリージョンのアカウントは S3 Protection の 30 日間の無料トライアルを受けることができます。

  • S3 Protection はいつでも無効にできます。リージョンのアカウントに無料トライアルの日数が残っている場合は、S3 Protection をいつでももう一度有効にすれば無料トライアルを使用できます。

  • 30 日間の無料トライアルでは、そのアカウントとリージョンの使用コストの見積もりを取得できます。30 日間無料トライアルが終了しても、S3 Protection が自動的に無効になることはありません。このリージョンのアカウントで使用コストが発生し始めます。詳細については、「GuardDuty 使用コストの推定」を参照してください。

AWS CloudTrail S3 のデータイベント

データプレーンオペレーションとして知られるデータイベントは、リソース上またはリソース内で実行したリソースオペレーションに関するインサイトを提供します。それらは、多くの場合、高ボリュームのアクティビティです。

以下は、 がモニタリング GuardDuty できる S3 CloudTrail のデータイベントの例です。

  • GetObject API オペレーション

  • PutObject API オペレーション

  • ListObjects API オペレーション

  • DeleteObject API オペレーション

これらの の詳細についてはAPIs、「Amazon Simple Storage Service APIリファレンス」を参照してください。

GuardDuty が S3 CloudTrail のデータイベントを使用する方法

S3 Protection を有効にすると、 GuardDuty はすべての S3 バケットから S3 CloudTrail のデータイベントを分析し、悪意のあるアクティビティや疑わしいアクティビティがないか監視します。詳細については、「AWS CloudTrail 管理イベント」を参照してください。

未認証のユーザーから S3 オブジェクトへのアクセスがあった場合、その S3 オブジェクトは一般公開されていることになります。したがって、 GuardDuty はそのようなリクエストを処理しません。 は、有効な IAM (AWS Identity and Access Management) または AWS STS (AWS Security Token Service) 認証情報を使用して S3 オブジェクトに対して行われたリクエスト GuardDuty を処理します。

注記

S3 Protection を有効にすると、 は、有効にしたのと同じリージョンに存在する Amazon S3 バケットのデータイベント GuardDuty を監視します GuardDuty。

特定のリージョンのアカウントで S3 Protection を無効にすると、 は S3 バケットに保存されているデータの S3 データイベントモニタリングを GuardDuty 停止します。 GuardDuty は、そのリージョンのアカウントの S3 Protection 検出結果タイプを生成しなくなります。

GuardDuty 攻撃シーケンスに S3 CloudTrail のデータイベントを使用する

GuardDuty 拡張脅威検出 は、アカウント内の基本的なデータソース、 AWS リソース、タイムラインにまたがる複数ステージの攻撃シーケンスを検出します。がアカウントで最近または進行中の疑わしいアクティビティを示す一連のイベント GuardDuty を観察すると、 は関連する攻撃シーケンスの検出結果 GuardDuty を生成します。

デフォルトでは、 を有効にすると GuardDuty、拡張脅威検出もアカウントで有効になります。この機能は、 CloudTrail 管理イベントに関連する脅威シナリオを追加料金なしでカバーします。ただし、拡張脅威検出を最大限に活用するには、S3 Protection を有効にして S3 CloudTrail のデータイベントに関連する脅威シナリオに対応する GuardDuty ことをお勧めします。

S3 Protection を有効にすると、 GuardDuty は、Amazon S3 リソースが関与する可能性のあるデータの侵害や破壊などの攻撃シーケンスの脅威シナリオを自動的にカバーします。