Amazon とは GuardDuty - Amazon GuardDuty
の機能 GuardDutyPCI DSS コンプライアンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon とは GuardDuty

Amazon GuardDuty は、 AWS 環境内の AWS データソースとログを継続的にモニタリング、分析、処理する脅威検出サービスです。 は、悪意のある IP アドレスとドメインのリスト、ファイルハッシュ、機械学習 (ML) モデルなどの脅威インテリジェンスフィード GuardDuty を使用して、 AWS 環境内の疑わしいアクティビティや潜在的に悪意のあるアクティビティを特定します。次のリストは、検出 GuardDuty に役立つ潜在的な脅威シナリオの概要を示しています。

  • AWS 認証情報の侵害と漏洩。

  • データを引き出し破棄することでランサムウェアイベントを引き起こす。サポートされている Amazon Aurora および Amazon RDS データベースのエンジンバージョンで、異常な動作を示すログインイベントの異常なパターン。

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとコンテナワークロードでの不正な暗号化アクティビティ。

  • Amazon EC2インスタンスとコンテナワークロードにマルウェアが存在し、Amazon Simple Storage Service (Amazon S3) バケットに新しくアップロードされたファイルが存在する。

  • Amazon Elastic Kubernetes Service (Amazon EKS) クラスター、Amazon Elastic Container Service (Amazon ECS) - AWS Fargate タスク、Amazon EC2インスタンスとコンテナワークロードでの不正な動作を示すオペレーティングシステムレベル、ネットワーク、ファイルイベント。

次の動画では、 が AWS 環境内の脅威を検出する GuardDuty 方法の概要を示します。

内容

の機能 GuardDuty

ここでは、Amazon が AWS 環境内の潜在的な脅威のモニタリング、検出、管理 GuardDuty に役立つ主要な方法をいくつか紹介します。

特定のデータソースとイベントログを継続してモニタリングする

  • 基本的な脅威の検出 – GuardDuty で を有効にすると AWS アカウント、 GuardDuty はそのアカウントに関連付けられた基本的なデータソースの取り込みを自動的に開始します。これらのデータソースには AWS CloudTrail 、管理イベント、VPCフローログ (Amazon EC2インスタンスから)、DNSログが含まれます。がこれらのデータソースの分析と処理 GuardDuty を開始して、関連するセキュリティ結果を生成するために、他のものを有効にする必要はありません。詳細については、「GuardDuty 基本データソース」を参照してください。

  • 拡張脅威検出 – この機能は、 内の基本的なデータソース、複数のタイプの AWS リソース、および時間にわたるマルチステージ攻撃を検出します AWS アカウント。アカウントには複数のイベントがあり、個別には明確な脅威として表示されない場合があります。ただし、これらのイベントが疑わしいアクティビティを示すシーケンスで観測された場合、 GuardDutyはそれを攻撃シーケンスとして識別します。 は、観測された攻撃シーケンスに関する詳細を提供するために、関連する攻撃シーケンスの検出結果タイプを生成して GuardDuty 通知します。

    追加コストがかからないので、拡張脅威検出は、有効に AWS アカウント すると ごとに自動的に有効になります GuardDuty。この機能では、ユースケースに重点を置いた保護プランを有効にする必要はありません。ただし、Amazon S3 リソースに対するセキュリティの幅を広げるために、 では、アカウントで S3 Protection を有効にする GuardDuty ことをお勧めします。これにより、拡張脅威検出は、Amazon S3 リソースに影響を与える可能性のあるマルチステージ攻撃を特定するのに役立ちます。

    この機能の仕組みと対象となる脅威シナリオの詳細については、「」を参照してくださいGuardDuty 拡張脅威検出

  • ユースケースに重点を置いた GuardDuty 保護プラン – AWS 環境のセキュリティに対する脅威検出の可視性を強化するために、 では、有効にすることを選択できる専用の保護プラン GuardDuty を提供しています。保護プランは、他の AWS サービスのログとイベントをモニタリングするのに役立ちます。これらのソースには、EKS監査ログ、RDSログインアクティビティ、 内の Amazon S3 データイベント CloudTrail、 EBSボリューム、Amazon EKS、Amazon ECS-FargateEC2、および Lambda ネットワークアクティビティログ全体のランタイムモニタリングが含まれます。 GuardDuty は、これらのログソースとイベントソースを - 機能という用語で統合します。サポートされている で 1 つ以上の専用保護プランを AWS リージョン いつでも有効にできます。 GuardDuty は、有効にした保護プランに基づいてアクティビティのモニタリング、処理、分析を開始します。各保護プランとその仕組みの詳細については、対応する保護プランのドキュメントを参照してください。

    保護プラン 説明

    S3 Protection

    Amazon S3 バケット内のデータを引き出して破棄しようとするなど、潜在するセキュリティリスクを識別します。

    EKS 保護

    EKS Audit Log Monitoring は、Amazon EKSクラスターからの Kubernetes 監査ログを分析し、潜在的に疑わしいアクティビティや悪意のあるアクティビティがないかを確認します。

    Runtime Monitoring

    Amazon 、Amazon EKS、および Amazon ECS ( を含む AWS Fargate) のオペレーティングシステムレベルのイベントをモニタリングおよび分析してEC2、潜在的なランタイム脅威を検出します。

    Malware Protection for EC2

    Amazon EC2インスタンスに関連付けられている Amazon EBSボリュームをスキャンして、マルウェアの潜在的な存在を検出します。この機能をオンデマンドで使用するオプションもあります。

    S3 向けのマルウェア防御

    Amazon S3 バケット内に新規にアップロードされたオブジェクトに潜在するマルウェアがないか検出します。

    RDS 保護

    サポートされている Amazon Aurora および Amazon RDS データベースに対する潜在的なアクセス脅威について、RDSログインアクティビティを分析し、プロファイリングします。

    Lambda Protection

    VPC フローログから始まる Lambda ネットワークアクティビティログをモニタリングして、 関数に対する脅威を検出します AWS Lambda 。こうした潜在する脅威の例として、クリプトマイニングや悪意あるサーバーとの通信などがあります。
    Malware Protection for S3 を個別に有効にする

    GuardDuty は、Amazon GuardDuty サービスを有効にすることなく、Malware Protection for S3 を個別に使用できる柔軟性を提供します。Malware Protection for S3 のみを開始する方法については、「GuardDuty Malware Protection for S3」を参照してください。他のすべての保護プランを使用するには、サービス GuardDutyを有効にする必要があります。

マルチアカウント環境を管理する

マルチアカウント AWS 環境は、 AWS Organizations (推奨) またはレガシーの招待方法を使用して管理できます。詳細については、「の複数のアカウント GuardDuty」を参照してください。

検出された脅威に関するセキュリティ検出結果を生成する

は、リソース AWS に関連する潜在的なセキュリティ脅威 GuardDuty を検出すると、侵害された可能性のあるリソースに関する情報を提供するセキュリティ検出結果の生成を開始します。アカウント GuardDuty で を有効にしたら、 を生成サンプルの検出結果して関連する を表示します検出結果の詳細。セキュリティ検出結果の詳細なリストについては、「GuardDuty 検出結果タイプ」を参照してください。

では GuardDuty、特定の GuardDuty セキュリティ検出結果を生成するテスタースクリプトを使用して、 GuardDuty 検出結果を確認して対応する方法を理解することもできます。詳細については、「専用アカウントで GuardDuty 検出結果をテストする」を参照してください。

セキュリティ検出結果の評価および管理

GuardDuty は、セキュリティ検出結果をアカウント間で統合し、 GuardDuty コンソールの 概要ダッシュボードに結果を表示します。 AWS Security Hub API、 AWS Command Line Interface、または を使用して結果を取得することもできます AWS SDK。現在のセキュリティ状態を全体的に把握することで、傾向と潜在する問題を識別し、必要な修復手順を実行できます。詳細については、「GuardDuty の検出結果の管理」を参照してください。

関連する AWS セキュリティサービスとの統合

AWS 環境のセキュリティ傾向の分析と調査をさらに支援するには、次の AWS セキュリティ関連サービスを と組み合わせて使用することを検討してください GuardDuty。

  • AWS Security Hub – このサービスでは、 リソースのセキュリティ状態を包括的に AWS 把握し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS サービス (Amazon Macie を含む) およびサポートされている AWS パートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub は、セキュリティの傾向を分析し、 AWS 環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。

    GuardDuty と Security Hub を一緒に使用する方法については、「」を参照してくださいGuardDuty と AWS Security Hub の統合。Security Hub の詳細については、「AWS Security Hub ユーザーガイド」を参照してください。

  • Amazon Detective - このサービスを使用すると、セキュリティに関する検出結果や疑わしいアクティビティを分析し、調査して根本原因を迅速に特定できます。Detective は、 AWS リソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。Detective の事前に作成されたデータの集計、要約、およびコンテキストは、考えられるセキュリティ問題の性質と範囲を分析して特定するのに役立ちます。

    GuardDuty と Detective を一緒に使用する方法については、「」を参照してくださいGuardDuty と Amazon Detective の統合。Detective の詳細については、「Amazon Detective ユーザーガイド」を参照してください。

  • Amazon EventBridge – このサービスは、通知を受信し、 GuardDuty セキュリティ検出結果にほぼリアルタイムで応答するのに役立ちます。 は、検出結果に変更があったときにイベント GuardDuty を作成します。通知を受信する頻度を選択できます EventBridge。詳細については、「Amazon ユーザーガイド」の「Amazon とは EventBridge」を参照してください。 EventBridge

PCI DSS コンプライアンス

GuardDuty は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、保存、および送信をサポートしており、Payment Card Industry (PCI) Data Security Standard () に準拠していることが検証されていますDSS。コンプライアンスパッケージのコピーを AWS PCIリクエストする方法などPCIDSS、 の詳細については、PCIDSS「レベル 1」を参照してください。

詳細については、 AWS セキュリティブログ「Amazon GuardDuty とネットワーク侵入検知システムを比較する新しいサードパーティーテスト」を参照してください。