Amazon GuardDuty Amazon GuardDuty ユーザーガイド Amazon GuardDuty Amazon GuardDuty ユーザーガイド Amazon GuardDuty: Amazon GuardDuty ユーザーガイド Copyright © 2022 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon の商標およびトレードドレスは、お客様に混乱を招く可能性がある態様、または Amazon の信用を傷つけ たり、失わせたりする態様において、Amazon のものではない製品またはサービスに関連して使用してはなりませ ん。Amazon が所有しないあらゆる商標は、各所有者の財産です。これらの各所有者は、必ずしも Amazon と提携も しくは関連し、または Amazon の支援を受けているとは限りません。 Amazon GuardDuty Amazon GuardDuty ユーザーガイド Table of Contents GuardDuty とは.................................................................................................................................. 1 GuardDuty の料金....................................................................................................................... 1 GuardDuty へのアクセス............................................................................................................. 1 開始方法............................................................................................................................................ 2 開始する前に............................................................................................................................. 2 ステップ 1: Amazon GuardDuty を有効にする................................................................................ 3 ステップ 2: サンプル検出結果を生成し、ベーシックなオペレーションの詳細を確認する....................... 4 ステップ 3: S3 バケットへの GuardDuty の検出結果のエクスポートを設定する ................................... 5 ステップ 4: SNS を使用して GuardDuty の検出結果アラートを設定する............................................ 6 次のステップ............................................................................................................................. 8 概念と用語........................................................................................................................................ 9 データソース.................................................................................................................................... 11 AWS CloudTrail イベントログ.................................................................................................... 11 GuardDuty が AWS CloudTrail グローバルイベントを処理する方法.......................................... 11 AWS CloudTrail 管理イベント.................................................................................................... 12 S3 の AWS CloudTrail データイベント........................................................................................ 12 Kubernetes 監査ログ................................................................................................................. 12 VPC フローログ....................................................................................................................... 13 DNS ログ................................................................................................................................ 13 Elastic Block Storage (EBS) ボリューム....................................................................................... 13 GuardDuty Kubernetes Protection....................................................................................................... 15 GuardDuty による Kubernetes データソースの使用方法.................................................................. 15 スタンドアロンアカウントの Kubernetes Protection の設定............................................................ 15 Kubernetes Protection を有効または無効にするには............................................................... 16 マルチアカウント環境での Kubernetes Protection の設定............................................................... 16 組織メンバーアカウントの Kubernetes Protection を自動的に有効にします。............................ 17 メンバーアカウントで Kubernetes Protection を手動で有効または無効にするには...................... 17 新しい GuardDuty アカウントの Kubernetes Protection を自動的に無効にするには............................. 18 GuardDuty Malware Protection............................................................................................................ 19 GuardDuty での Malware Protection の機能方法............................................................................ 19 追加情報 .......................................................................................................................... 21 スタンドアロンアカウントの GuardDuty Malware Protection の設定................................................. 21 Malware Protection を有効または無効にするには................................................................... 21 マルチアカウント環境での Malware Protection の設定.................................................................... 22 Malware Protection を有効化するために信頼されたアクセスを確立する.................................... 22 組織のメンバーアカウントの Malware Protection を自動的に有効にする................................... 24 メンバーアカウントで Malware Protection を選択的に有効または無効にする............................. 24 組織に新しく追加されたアカウントに対する Malware Protection の設定................................... 25 招待によって管理されている組織内の既存のアカウントに対して Malware Protection を有効に する ................................................................................................................................ 26 GuardDuty Malware Protection の検出タイプ................................................................................ 26 Malware Protection のカスタマイズ............................................................................................. 27 全般設定 .......................................................................................................................... 27 スキャンオプション .......................................................................................................... 28 Malware Protection スキャンを開始する GuardDuty の検索結果...................................................... 30 スキャンステータスと結果の監視................................................................................................ 30 Malware Protection のクォータ................................................................................................... 31 GuardDuty S3 Protection................................................................................................................... 34 GuardDuty S3 データイベントの使用方法を理解しましょう。......................................................... 34 スタンドアロンアカウントの S3 Protection の設定。..................................................................... 15 S3 Protection を有効または無効にするには.......................................................................... 16 マルチアカウント環境での S3 Protection の設定........................................................................... 35 組織メンバーアカウントの S3 Protection を自動的に有効にします。........................................ 36 メンバーアカウントで S3 Protection を選択的に有効または無効にするには............................... 36 iii Amazon GuardDuty Amazon GuardDuty ユーザーガイド 新しい GuardDuty アカウントの S3 Protection の自動無効化........................................................... 37 検出結果について.............................................................................................................................. 38 検出結果の詳細 ......................................................................................................................... 38 検出結果の概要................................................................................................................. 38 リソース .......................................................................................................................... 39 EBS ボリュームのスキャンの詳細....................................................................................... 42 アクション....................................................................................................................... 42 Malware Protection の検出結果詳細..................................................................................... 43 アクターまたはターゲット................................................................................................. 44 追加情報 .......................................................................................................................... 44 証拠 ................................................................................................................................ 44 異常な動作....................................................................................................................... 45 GuardDuty の検出結果の形式...................................................................................................... 47 脅威の目的....................................................................................................................... 48 サンプルの検出結果 .................................................................................................................. 50 GuardDuty の コンソールや API で使用したサンプル検出結果の生成........................................ 50 一般的な GuardDuty の検出結果の自動生成.......................................................................... 51 GuardDuty の検出結果の重要度................................................................................................... 52 GuardDuty の検出結果の集約...................................................................................................... 53 GuardDuty の検出結果を見つけて分析する................................................................................... 53 検出結果タイプ ................................................................................................................................. 55 EC2 の検出結果タイプ.............................................................................................................. 55 Backdoor:EC2/C&CActivity.B.............................................................................................. 56 Backdoor:EC2/C&CActivity.B!DNS....................................................................................... 57 Backdoor:EC2/DenialOfService.Dns..................................................................................... 57 Backdoor:EC2/DenialOfService.Tcp..................................................................................... 58 Backdoor:EC2/DenialOfService.Udp..................................................................................... 58 Backdoor:EC2/DenialOfService.UdpOnTcpPorts..................................................................... 59 Backdoor:EC2/DenialOfService.UnusualProtocol.................................................................... 59 Backdoor:EC2/Spambot..................................................................................................... 60 Behavior:EC2/NetworkPortUnusual...................................................................................... 60 Behavior:EC2/TrafficVolumeUnusual.................................................................................... 60 CryptoCurrency:EC2/BitcoinTool.B....................................................................................... 61 CryptoCurrency:EC2/BitcoinTool.B!DNS................................................................................ 61 Impact:EC2/AbusedDomainRequest.Reputation..................................................................... 62 Impact:EC2/BitcoinDomainRequest.Reputation...................................................................... 62 Impact:EC2/MaliciousDomainRequest.Reputation................................................................... 63 Impact:EC2/PortSweep...................................................................................................... 63 Impact:EC2/SuspiciousDomainRequest.Reputation................................................................. 64 Impact:EC2/WinRMBruteForce............................................................................................ 64 Recon:EC2/PortProbeEMRUnprotectedPort........................................................................... 65 Recon:EC2/PortProbeUnprotectedPort................................................................................. 65 Recon:EC2/Portscan......................................................................................................... 66 Trojan:EC2/BlackholeTraffic................................................................................................ 66 Trojan:EC2/BlackholeTraffic!DNS......................................................................................... 67 Trojan:EC2/DGADomainRequest.B...................................................................................... 67 Trojan:EC2/DGADomainRequest.C!DNS............................................................................... 68 Trojan:EC2/DNSDataExfiltration.......................................................................................... 68 Trojan:EC2/DriveBySourceTraffic!DNS................................................................................. 69 Trojan:EC2/DropPoint........................................................................................................ 69 Trojan:EC2/DropPoint!DNS................................................................................................. 69 Trojan:EC2/PhishingDomainRequest!DNS............................................................................. 70 UnauthorizedAccess:EC2/MaliciousIPCaller.Custom............................................................... 70 UnauthorizedAccess:EC2/MetadataDNSRebind..................................................................... 71 UnauthorizedAccess:EC2/RDPBruteForce............................................................................. 71 UnauthorizedAccess:EC2/SSHBruteForce............................................................................. 72 UnauthorizedAccess:EC2/TorClient...................................................................................... 73 iv Amazon GuardDuty Amazon GuardDuty ユーザーガイド UnauthorizedAccess:EC2/TorRelay...................................................................................... 73 IAM の検出結果タイプ............................................................................................................... 73 CredentialAccess:IAMUser/AnomalousBehavior..................................................................... 74 DefenseEvasion:IAMUser/AnomalousBehavior....................................................................... 75 Discovery:IAMUser/AnomalousBehavior................................................................................ 75 Exfiltration:IAMUser/AnomalousBehavior............................................................................... 76 Impact:IAMUser/AnomalousBehavior.................................................................................... 76 InitialAccess:IAMUser/AnomalousBehavior............................................................................ 77 PenTest:IAMUser/KaliLinux................................................................................................. 77 PenTest:IAMUser/ParrotLinux............................................................................................. 78 PenTest:IAMUser/PentooLinux............................................................................................ 78 Persistence:IAMUser/AnomalousBehavior............................................................................. 78 Policy:IAMUser/RootCredentialUsage................................................................................... 79 PrivilegeEscalation:IAMUser/AnomalousBehavior................................................................... 79 Recon:IAMUser/MaliciousIPCaller........................................................................................ 80 Recon:IAMUser/MaliciousIPCaller.Custom............................................................................. 80 Recon:IAMUser/TorIPCaller................................................................................................ 81 Stealth:IAMUser/CloudTrailLoggingDisabled.......................................................................... 81 Stealth:IAMUser/PasswordPolicyChange............................................................................... 81 UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B........................................................... 82 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS.................................... 82 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS.................................. 83 UnauthorizedAccess:IAMUser/MaliciousIPCaller..................................................................... 84 UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom......................................................... 84 UnauthorizedAccess:IAMUser/TorIPCaller............................................................................. 85 Kubernetes 検出結果タイプ........................................................................................................ 85 CredentialAccess:Kubernetes/MaliciousIPCaller..................................................................... 86 CredentialAccess:Kubernetes/MaliciousIPCaller.Custom.......................................................... 87 CredentialAccess:Kubernetes/SuccessfulAnonymousAccess.................................................... 87 CredentialAccess:Kubernetes/TorIPCaller............................................................................. 88 DefenseEvasion:Kubernetes/MaliciousIPCaller....................................................................... 88 DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom........................................................... 89 DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess...................................................... 89 DefenseEvasion:Kubernetes/TorIPCaller............................................................................... 90 Discovery:Kubernetes/MaliciousIPCaller................................................................................ 90 Discovery:Kubernetes/MaliciousIPCaller.Custom.................................................................... 91 Discovery:Kubernetes/SuccessfulAnonymousAccess.............................................................. 91 Discovery:Kubernetes/TorIPCaller........................................................................................ 92 Execution:Kubernetes/ExecInKubeSystemPod....................................................................... 92 Impact:Kubernetes/MaliciousIPCaller.................................................................................... 93 Impact:Kubernetes/MaliciousIPCaller.Custom........................................................................ 93 Impact:Kubernetes/SuccessfulAnonymousAccess................................................................... 94 Impact:Kubernetes/TorIPCaller............................................................................................ 94 Persistence:Kubernetes/ContainerWithSensitiveMount............................................................ 95 Persistence:Kubernetes/MaliciousIPCaller............................................................................. 95 Persistence:Kubernetes/MaliciousIPCaller.Custom.................................................................. 96 Persistence:Kubernetes/SuccessfulAnonymousAccess............................................................ 96 Persistence:Kubernetes/TorIPCaller..................................................................................... 97 Policy:Kubernetes/AdminAccessToDefaultServiceAccount....................................................... 97 Policy:Kubernetes/AnonymousAccessGranted....................................................................... 98 Policy:Kubernetes/ExposedDashboard.................................................................................. 98 Policy:Kubernetes/KubeflowDashboardExposed..................................................................... 98 PrivilegeEscalation:Kubernetes/PrivilegedContainer................................................................ 99 Malware Protection の検出結果のタイプ....................................................................................... 99 Execution:EC2/MaliciousFile.............................................................................................. 100 Execution:ECS/MaliciousFile............................................................................................. 100 Execution:Kubernetes/MaliciousFile.................................................................................... 100 v Amazon GuardDuty Amazon GuardDuty ユーザーガイド Execution:Container/MaliciousFile...................................................................................... 101 Execution:EC2/SuspiciousFile............................................................................................ 101 Execution:ECS/SuspiciousFile........................................................................................... 101 Execution:Kubernetes/SuspiciousFile.................................................................................. 102 Execution:Container/SuspiciousFile.................................................................................... 102 S3 の検出結果タイプ............................................................................................................... 103 Discovery:S3/AnomalousBehavior...................................................................................... 104 Discovery:S3/MaliciousIPCaller.......................................................................................... 104 Discovery:S3/MaliciousIPCaller.Custom.............................................................................. 105 Discovery:S3/TorIPCaller.................................................................................................. 105 Exfiltration:S3/AnomalousBehavior..................................................................................... 105 Exfiltration:S3/MaliciousIPCaller......................................................................................... 106 Impact:S3/AnomalousBehavior.Delete................................................................................. 106 Impact:S3/AnomalousBehavior.Permission.......................................................................... 107 Impact:S3/AnomalousBehavior.Write.................................................................................. 107 Impact:S3/MaliciousIPCaller.............................................................................................. 108 PenTest:S3/KaliLinux....................................................................................................... 108 PenTest:S3/ParrotLinux.................................................................................................... 109 PenTest:S3/PentooLinux.................................................................................................. 109 Policy:S3/AccountBlockPublicAccessDisabled...................................................................... 110 Policy:S3/BucketAnonymousAccessGranted........................................................................ 110 Policy:S3/BucketBlockPublicAccessDisabled........................................................................ 111 Policy:S3/BucketPublicAccessGranted................................................................................ 111 Stealth:S3/ServerAccessLoggingDisabled............................................................................ 112 UnauthorizedAccess:S3/MaliciousIPCaller.Custom................................................................ 112 UnauthorizedAccess:S3/TorIPCaller................................................................................... 112 廃止された検出結果タイプ........................................................................................................ 113 Exfiltration:S3/ObjectRead.Unusual.................................................................................... 113 Impact:S3/PermissionsModification.Unusual......................................................................... 114 Impact:S3/ObjectDelete.Unusual........................................................................................ 114 Discovery:S3/BucketEnumeration.Unusual........................................................................... 115 Persistence:IAMUser/NetworkPermissions........................................................................... 115 Persistence:IAMUser/ResourcePermissions......................................................................... 116 Persistence:IAMUser/UserPermissions................................................................................ 116 PrivilegeEscalation:IAMUser/AdministrativePermissions......................................................... 117 Recon:IAMUser/NetworkPermissions.................................................................................. 118 Recon:IAMUser/ResourcePermissions................................................................................ 118 Recon:IAMUser/UserPermissions....................................................................................... 119 ResourceConsumption:IAMUser/ComputeResources............................................................ 119 Stealth:IAMUser/LoggingConfigurationModified..................................................................... 120 UnauthorizedAccess:IAMUser/ConsoleLogin........................................................................ 120 UnauthorizedAccess:EC2/TorIPCaller................................................................................. 121 Backdoor:EC2/XORDDOS................................................................................................ 121 Behavior:IAMUser/InstanceLaunchUnusual.......................................................................... 121 CryptoCurrency:EC2/BitcoinTool.A..................................................................................... 122 UnauthorizedAccess:IAMUser/UnusualASNCaller................................................................. 122 リソース別の検出結果タイプ ..................................................................................................... 122 検出結果の表.......................................................................................................................... 122 検出結果の管理 ............................................................................................................................... 129 検出結果のフィルタリング........................................................................................................ 129 GuardDuty コンソールでのフィルターの作成...................................................................... 130 フィルターの属性 ............................................................................................................ 130 抑制ルール............................................................................................................................. 133 .................................................................................................................................... 133 抑制ルールの一般的ユースケースとその例 .......................................................................... 134 GuardDuty で抑制ルールを作成するには............................................................................. 135 .................................................................................................................................... 136 vi Amazon GuardDuty Amazon GuardDuty ユーザーガイド 信頼できる IP と 脅威リスト .................................................................................................... 137 リストフォーマット ......................................................................................................... 137 信頼できる IP リストと 脅威リストをアップロードするために必要な許可................................ 138 信頼できる IP リストと脅威リストに対するサーバー側の暗号化の使用.................................... 138 信頼できる IP リストと脅威リストをアップロードするには................................................... 139 信頼できる IP リストや脅威リストを有効または無効にするには............................................. 139 信頼できる IP リストと脅威リストを更新するには............................................................... 140 検出結果のエクスポート........................................................................................................... 140 検出結果のエクスポートの設定に必要な許可 ....................................................................... 141 GuardDuty に KMS キーへの許可を付与する....................................................................... 141 GuardDuty に対するバケットへの許可の付与...................................................................... 142 コンソールを使用した検出結果のバケットへのエクスポート.................................................. 144 エクスポートアクセスエラー ............................................................................................. 146 更新のエクスポート頻度................................................................................................... 147 CloudWatch Events を使用したレスポンスの自動化..................................................................... 147 GuardDuty の CloudWatch Events 通知頻度........................................................................ 148 GuardDuty の CloudWatch イベント形式............................................................................ 148 GuardDuty の検出結果を通知する CloudWatch Events ルールの作成 (コンソール).................... 149 GuardDuty (CLI) の CloudWatch Events とターゲットの作成................................................. 153 GuardDuty マルチアカウント環境の CloudWatch Events....................................................... 154 CloudWatch Logs とスキップ理由を理解する.............................................................................. 155 GuardDuty Malware Protection の CloudWatch Logs の監査................................................... 155 GuardDuty Malware Protection ログの保持.......................................................................... 156 リソースをスキップする理由 ............................................................................................. 156 Malware Protection の誤検出の報告........................................................................................... 158 誤検出ファイル提出 ......................................................................................................... 159 検出結果の修復 ............................................................................................................................... 160 侵害された EC2 インスタンスの修復......................................................................................... 160 侵害された S3 バケットの修復 .................................................................................................. 160 侵害された ECS クラスターの修復 ............................................................................................ 162 侵害された AWS 認証情報の修復 .............................................................................................. 162 侵害されたスタンドアロンコンテナの修復 .................................................................................. 163 Kubernetes 検出結果の修復...................................................................................................... 164 設定の問題..................................................................................................................... 164 侵害されたユーザー ......................................................................................................... 165 侵害されたポッド ............................................................................................................ 167 侵害されたコンテナイメージ ............................................................................................. 168 侵害されたノード ............................................................................................................ 168 複数のアカウントの管理................................................................................................................... 169 AWS Organizations を使用した複数のアカウントの管理............................................................... 169 招待による複数のアカウントの管理........................................................................................... 169 GuardDuty 管理者とメンバーアカウントの関係........................................................................... 169 AWS Organizations を使用したアカウントの管理........................................................................ 171 GuardDuty の委任された管理者のための重要な考慮事項....................................................... 171 委任された管理者の指定に必要な許可................................................................................ 172 GuardDuty の委任された管理者の指定................................................................................ 173 GuardDuty 管理者アカウントの単一の組織の委任された管理者への統合.................................. 176 GuardDuty の委任された管理者の登録解除.......................................................................... 177 招待によるアカウントの管理 ..................................................................................................... 177 招待による管理者およびメンバーアカウントの指定 (コンソール)........................................... 178 招待による GuardDuty 管理者およびメンバーアカウントの指定 (API)..................................... 179 複数のアカウントで同時に GuardDuty を有効にする............................................................ 181 コストの見積もり............................................................................................................................ 183 推定使用コストの計算方法について........................................................................................... 183 GuardDuty 使用状況の統計を確認する (コンソール)..................................................................... 183 GuardDuty 使用状況の統計を確認する (API)................................................................................ 184 セキュリティ.................................................................................................................................. 185 vii Amazon GuardDuty Amazon GuardDuty ユーザーガイド データ保護............................................................................................................................. 185 保管中の暗号化............................................................................................................... 186 転送中の暗号化............................................................................................................... 186 サービス改善のためのデータの使用をオプトアウトする ........................................................ 186 CloudTrail によるログ記録........................................................................................................ 187 CloudTrail での GuardDuty 情報........................................................................................ 187 例: GuardDuty ログアーカイブエントリ.............................................................................. 188 Identity and Access Management.............................................................................................. 189 対象者........................................................................................................................... 189 アイデンティティを使用した認証...................................................................................... 189 ポリシーを使用したアクセスの管理................................................................................... 192 AWS GuardDuty が IAM で機能する方法............................................................................ 193 アイデンティティベースポリシー例................................................................................... 198 サービスにリンクされたロールの使用................................................................................ 204 トラブルシューティング................................................................................................... 213 AWS マネージドポリシー......................................................................................................... 215 .................................................................................................................................... 216 AmazonGuardDutyFullAccess............................................................................................ 216 AmazonGuardDutyReadOnlyAccess................................................................................... 217 AWSServiceRoleForAmazonGuardDuty.............................................................................. 217 ポリシーの更新............................................................................................................... 218 コンプライアンス検証.............................................................................................................. 219 回復力................................................................................................................................... 219 インフラストラクチャセキュリティ........................................................................................... 220 GuardDuty との統合........................................................................................................................ 221 GuardDuty と AWS Security Hub の統合.................................................................................... 221 GuardDuty と Amazon Detective の統合..................................................................................... 221 Security Hub の統合................................................................................................................ 221 Amazon GuardDuty が AWS Security Hub へ検出結果を送信する方法..................................... 222 AWS Security Hub での GuardDuty の検出結果の表示.......................................................... 222 統合の有効化と構成 ......................................................................................................... 229 検出結果の Security Hub への公開の停止............................................................................ 229 Detective 統合........................................................................................................................ 229 統合の有効化.................................................................................................................. 229 GuardDuty の検出結果から Amazon Detective へのピボット.................................................. 230 GuardDuty マルチアカウント環境との統合を使用します。.................................................... 230 停止または無効化............................................................................................................................ 231 GuardDuty のお知らせ..................................................................................................................... 232 Amazon SNS メッセージ形式................................................................................................... 234 クォータ........................................................................................................................................ 237 トラブルシューティング................................................................................................................... 239 Malware Protection を有効にしたいのですが、iam:GetRole エラーが発生します。......................... 239 複数のアカウントを管理したいのですが、必要な AWS Organizations マスター許可がありません。..... 239 私は Malware Protection を有効にする必要がある管理者ですが、GuardDuty を管理するために AWS マネージドポリシー: AmazonGuardDutyFullAccess を使用していません。...................................... 239 その他の問題のトラブルシューティング ..................................................................................... 240 リージョンとエンドポイント ............................................................................................................. 241 ドキュメント履歴............................................................................................................................ 242 以前の更新............................................................................................................................. 250 AWS 用語集................................................................................................................................... 251 viii Amazon GuardDuty Amazon GuardDuty ユーザーガイド GuardDuty の料金 Amazon GuardDuty とは Amazon GuardDuty は、Amazon S3 、CloudTrail 管理イベントログ、DNS ログ、Amazon EBS ボリュー ムデータ、Amazon EKS 監査ログ、Amazon VPC フローログの AWS CloudTrail データイベントといっ たデータソース (p. 11)を分析して処理する、継続的なセキュリティモニタリングサービスです。悪 意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードおよび機械学習を使用し て、AWS 環境内での予期しない、および潜在的に未許可で悪意のあるアクティビティを識別します。この アクティビティには、権限のエスカレートや、公開されている認証情報の使用、悪意のある IP アドレスで の通信、Amazon EC2 インスタンスおよびコンテナ ワークロードでのマルウェアの存在も含まれます。例 えば、GuardDuty はマルウェアやマイニングビットコインに使われている侵害された EC2 インスタンスお よびコンテナワークロードを検出できます。また、AWS アカウントのアクセス動作をモニタリングして、 これまで使用されたことのないリージョンでデプロイされたようなインスタンスのようなインフラストラ クチャデプロイ、あるいはパスワードの強度を落とすためのパスワードポリシー変更のような API コール などの、侵害の兆候を探します。 GuardDuty では、GuardDuty コンソールまたは Amazon CloudWatch イベント (p. 147)を通して見られ るセキュリティの検出結果 (p. 38)を生成することによって、AWS 環境のステータスをお知らせしま す。 GuardDuty の料金 GuardDuty のコストの詳細については、「Amazon GuardDuty の料金」を参照してください。 GuardDuty へのアクセス GuardDuty は次のいずれかの方法で使用できます。 GuardDuty のコンソール https://console.aws.amazon.com/guardduty コンソールは、GuardDuty にアクセスして使用するためのブラウザベースのインターフェイスです。 AWS SDK AWS には、さまざまなプログラミング言語およびプラットフォーム (Java、Python、Ruby、.NET、iOS、Android など) のライブラリとサンプルコードで構成されたソフ トウェア開発キット (SDK) が用意されています。SDK は、GuardDuty へのアクセス権をプログラム によって作成するのに役立ちます。ダウンロードやインストールなどの方法を含む AWS SDK の詳細 については、「Tools for Amazon Web Services」(Amazon Web Services 用のツール) を参照してくだ さい。 GuardDuty HTTPS API サービスに HTTPS リクエストを直接発行できる GuardDuty HTTPS API を使用して、プログラムによ り GuardDuty と AWS にアクセスできます。詳細については、「GuardDuty API リファレンス」を参 照してください。 1 Amazon GuardDuty Amazon GuardDuty ユーザーガイド 開始する前に GuardDuty の開始方法 このチュートリアルでは、GuardDuty の実践入門を学習します。GuardDuty をスタンドアロンアカウン トとして、または AWS Organizations を用いて GuardDuty 管理者として有効にするための最小要件はス テップ 1 で説明します。ステップ 2 ~ 5 では、検出結果を最大限に活用するために、GuardDuty が推奨す る追加機能の使用をカバーします。 トピック • 開始する前に (p. 2) • ステップ 1: Amazon GuardDuty を有効にする (p. 3) • ステップ 2: サンプル検出結果を生成し、ベーシックなオペレーションの詳細を確認する (p. 4) • ステップ 3: S3 バケットへの GuardDuty の検出結果のエクスポートを設定する (p. 5) • ステップ 4: SNS を使用して GuardDuty の検出結果アラートを設定する (p. 6) • 次のステップ (p. 8) 開始する前に GuardDuty は、AWS CloudTrail 管理イベント、および Amazon S3、DNS ログ、Amazon EKS 監査ロ グ、Amazon VPC フローログの AWS CloudTrail データイベントを監視する脅威検出サービスです。 また、Amazon GuardDuty の Malware Protection (p. 19) の Amazon EBS ボリュームデータを分析 します。これらは GuardDuty 内で個別に有効にする必要があります。これらのデータソースを使用し て、GuardDuty はアカウントのセキュリティ結果を生成します。GuardDuty を有効にすると、すぐに環境 のモニタリングが開始されます。GuardDuty はいつでも無効化して、AWS CloudTrail 管理イベント、およ び S3、DNS ログ、EKS 監査ログ、EBS ボリュームデータ、VPC フローログの AWS CloudTrail データイ ベントを処理しないように設定できます。 Note GuardDuty サービスを有効にする前に、AWS CloudTrail 管理イベント、および S3、DNS ロ グ、EKS 監査ログ、VPC フローログの AWS CloudTrail データイベントを有効にする必要はあ りません。Amazon GuardDuty は、これらのサービスから直接、データの独立したストリームを 取得します。新しい GuardDuty アカウントでは、GuardDuty Kubernetes Protection、Malware Protection、および S3 Protection がデフォルトで有効になっており、それらの一部または すべてをオプトアウトできます。既存の GuardDuty のお客様は、GuardDuty Kubernetes Protection、Malware Protection、S3 Protection のいずれか、またはすべての保護プランを有効 にするよう選択できます。詳細については、「Amazon GuardDuty でデータソースを使用する方 法 (p. 11)」を参照してください。 GuardDuty の有効化については、次の点に注意してください。 • GuardDuty はリージョンレベルのサービスです。つまり、このページで従う構成手順はすべ て、GuardDuty でモニタリングしたいリージョンごとに繰り返す必要があります。 AWS は、サポートされているすべてのリージョンで GuardDuty を有効にすることを強くお勧めしま す。このように設定することで、GuardDuty はアクティブに使用されていないリージョンでも、許可 されていないアクティビティや異常なアクティビティに関する検出結果を生成できます。また、これ により GuardDuty が有効となり、IAM などのグローバルな AWS のサービスのための AWS CloudTrail イベントのモニタリングが可能となります。GuardDuty がサポートされているすべてのリージョンで 有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下しま す。GuardDuty がサポートされているリージョンの詳細リストについては、「リージョンとエンドポイ ント (p. 241)」を参照してください。 • AWS アカウントに 管理者アクセス権を持つユーザーは、誰でも GuardDuty を有効にできますが、最 小特権というセキュリティのベストプラクティスに従って、GuardDuty を専門に管理するために、IAM 2
Description: