Amazon とは GuardDuty - Amazon GuardDuty
の機能 GuardDutyPCI DSS コンプライアンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon とは GuardDuty

Amazon GuardDuty は、 AWS 環境内の特定の AWS データソースとログを継続的にモニタリング、分析、処理する脅威検出サービスです。 GuardDuty は、悪意のある IP アドレスやドメインのリスト、機械学習 (ML) モデルなどの脅威インテリジェンスフィードを使用して、 AWS 環境内の予期しない、潜在的に不正なアクティビティを特定します。これには、次の問題が含まれます。

  • 特権のエスカレーション、公開された認証情報の使用、悪意のある IP アドレスやドメインとの通信。

  • Amazon EC2 インスタンスとコンテナワークロードにマルウェアが存在し、Amazon S3 バケットに新しくアップロードされたファイルがある。

  • データベースでのログインイベントの異常なパターンの検出。

例えば、マルウェアやマイニングビットコインを処理する、侵害された可能性のある EC2 インスタンスとコンテナワークロードを検出 GuardDuty できます。また、不正なインフラストラクチャのデプロイなどの潜在的な侵害の兆候がないか、 AWS アカウントのアクセス動作をモニタリングします。例えば、以前に使用したことがないリージョンにデプロイされたインスタンスや、パスワード強度を低下させるためにパスワードポリシーの変更を提案する異常な API コールなどです。

内容

の機能 GuardDuty

ここでは、Amazon が AWS 環境内の潜在的な脅威のモニタリング、検出、管理 GuardDuty に役立つ主な方法をいくつか紹介します。

特定のデータソースとイベントログを継続的にモニタリングする

  • 基盤データソースを自動的にモニタリングする – GuardDuty で を有効にすると AWS アカウント、 はそのアカウントに関連付けられた基盤データソースの取り込み GuardDuty を自動的に開始します。これらのデータソースには、 AWS CloudTrail 管理イベント、 AWS CloudTrail イベントログ、VPC フローログ (Amazon EC2 インスタンスから)、DNS ログが含まれます。がこれらのデータソースの分析と処理を開始 GuardDuty して関連するセキュリティ検出結果を生成するために、他のものを有効にする必要はありません。詳細については、「基礎データソース」を参照してください。

  • オプションの GuardDuty 保護プランを有効にする – AWS 環境のセキュリティ体制をより詳細に可視化するために、 GuardDuty では、有効にすることを選択できるさまざまな保護プランを提供しています。保護プランは、他の AWS サービスのログとイベントをモニタリングするのに役立ちます。これらのソースには、EKS 監査ログ、RDS ログインアクティビティ、S3 ログ、EBS ボリューム、ランタイムモニタリング、Lambda ネットワークアクティビティログが含まれます。 GuardDuty は、これらのログソースとイベントソースを - 機能 という用語で統合します。サポートされている で 1 つ以上のオプションの保護プランを AWS リージョン いつでも有効にできます。 GuardDuty は、有効にした保護プランに基づいて、アクティビティのモニタリング、処理、分析を開始します。各保護プランとその仕組みの詳細については、対応する保護プランドキュメントを参照してください。

    注記

    GuardDuty は、Amazon GuardDuty サービスを有効にすることなく、Malware Protection for S3 を個別に使用できる柔軟性を提供します。Malware Protection for S3 の使用を開始する方法の詳細については、「」を参照してくださいGuardDuty S3 のマルウェア保護。他のすべての保護プランを使用するには、 GuardDuty サービスを有効にする必要があります。

マルウェアの存在を検出し、セキュリティ検出結果を生成します。

がリソースに関連する潜在的なセキュリティ脅威 GuardDuty を検出すると AWS 、侵害された可能性のあるリソースに関する情報を提供するセキュリティ検出結果の生成が開始されます。関連する の生成サンプルの検出結果と表示について調べることができます検出結果の詳細。で識別される各リソースタイプに対して生成される可能性のあるセキュリティ検出結果の完全なリストについては GuardDuty、「」を参照してください検出結果タイプ

生成されたセキュリティ検出結果を管理する

が検出結果を生成したときに GuardDuty通知を受信する EventBridge ように Amazon を設定したり、推奨ステップを使用して検出結果を修正したり、生成された検出結果をフィルタリングして傾向を特定したり、検出結果を S3 バケットにエクスポートしたりできます。詳細については、「 GuardDuty 結果の管理」を参照してください。

関連する AWS セキュリティサービスとの統合

環境のセキュリティ傾向の分析と調査をさらに支援するには、以下の AWS セキュリティ関連サービスを と組み合わせて使用することを検討してください AWS GuardDuty。

  • Amazon Detective — このサービスは、セキュリティ検出結果や疑わしいアクティビティの根本原因の分析、調査、および迅速な特定に役立ちます。Detective は、 AWS リソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。Detective の事前構築されたデータ集約、概要、コンテキストは、潜在的なセキュリティ問題の性質と範囲の分析と判断に役立ちます。

    GuardDuty と Detective を一緒に使用する方法については、「」を参照してくださいAmazon Detective GuardDuty との統合。Detective の詳細については、「Amazon Detective ユーザーガイド」を参照してください。

  • AWS Security Hub – このサービスでは、 リソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして AWS 環境をチェックできます AWS 。これは、複数の AWS サービス (Amazon Macie を含む) およびサポートされている パートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。 AWS Security Hub は、セキュリティの傾向を分析し、 AWS 環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。

    GuardDuty と Security Hub を一緒に使用する方法については、「」を参照してください GuardDuty との統合 AWS Security Hub。Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。

マルチアカウント環境を管理する

マルチアカウント AWS 環境を管理するには、 AWS Organizations (推奨) または招待の方法を使用します。詳細については、「複数のアカウントの管理」を参照してください。

PCI DSS コンプライアンス

GuardDuty は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、保存、および送信をサポートし、Payment Card Industry (PCI) Data Security Standard (DSS) に準拠していることが確認されています。PCI コンプライアンスパッケージのコピーをリクエストする方法など、 AWS PCI DSS の詳細については、「PCI DSS レベル 1」を参照してください。