投稿日: Mar 12, 2021

Amazon GuardDuty では、新しい機械学習の手法が組み込まれました。これは、AWS アカウント内において、悪意のある可能性があるユーザーアクティビティを、異常ではあるが問題のないオペレーション動作から識別するのに非常に効果的であることが証明されています。この新機能は、アカウント内の API 呼び出しを継続的にモデル化し、確率的予測を組み込んで、非常に疑わしいユーザーの行動をより正確に分離して警告します。この新しいアプローチは、発見、初期アクセス、永続性、特権の昇格、防御回避、認証情報へのアクセス、影響、データ流出など、既知の攻撃戦術に関連する悪意のあるアクティビティを特定することが証明されています。新しい脅威検出は、追加の対応および追加の費用なしで、既存のすべての Amazon GuardDuty のお客様にご利用いただけます。

この最新の拡張機能は、GuardDuty の既存の AWS CloudTrail ベースの異常脅威検出をアップグレードして、精度を向上させ、対象の AWS のサービスの範囲を拡大し、アラートへの応答に役立つコンテキストデータを提供します。この機能拡張により、異常検出のみの場合と比較して、疑わしいユーザーの動作に対するアラートの量が 50% 超減少し、GuardDuty が提供する AWS のサービスのカバレッジも 3 倍になります。これらの新しい脅威検出で生成されたコンテキストデータは、GuardDuty コンソールで表示でき、検出結果としての JSON ファイルが Amazon EventBridge を介してプッシュされます。このコンテキストデータを使用すると、どの AWS のサービスが影響を受ける可能性があるのか、この疑わしい動作には、どのような攻撃戦術が関連しているのか、 アクティビティに関する異常は何だったか、 そして、個々のユーザーや、同じ AWS アカウントを使用する他のすべてのユーザーに期待される動作は何か、などの質問に迅速に回答できます。 この機能は、後日追加される予定の AWS GovCloud および中国リージョンを除く、Amazon GuardDuty がサポートされるすべてのリージョンでご利用いただけるようになりました。追加された 8 つの新しい脅威検出は次のとおりです。

  1. Discovery:IAMUser/AnomalousBehavior 
  2. InitialAccess:IAMUser/AnomalousBehavior
  3. Persistence:IAMUser/AnomalousBehavior
  4. PrivilegeEscalation:IAMUser/AnomalousBehavior
  5. DefenseEvasion:IAMUser/AnomalousBehavior
  6. CredentialAccess:IAMUser/AnomalousBehavior
  7. Impact:IAMUser/Anomalous
  8. BehaviorExfiltration:IAMUser/AnomalousBehavior

世界中で利用可能な Amazon GuardDuty は、継続的に悪意のある動作や許可されていない動作をモニタリングし、AWS のアカウント、アクセスキーや EC2 インスタンスなどの AWS のリソースを保護するのに役立ちます。AWS マネジメントコンソールを使用すれば、ワンクリックで Amazon GuardDuty の 30 日間無料トライアルを有効にできます。詳細については、Amazon GuardDuty の検出結果を参照してください。また、新しい Amazon GuardDuty 機能および脅威検出に関するプログラムによる更新情報を受け取るには、Amazon GuardDuty SNS トピックにサブスクライブしてください。