投稿日: Jul 6, 2022
Amazon Simple Storage Service (Amazon S3) バケットに保存されているデータへの異常なアクセスを効果的に検出する、新しい機械学習技術が Amazon GuardDuty に組み込まれました。この新機能は、アカウント内の S3 データプレーン API 呼び出し (GET、PUT、DELETE など) を継続的にモデル化し、確率的予測を組み込んで、S3 バケットに保存されているデータへの疑わしいユーザーアクセス (異常な地理的位置からのリクエスト、データの不正引き出しと思われる不自然に多い API コールなど) をより正確に判断して警告を発します。この新しい機械学習アプローチでは、データの検出、改ざん、不正引き出しなど、既知の攻撃戦術に関連する悪意のあるアクティビティをより正確に特定できます。新しい脅威検出は、追加の対応および追加の費用なしで、GuardDuty S3 Protection が有効になっている、既存のすべての Amazon GuardDuty のお客様がご利用いただけます。GuardDuty をまだ使用していない場合、サービスを有効にすると、S3 Protection はデフォルトでオンになっています。GuardDuty を既に使用していて S3 Protection をまだ有効にしていない場合は、GuardDuty コンソールからワンクリックで、または API を通じて、組織全体でこの機能を有効にできます。
この最新の拡張機能では、GuardDuty の既存の CloudTrail S3 データプレーンベースの異常脅威検出をアップグレードして精度を向上させ、インシデントの調査と対応をサポートするコンテキストデータを提供します。これらの新しい脅威検出で生成されたコンテキストデータは、GuardDuty コンソールで表示でき、検出結果としての JSON ファイルが Amazon EventBridge を介してプッシュされます。このコンテキストデータがあれば、「対象のアクティビティの何が異常だったのですか」 「S3 バケットには通常どこからアクセスされているのですか」 「アクセスした S3 バケットからオブジェクトを取得するために行われる API コールの回数は、通常どのくらいですか」などの質問に即答できるでしょう。 この機能は、AWS アジアパシフィック (大阪)、AWS アジアパシフィック (ジャカルタ)、AWS GovCloud (米国東部)、AWS GovCloud (米国西部)、AWS 中国 (北京)、AWS 中国 (寧夏) を除く、Amazon GuardDuty がサポートされているすべてのリージョンで利用できます。上記のリージョンについても、後日利用可能になる予定です。追加された 5 つの新しい脅威検出は次のとおりです。
- Discovery:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Write
- Impact:S3/AnomalousBehavior.Delete
- Exfiltration:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Permission
Amazon GuardDuty は世界中で利用可能で、悪意のある動作や不正な動作を継続的にモニタリングして、AWS アカウント、アクセスキー、EC2 インスタンス、EKS クラスター、S3 に保存されているデータなどの AWS リソースを保護するのをサポートします。脅威を検出するための脅威インテリジェンス、機械学習、および異常検出技術を搭載した GuardDuty は、AWS 環境の保護を支援するために継続的に進化しています。
AWS マネジメントコンソールを使用すれば、ワンクリックで Amazon GuardDuty の 30 日間無料トライアルを開始できます。GuardDuty が利用できる全リージョンの詳細については、AWS リージョンのページを参照してください。GuardDuty の新しい機能および脅威検出に関する更新情報をプログラムで受け取るには、Amazon GuardDuty SNS トピックをサブスクライブしてください。