Amazon GuardDuty の新しいカスタムエンティティリストによる脅威検出の強化
AWS は本日、Amazon GuardDuty におけるエンティティリストを使用したカスタム脅威検出の一般提供開始を発表しました。この新機能により、当初サポートされていたカスタム IP リスト以外にも、独自のドメインベースの脅威インテリジェンスをサービスに組み込むためのサポートが拡大され、GuardDuty の脅威検出機能が強化されます。カスタム脅威リストに定義されている悪意のあるドメインまたは IP アドレスを使用して、GuardDuty で脅威を検出できるようになりました。この更新の一環として、GuardDuty では、新しい検出結果タイプであるImpact:EC2/MaliciousDomainRequest.Custom が導入されました。これは、カスタム脅威リスト内のドメインに関連するアクティビティが検出されたときにトリガーされます。さらに、エンティティリストを使用すると、信頼できるソースからのアラートを抑制できるため、脅威検出戦略をより細かく制御できます。
エンティティリストは、以前の IP アドレスリストと比較して柔軟性が向上しています。この新しいリストには、IP アドレス、ドメイン、またはその両方を含めることができるため、より包括的な脅威インテリジェンスの統合が可能になります。従来の IP リスト形式とは異なり、エンティティリストでは権限管理が簡素化され、複数の AWS リージョンにわたる IAM ポリシーのサイズ制限への影響を回避できるため、AWS 環境全体にカスタム脅威検出を実装して管理するのが容易になります。
GuardDuty カスタムエンティティリストは、中国リージョンと GovCloud (米国) リージョンを除く、GuardDuty が提供されているすべての AWS リージョンで利用できます。