30 日間の無料トライアルを開始する
AWS アカウント、インスタンス、サーバーレス、コンテナワークロード、ユーザー、データベース、およびストレージを継続的にモニタリングし、潜在的な脅威を検出します。
異常検出、ML、動作モデリング、AWS と主要なサードパーティーからの脅威インテリジェンスフィードを使用して、脅威を迅速に明らかにします。
自動化された応答を開始することにより、脅威を早期に軽減します。
脅威検出を環境全体に迅速かつ簡単に拡張します。
仕組み
この図では、GuardDuty の機能と、さまざまな AWS ワークロードやリソースタイプとの統合について詳しく説明しています。この図は、左から右に表示される 5 つのセクションに分かれています。
最初のセクションは「Amazon GuardDuty」というタイトルで、「侵害されたアカウント、異常な行動、マルウェアを継続的に監視する脅威検出サービス」と書かれています。
2 番目のセクションのタイトルは「GuardDuty の有効化」です。 2 番目のセクションでは、「コンソールでいくつかのステップを実行するだけで、追加のソフトウェアをデプロイしたり管理したりすることなく、すべての AWS アカウントをモニタリングできます」と記述されています。
3 番目のセクションでは、Amazon GuardDuty を使用して脅威を継続的にモニタリングできるさまざまなワークロードとリソースの種類について説明します。概説している項目は、Amazon S3、データベース、コンテナワークロード、インスタンスワークロード、アカウントとユーザー、サーバーレスです。
3 番目のセクションでは、ワークロードとリソースタイプの下に、「継続的に分析」というタイトルのボックスがあります。 次に、ボックスには「AWS のワークロードとリソースを自動的かつ継続的に監視して、潜在的な脅威を大規模に検出します」と表示されます。
4 番目のセクションには、アラートアイコンまたは警告アイコンが付いた十字線を描いた図があります。このセクションでは、GuardDuty が脅威をインテリジェントに検出する方法について説明しており、「GuardDuty は機械学習、異常検出、マルウェアスキャン、統合脅威インテリジェンスを使用して、潜在的な脅威を特定して優先順位を付けます」と記述されています。
AWS ワークロード保護のための Amazon GuardDuty
Amazon GuardDuty は基盤となるデータソースからのデータを分析して処理し、AWS Identity and Access Management (IAM) アクセスキーと Amazon Elastic Compute Cloud (Amazon EC2) に関する異常を検出します。また、GuardDuty 保護プランを有効にして AWS 環境内の他の AWS サービスからの追加データを分析し、Amazon S3、Amazon EKS、Amazon RDS、および AWS Lambda を使用するワークロードを保護することができます。
GuardDuty EKS Protection
GuardDuty EKS Protection は、Amazon EKS 監査ログを分析することによって Amazon EKS クラスターコントロールプレーンのアクティビティをモニタリングする GuardDuty の機能です。
GuardDuty EKS Runtime Monitoring
30 を超えるセキュリティ検出結果からランタイムの脅威を検出し、Amazon EKS クラスターを保護します。EKS Runtime Monitoring は、ファイルアクセス、プロセスの実行、ネットワーク接続など、個々のコンテナのランタイムアクティビティを可視化するフルマネージド型の EKS アドオンを使用します。
GuardDuty Malware Protection
Amazon EC2 インスタンスまたは Amazon EC2 で実行されているコンテナワークロードのいずれかが疑わしい動作をしていることを GuardDuty が検出したときに、ワークロードをスキャンしてマルウェアを探します。
GuardDuty RDS Protection
GuardDuty は、カスタマイズされた機械学習モデルと統合された脅威インテリジェンスを使用して、重大度の高いブルートフォース攻撃、疑わしいログイン、既知の脅威アクターによるアクセスなど、Amazon Aurora をはじめとする Amazon リレーショナルデータベースサービス (Amazon RDS) の潜在的な脅威を検出できます。
GuardDuty Lambda Protection
VPC フローログから始まるサーバーレスワークロードからのネットワークアクティビティを継続的にモニタリングし、不正な暗号通貨マイニングのために悪意を持って転用された AWS Lambda 関数や、既知の脅威アクターサーバーと通信している侵害された Lambda 関数などの脅威を検出します。
ユースケース
セキュリティ運用の可視性を向上させる
Amazon Simple Storage Service (S3) における漏洩した認証情報、異常なデータアクセス、Amazon Aurora における不審なログイン、既知の悪意のある IP アドレスからの API 呼び出しを把握することができます。
アナリストの調査を支援し、修復を自動化する
コンテキスト、メタデータ、影響を受けるリソースの詳細を含む検出結果を受け取ります。Amazon Detective で根本原因を突き止めましょう。検出結果を AWS Security Hub と Amazon EventBridge にルーティングします。
マルウェアを含むファイルの特定
Elastic Compute Cloud (EC2) 上で動作するインスタンスとコンテナのワークロードで、マルウェアが疑わしい動作をする可能性のあるファイルを Amazon Elastic Block Store (EBS) でスキャンします。
コンテナ環境における脅威の検出と軽減
Amazon EKS 監査ログとコンテナランタイムアクティビティを分析することで、コンテナワークロードで発生する可能性のある悪意のある、または疑わしい動作を特定してプロファイリングします。
