- セキュリティ、アイデンティティ、コンプライアンス›
- Amazon GuardDuty›
- よくある質問
Amazon GuardDuty に関するよくある質問
サービスの概要
Amazon GuardDuty とは何ですか?
GuardDuty は、AWS アカウント、ワークロード、実行時のアクティビティ、悪意のあるアクティビティのデータを継続的にモニタリングするインテリジェントな脅威検出サービスです。異常な動き、認証情報の抽出、コマンドおよびコントロールインフラストラクチャ (C2) 通信などの潜在的な悪意のあるアクティビティが検出された場合、GuardDuty はセキュリティの可視化と修復の支援に使用できる詳細なセキュリティの検出結果を生成します。
GuardDuty の主な利点は何ですか?
GuardDuty を使用すると、AWS のアカウント、ワークロード、実行時のアクティビティの継続的なモニタリングをより簡単に実行できます。GuardDuty は、リソースから完全に独立して動作し、ワークロードのパフォーマンスや可用性に影響を与えないように設計されています。このサービスは、統合された脅威インテリジェンス、機械学習 (ML) 異常検出、およびマルウェアスキャンによって完全に管理されます。GuardDuty は、詳細で実用的なアラートを提供し、既存のイベント管理およびワークフローシステムと統合できるように設計されています。前払費用は発生せず、分析したイベントに対してのみ料金が発生し、デプロイのための追加ソフトウェアや脅威インテリジェンスフィードの受信登録は不要です。
GuardDuty にはどれくらいのコストがかかりますか?
GuardDuty は従量制料金のサービスであり、使用した分の料金のみをお支払いいただきます。GuardDuty の料金は、分析されたサービスログの量、仮想 CPU (vCPU) または Aurora Serverless v2 インスタンス Aurora キャパシティユニット (ACU) (Amazon RDS イベント分析の場合)、実行時にモニタリングされる Amazon Elastic Kubernetes Service (Amazon EKS) または Amazon Elastic Container Service (Amazon ECS) ワークロードの数とサイズ、およびマルウェアがないかどうかを確認するためにスキャンされたデータの量に基づきます。
分析されたサービスログは、コスト最適化のためにフィルタリングされ、GuardDuty に直接統合されているため、個別に有効化したり料金を支払ったりする必要はありません。 アカウントで EKS ランタイムモニタリングが有効になっている場合、GuardDuty エージェントがデプロイされアクティブになっているインスタンスからの VPC フローログの分析には課金されません。ランタイムセキュリティエージェントは、類似した (よりコンテキストに即した) ネットワークテレメトリデータを提供します。したがって、お客様への二重請求を避けるため、エージェントがインストールされている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからの VPC フローログについては課金しません。
その他の詳細と料金の例については、「Amazon GuardDuty の料金」をご覧ください。
GuardDuty 支払者アカウントの推定コストは、リンクしたアカウントすべてに対する合計コストを示しているのですか、それともその支払人のアカウントのみですか?
見積もりコストは、個々の支払者アカウントのコストを表し、GuardDuty 管理者アカウントで各メンバーアカウントの請求済み使用量と 1 日の平均コストを確認できます。詳細な使用量情報を確認するには、個々のアカウントにアクセスする必要があります。
GuardDuty の無料トライアルはありますか?
はい。GuardDuty の新しいアカウントであれば、無料で 30 日間サービスをご利用いただけます。無料トライアル中はすべての機能セットと検出をご使用いただけます。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。
GuardDuty 機能をまだ有効にしていない GuardDuty アカウントの新規および既存の所有者は、AWS 無料利用枠を利用して、30 日間無料で試用できます (Malware Protection 機能の場合、無料トライアルは Amazon EBS データボリュームについて GuardDuty が開始するマルウェアスキャンでのみ利用可能です)。Malware Protection for Amazon S3 の無料トライアルはありません)。無料トライアル期間中およびそれ以降は、GuardDuty コンソールの使用状況ページで、データソースごとに分類された推定月間使用量をいつでも監視できます。
GuardDuty と Amazon Macie の違いは何ですか?
GuardDuty は、AWS のアカウント、ワークロード、データの広範なセキュリティモニタリングを提供し、攻撃者の偵察、インスタンスの侵害、アカウントの侵害、バケットの侵害、Amazon EKS クラスターの侵害、およびマルウェアなどの脅威を特定するのに役立ちます。 Macie は、ML とパターンマッチングを使用して Amazon Simple Storage Service (Amazon S3) 内の機密データを検出する、フルマネージド機密データ検出サービスです。
GuardDuty は、リージョンレベルのサービスですか? あるいは、グローバルサービスですか?
GuardDuty はリージョンレベルのサービスです。複数のアカウントが有効になっていて、複数の AWS リージョンが使用されている場合でも、GuardDuty のセキュリティの検出結果は、基盤となるデータが生成されたリージョンと同じリージョンに残ります。このため、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。ただし、Amazon EventBridge を使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約するか、検出結果をデータストア (Amazon S3 など) にプッシュして、適切と思われる検出結果を集約するかを選択することが可能です。また、GuardDuty の検出結果を AWS Security Hub に送信し、クロスリージョン集約機能を利用することもできます。
GuardDuty はどのリージョンをサポートしていますか?
GuardDuty のリージョン別の可用性は、AWS サービスのリスト (リージョン別) に記載されています。 GuardDuty の機能が使用できるリージョンの詳細なリストについては、「Region-specific feature availability」をご覧ください。
どのパートナーが GuardDuty を利用していますか?
多くのテクノロジーパートナーが GuardDuty を統合して構築しています。また、GuardDuty について専門知識を持つコンサルティング、システムインテグレーター、マネージド型セキュリティサービスのプロバイダもいます。詳細については、Amazon GuardDuty パートナーのページをご覧ください。
GuardDuty は、Payment Card Industry Security Standard (PCI DSS) 要件に対応するのに役立ちますか?
Foregenix が公開したホワイトペーパーでは、PCI DSS 要件 11.4 などの要件を満たすことを支援する GuardDuty 有効性の詳細な評価を提供しています。これには、ネットワークの重要なポイントにおける侵入検知技術が必要です。
GuardDuty の有効化
GuardDuty を有効にするにはどうすればよいですか?
AWS マネジメントコンソールでわずか数ステップを実行するだけで、GuardDuty を設定およびデプロイできます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。
GuardDuty で複数のアカウントを管理できますか?
はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。これを使用すると、すべてのセキュリティ検出結果を管理者アカウントに集約し、レビューと修復を行うことができます。また、この設定を使用すると、EventBridge イベントも GuardDuty 管理者アカウントに集約されます。また、GuardDuty は AWS Organizations と統合されており、組織のために GuardDuty の管理者アカウントを委任することができます。この委任された管理者 (DA) アカウントは、すべての結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。
GuardDuty ではどのデータソースを分析するのですか?
GuardDuty が分析する基本的なデータソースには、AWS CloudTrail 管理イベントログ、CloudTrail 管理イベント、Amazon EC2 VPC フローログ、DNS クエリログが含まれます。GuardDuty の保護プランは、CloudTrail S3 データイベント (S3 保護)、Amazon EKS の監査ログとランタイムアクティビティ (EKS 保護)、Amazon ECS ランタイムアクティビティ (ECS ランタイム監視)、Amazon EC2 ランタイムアクティビティ (EC2 ランタイム監視)、Amazon EBS ボリュームデータ (マルウェア保護)、Amazon Aurora ログインイベント (RDS 保護)、ネットワークアクティビティログ (Lambda 保護) など、その他のリソースタイプも監視します。このサービスは、ほぼリアルタイムでセキュリティ検出を処理するため、大量のデータを消費するように最適化しています。GuardDuty を使用すると、クラウド用に開発および最適化されたビルトインの検出手法にアクセスでき、GuardDuty エンジニアリングがこれらを維持、および継続的に改善しています。
GuardDuty はどの程度、迅速に動作できますか?
有効にすると、GuardDuty は悪意のあるアクティビティや不正なアクティビティの分析を開始します。検出結果の受信が始まる時期は、アカウントのアクティビティレベルによって異なります。GuardDuty は履歴データを調べず、有効後に開始するアクティビティのみを調べます。GuardDuty が潜在的な脅威を識別すると、GuardDuty コンソールに検出結果を表示します。
GuardDuty を動作させるためには、CloudTrail、VPC Flow Logs、DNS クエリログ、Amazon EKS 監査ログを有効にする必要がありますか?
いいえ。GuardDuty は、CloudTrail、VPC Flow Logs、DNS クエリログ、および Amazon EKS から独立したデータストリームを直接取得します。Amazon S3 バケットポリシーを管理したり、ログを収集して保存する方法を変更したりする必要はありません。GuardDuty のアクセス許可は、サービスにリンクされたロールとして管理されます。GuardDuty はいつでも無効にでき、その場合、すべての GuardDuty アクセス許可が削除されます。これにより、複雑な設定を回避できるため、サービスを有効にすることがより容易になります。また、サービスにリンクされたロールにより、AWS Identity and Access Management (IAM) アクセス許可の設定ミスや Amazon S3 バケットのポリシー変更がサービス運用に影響を与える可能性もなくなります。最後に、サービスにリンクしたロールにより、ほぼリアルタイムで大量のデータを消費する時に GuardDuty が非常に効率的に活用されるため、アカウントやワークロードのパフォーマンス、および可用性にほとんど影響を与えません。
アカウントで GuardDuty を有効にすると、パフォーマンスや可用性に何か影響はありますか?
GuardDuty を初めて有効にすると、AWS リソースとは完全に独立して動作します。GuardDuty セキュリティエージェントを自動的にデプロイするように GuardDuty Runtime Monitoring を設定すると、リソースの使用量が増える可能性があるほか、モニタリング対象のワークロードを実行するために使用される VPC で VPC エンドポイントが作成されます。
GuardDuty はログを管理または保持しますか?
いいえ、GuardDuty はログを管理または保持しません。GuardDuty が消費するすべてのデータは、ほぼリアルタイムで分析され、その後破棄されます。このため、GuardDuty が極めて効率的で費用効果が高くなり、さらにデータの残留のリスクが軽減されます。ログの配信と保持のためには、AWS のログ記録とモニタリングのサービスを直接使用してください。これらには、完全な機能を備えた配信と保存のオプションがあります。
GuardDuty がログとデータソースを調べないようにするにはどうすればよいですか?
サービスの一時停止を選択することで、一般設定で、GuardDuty のデータソース分析をいつでも防ぐことができます。これで、サービスによるデータの分析はすぐに停止しますが、既存の検出結果や設定は削除されません。一般設定でサービスを無効にすることもできます。これで、サービスのアクセス許可を放棄し、サービスをリセットする前に、既存の検出結果や設定構成などの残りのすべてのデータを削除します。また、GuardDuty S3 Protection や GuardDuty EKS Protection などの機能は、マネジメントコンソールや AWS CLI から選択的に無効化することが可能です。
GuardDuty のアクティブ化
GuardDuty では何を検出できますか?
GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。検出アルゴリズムを、GuardDuty エンジニアが維持し、継続的に改善します。検出の主なカテゴリは次のとおりです。
- 偵察: 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
- インスタンスの侵害: インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィック、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの逆浸出などです。
- アカウントの侵害: アカウントの侵害を示す一般的なパターン。これには、異常な地理的位置または匿名プロキシからの API 呼び出し、CloudTrail ログ記録を非アクティブ化する試み、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、認証情報の抽出、疑わしいデータベースログインアクティビティ、悪意のある既知の IP アドレスからの API 呼び出しが含まれます。
- バケットの侵害: 認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な Amazon S3 の API アクティビティ、悪意のある既知の IP アドレスからの不正な Amazon S3 アクセス、過去にバケットにアクセスしたことのないユーザーから実行されたか、または異常な場所から呼び出された、Amazon S3 バケットのデータを取得するための API 呼び出しなど、バケットの侵害を示すアクティビティ。GuardDuty は、CloudTrail S3 データイベント (GetObject、ListObjects、および DeleteObject など) を継続的に監視および分析して、Amazon S3 バケット全体の不審な活動を検出します。
- マルウェア: GuardDuty は、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなどのマルウェアを存在を検知できます。マルウェアは、Amazon EC2 インスタンスやコンテナワークロードへの不正アクセスに使用されたり、Amazon S3 バケットにアップロードされたりする可能性があります。
- コンテナの侵害: コンテナワークロードにおける潜在的な悪意のある動作または疑わしい動作を特定するアクティビティは、Amazon EKS 監査ログと Amazon EKS または Amazon ECS のコンテナランタイムアクティビティを分析して Amazon EKS クラスターを継続的にモニタリングおよびプロファイリングすることで検出されます。
GuardDuty 検出結果タイプの詳細なリストはこちらをご覧ください。
GuardDuty の脅威インテリジェンスとは何ですか?
GuardDuty の脅威インテリジェンスは、攻撃者が使用することがわかっている IP アドレスとドメインで構成されています。GuardDuty の脅威インテリジェンスは、AWS と Proofpoint や CrowdStrike などのサードパーティープロバイダによって提供されます。これらの脅威インテリジェンスフィードは、事前に統合されており、追加費用なしで GuardDuty で継続的に更新されます。
自分の脅威インテリジェンスを使用することはできますか?
はい、GuardDuty では、独自の脅威インテリジェンスや信頼できる IP アドレスのリストをアップロードすることができます。この機能を使用すると、これらのリストはお客様のアカウントにのみ適用され、他のお客様とは共有されません。
セキュリティの検出結果はどのように配信されますか?
潜在的な脅威が検出されると、GuardDuty によって GuardDuty コンソールと EventBridge に詳細なセキュリティ検出結果が配信されます。こうしてアラートをより迅速に活用でき、既存のイベント管理システムやワークフローシステムにより簡単に統合することができます。検出結果には、カテゴリ、影響を受けるリソース、およびリソースに関連するメタデータ (重大度など) が含まれます。
GuardDuty の検出結果の形式は何ですか?
GuardDuty の検出結果は、一般的な JSON 形式で送信されます。この形式は Macie と Amazon Inspector でも使用されます。これにより、お客様とパートナーは、3 つのすべてのサービスからのセキュリティの検出結果をより簡単に使用でき、その結果をさまざまなイベント管理、ワークフロー、またはセキュリティソリューションにより簡単に組み込むことできます。
GuardDuty では セキュリティの検出結果をどのくらいの間利用できますか?
セキュリティの検出結果を、GuardDuty コンソールおよび API を通じて 90 日間保持および利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、EventBridge を有効にして、検出結果をアカウントや他のデータストア内の Amazon S3 バケットに自動的にプッシュします。
GuardDuty の検出結果を集約できますか?
はい、EventBridge を使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約するか、検出結果をデータストア (Amazon S3 など) にプッシュして、適切と思われる検出結果を集約するかを選択することが可能です。また、GuardDuty の検出結果を Security Hub に送信し、クロスリージョン集約機能を利用することもできます。
GuardDuty を使用して自動での予防処置を講じることはできますか?
GuardDuty、EventBridge、および AWS Lambda を使用すると、セキュリティ検出結果に基づいて、自動での修復処置を柔軟に設定できます。たとえば、セキュリティの検出結果に基づいて Lambda 関数を作成し、AWS セキュリティグループのルールを変更できます。GuardDuty の検出結果において、Amazon EC2 インスタンスの 1 つを既知の悪意のある IP が探知したことが示された場合は、EventBridge ルールを使用してそのアドレスを指定できます。このルールは、セキュリティグループルールを自動的に変更し、そのポートへのアクセスを制限する Lambda 関数を起動します。
GuardDuty の検出はどのように開発され、管理されていますか?
GuardDuty には、検出のエンジニアリング、管理、反復を専門としているチームがあります。そのため、サービスは新たな検出、および既存の検出の継続的な反復を着実に実行します。サービスには、GuardDuty ユーザーインターフェイス (UI) にある各セキュリティの検出結果の承認や却下など、いくつかのフィードバックメカニズムが組み込まれています。これにより、GuardDuty 検出の将来の反復を組み込んでいる可能性のあるフィードバックを提供することができます。
Amazon GuardDuty でカスタムの検出を作成できますか?
いいえ、GuardDuty は、独自のカスタムルールセットの開発と保守のための力仕事や複雑さを排除します。また、AWS セキュリティエンジニアと GuardDuty のエンジニアリングチームが行う調査に加え、お客様からのフィードバックに基づいて、新たな検出を継続的に追加します。ただし、お客様が設定するカスタマイズでは、独自の脅威リストや信頼できる IP アドレスリストを追加することができます。
GuardDuty S3 Protection
現在 GuardDuty を使用している場合、S3 Protection の使用を開始するにはどうすればよいですか?
現在の GuardDuty アカウントの場合、S3 Protection はコンソールの S3 Protection ページまたは API を通じてアクティブ化できます。これにより、GuardDuty S3 Protection 機能の 30 日間の無料トライアルが始まります。
GuardDuty S3 Protection の無料トライアルはありますか?
はい。30 日間の無料トライアルがあります。各アカウントは、それぞれのリージョンで、S3 Protection の機能を含む GuardDuty の 30 日間無料トライアルを取得できます。すでに GuardDuty を有効にしているアカウントには、S3 Protection 機能を最初に有効にする際に、30 日間無料トライアルが提供されます。
GuardDuty の新規ユーザーの場合、私のアカウントでは S3 Protection がデフォルトで有効になっていますか?
はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで S3 Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、S3 の自動有効化オプションがオンになっていない限り、S3 Protection がオンになりません。
GuardDuty サービス全体 (VPC Flow Logs、DNS クエリログ、CloudTrail 管理イベントの分析を含む) を有効にせずに、GuardDuty S3 Protection を使用できますか?
いいえ、S3 Protection を使用するには、Amazon GuardDuty サービスを有効にする必要があります。現在の GuardDuty アカウントは S3 Protection を有効にするオプションがあり、新しい GuardDuty アカウントは GuardDuty サービスを有効にするとデフォルトでこの機能が搭載されます。
GuardDuty は、私のアカウント内のすべてのバケットをモニタリングして、Amazon S3 デプロイを保護するのに役立ちますか?
はい、Amazon S3 Protection は、デフォルトで、環境内のすべての S3 バケットをモニタリングします。
S3 Protection のために CloudTrail S3 データイベントログ記録をオンにする必要はありますか?
いいえ、GuardDuty は CloudTrail S3 データイベントログに直接アクセスできます。CloudTrail で S3 データイベントログ記録を有効にする必要はないため、関連するコストは発生しません。GuardDuty はログを保存せず、分析にのみ使用するのでご注意ください。
GuardDuty EKS Protection
GuardDuty EKS Protection はどのように機能しますか?
GuardDuty EKS Protection は、Amazon EKS 監査ログを分析することによって Amazon EKS クラスターコントロールプレーンのアクティビティをモニタリングする GuardDuty の機能です。GuardDuty は Amazon EKS と統合されているため、これらのログをオンにしたり保存したりしなくても、Amazon EKS 監査ログに直接アクセスできます。これらの監査ログは、セキュリティに関連する時系列の記録であり、Amazon EKS コントロールプレーンで実行された一連のアクションを記録します。これらの Amazon EKS 監査ログは、Amazon EKS の API アクティビティの継続的なモニタリングを実施し、実績のある脅威インテリジェンスと異常検出を適用して、Amazon EKS クラスターに対する不正アクセスのリスクを生じさせる、悪意のあるアクティビティや設定変更を特定するために必要な可視性を GuardDuty に提供します。脅威が特定されると、GuardDuty は、脅威の種類、重大度のレベル、およびコンテナレベルの詳細 (ポッド ID、コンテナイメージ ID、関連付けられたタグなど) を含むセキュリティの検出結果を生成します。
GuardDuty EKS Protection は Amazon EKS ワークロードでどのような種類の脅威を検出できますか?
GuardDuty EKS Protection は、Amazon EKS 監査ログでキャプチャされたユーザーおよびアプリケーションアクティビティに関連する脅威を検出できます。Amazon EKS 脅威検出には、既知の悪意のあるアクターまたは Tor ノードからアクセスする Amazon EKS クラスター、設定の誤りを示す可能性のある、匿名ユーザーによって実行される API 操作、Amazon EKS クラスターへの不正アクセスにつながる可能性のある設定の誤りが含まれます。また、機械学習モデルを使用して、GuardDuty は、基盤となる Amazon EC2 ホストへのルートレベルのアクセス権を持つコンテナの疑わしい起動など、特権昇格手法と一致するパターンを特定できます。新しい検出機能の詳細なリストについては、Amazon GuardDuty 検出結果タイプをご覧ください。
Amazon EKS 監査ログをオンにする必要はありますか?
いいえ、GuardDuty は Amazon EKS 監査ログに直接アクセスできます。GuardDuty はこれらのログを分析のみに使用することに注意してください。GuardDuty はこれらを保存せず、お客様は、GuardDuty と共有するために、これらの Amazon EKS 監査ログを有効化したり、これらのログについての料金を支払ったりする必要もありません。セキュリティの脅威の検出に関連する監査ログのサブセットのみを消費することでコストを最適化するために、GuardDuty はインテリジェントフィルターを適用します。
GuardDuty EKS Protection の無料トライアルはありますか?
はい。30 日間の無料トライアルがあります。各リージョンの新しい GuardDuty の各アカウントには、GuardDuty (GuardDuty EKS Protection 機能を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、追加料金なしで、GuardDuty EKS Protection を 30 日間無料でご試用いただけます。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。
現在 GuardDuty を利用している場合、GuardDuty EKS Protection の利用を開始するにはどうすればよいですか?
GuardDuty EKS Protection は、個々のアカウントごとにオンにする必要があります。GuardDuty EKS Protection コンソールページから、GuardDuty コンソールで 1 つのアクションを実行するだけでアカウントの機能をアクティブ化できます。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection のページで、組織全体で GuardDuty EKS Protection をアクティブ化できます。これにより、すべての個々のメンバーアカウントで Amazon EKS の継続的なモニタリングがアクティブ化されます。AWS Organizations の自動アクティブ化機能を使用して作成された GuardDuty アカウントの場合、Amazon EKS の自動アクティブ化を明示的にオンにする必要があります。あるアカウント用にアクティブ化すると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで設定する必要はありません。
新規に GuardDuty を利用する場合、私のアカウントのために GuardDuty EKS Protection はデフォルトで有効になっていますか?
はい。コンソールまたは API を通じて GuardDuty をオンにしている新規アカウントでは、デフォルトで GuardDuty EKS Protection がオンになります。 AWS Organizations の自動有効化機能を使用して作成された新しい GuardDuty アカウントの場合、EKS Protection の自動有効化オプションを明示的にオンにする必要があります。
GuardDuty EKS Protection を無効にするにはどうすればよいですか?
コンソールで、または API を使用して、この機能を無効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を無効にすることができます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、この機能を無効にすることもできます。
GuardDuty EKS Protection を無効にした場合、再度有効にするにはどうすればよいですか?
GuardDuty EKS Protection を以前に無効にした場合、コンソールで、または API を使用して、機能を再度有効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を有効にすることができます。
各 AWS アカウントと Amazon EKS クラスターで GuardDuty EKS Protection を個別に有効化する必要はありますか?
GuardDuty EKS Protection は、個々のアカウントごとに有効にする必要があります。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection コンソールページで 1 回クリックするだけで、組織全体で Amazon EKS の脅威検出を有効にできます。これにより、すべての個別のメンバーアカウントで Amazon EKS の脅威検出が可能になります。あるアカウント用に有効にすると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで手動で設定する必要はありません。
Amazon EKS を利用せず、GuardDuty で GuardDuty EKS Protection を有効にした場合、料金は発生しますか?
Amazon EKS を利用しておらず、GuardDuty EKS Protection を有効にしている場合、GuardDuty EKS Protection の料金は発生しません。ただし、Amazon EKS の使用を開始すると、GuardDuty は自動的にクラスターをモニタリングし、特定された問題に対する検出結果を生成しますが、このモニタリングに対する料金が発生します。
GuardDuty サービス全体 (VPC Flow Logs、DNS クエリログ、CloudTrail 管理イベントの分析を含む) を有効にせずに、GuardDuty EKS Protection を有効にすることはできますか?
いいえ、GuardDuty サービスを有効にして、GuardDuty EKS Protection を有効にする必要があります。
GuardDuty EKS Protection は、AWS Fargate での Amazon EKS デプロイ用の Amazon EKS 監査ログをモニタリングしますか?
はい、GuardDuty EKS Protection は、Amazon EC2 インスタンスにデプロイされた Amazon EKS クラスターと Fargate にデプロイされた Amazon EKS クラスターの両方からの Amazon EKS 監査ログをモニタリングします。
GuardDuty は Amazon EC2 または Amazon EKS Anywhere で非マネージド型の Amazon EKS をモニタリングしますか?
現在、この機能は、アカウントの Amazon EC2 インスタンスまたは Fargate で実行されている Amazon EKS デプロイのみをサポートしています。
GuardDuty EKS Protection を利用すると、Amazon EKS におけるコンテナの実行のパフォーマンスまたはコストに影響が生じますか?
いいえ、GuardDuty EKS Protection は、Amazon EKS ワークロードのデプロイのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。
各 AWS リージョンで個別に GuardDuty EKS Protection を有効にする必要はありますか?
はい。GuardDuty はリージョンレベルのサービスであり、GuardDuty EKS Protection は各 AWS リージョンで個別に有効にする必要があります。
GuardDuty Runtime Monitoring
GuardDuty Runtime Monitoring はどのように機能しますか?
GuardDuty Runtime Monitoring は、対象リソースのポッドまたはインスタンスレベルでのファイルアクセス、プロセス実行、ネットワーク接続などの実行時のアクティビティの可視性を追加する、軽量のフルマネージドセキュリティエージェントを使用します。セキュリティエージェントは、実行時のイベントを収集し、セキュリティ分析処理のために GuardDuty に配信するデーモンセットとして自動的にデプロイされます。これにより、GuardDuty は、AWS 環境内の侵害された可能性がある特定のインスタンスまたはコンテナを特定し、より広範な AWS 環境に権限を昇格させようとする試みを検出できます。GuardDuty が潜在的な脅威を検出すると、インスタンス、コンテナ、ポッド、プロセスの詳細を含むメタデータコンテキストを持つセキュリティの検出結果が生成されます。
GuardDuty Runtime Monitoring はどの AWS サービスをサポートしていますか?
Runtime Monitoring は、Amazon EC2 で実行されている Amazon EKS リソース、Amazon EC2 または AWS Fargate で実行されている Amazon ECS クラスター、および Amazon EC2 インスタンスで利用できます。
現在 GuardDuty を利用している場合、Runtime Monitoring の使用を開始するにはどうすればよいですか?
現在の GuardDuty アカウントの場合、この機能は GuardDuty コンソールの Runtime Monitoring ページから、または API を通じてアクティブ化できます。GuardDuty Runtime Monitoring の詳細をご覧ください。
GuardDuty を初めて使用する場合、Runtime Monitoring はアカウントのためにデフォルトでオンになっていますか?
いいえ。GuardDuty Runtime Monitoring は、GuardDuty を初めてオンにしたときにデフォルトで有効になっていない唯一の保護プランです。この機能は GuardDuty コンソールの Runtime Monitoring ページから、または API を通じてアクティブ化できます。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、Runtime Monitoring の自動有効化オプションがオンになっていない限り、Runtime Monitoring はオンにはなりません。
GuardDuty セキュリティエージェントのデプロイオプションにはどのようなものがありますか?
Amazon ECS Runtime Monitoring を有効にすると、GuardDuty はタスクから実行時のイベントを消費できるようになります。これらのタスクは Amazon ECS クラスター内で実行され、その後に AWS Fargate インスタンス上で実行されます。GuardDuty がこれらの実行時のイベントを受信するには、[自動エージェント設定] を使用する必要があります。
Amazon EC2 または Amazon EKS のために Runtime Monitoring を有効にすると、GuardDuty セキュリティエージェントを手動でデプロイするか、GuardDuty が [自動エージェント設定] を使用してユーザーに代わってセキュリティエージェントを管理するのを許可するかを選択できます。
詳細については、「GuardDuty ユーザーガイド」の「Key concepts - Approaches to manage GuardDuty security agent」にアクセスしてください。
GuardDuty サービスを完全にアクティブ化しなくても GuardDuty Runtime Monitoring を利用できますか?
いいえ。GuardDuty Runtime Monitoring を使用するには、Amazon GuardDuty サービスを有効にする必要があります。
GuardDuty Runtime Monitoring は、現在 GuardDuty が利用可能なすべてのリージョンで利用できますか?
Runtime Monitoring が利用できるリージョンの詳細なリストについては、「Region-specific feature availability」をご覧ください。
各 AWS アカウントで GuardDuty Runtime Monitoring を個別にアクティブ化する必要がありますか?
GuardDuty Runtime Monitoring は、個々のアカウントで有効にする必要があります。GuardDuty マルチアカウント設定で運用している場合は、GuardDuty 管理者アカウントの GuardDuty Runtime Monitoring コンソールページにおいて、単一のステップを実行するだけで組織全体でオンにできます。これにより、すべての個々のメンバーアカウントで必要なワークロードの実行時のモニタリングがアクティブ化されます。あるアカウントのためにアクティブ化されると、そのアカウント内のすべての既存および今後選択されるワークロードは実行時の脅威についてモニタリングされ、手動での設定は必要ありません。
Amazon EKS または Amazon ECS で特定のクラスターをモニタリングする方法を変更できますか?
GuardDuty Runtime Monitoring では、脅威検出のためにモニタリングする Amazon EKS クラスターまたは Amazon ECS クラスターを選択的に設定できます。クラスターレベルの設定が可能なため、特定のクラスターを選択して脅威検出をモニタリングすることも、引き続きアカウントレベルの設定機能を使用して、特定のアカウントとリージョンのすべての EKS または ECS クラスターをそれぞれモニタリングすることもできます。
GuardDuty Runtime Monitoring を利用すると、AWS ワークロードの実行のパフォーマンスまたはコストに影響が生じますか?
セキュリティー、オブザーバビリティ、およびオンホストエージェントを必要とするその他のユースケースと同様に、GuardDuty セキュリティエージェントにはリソース使用オーバーヘッドが発生します。GuardDuty セキュリティエージェントは軽量になるように設計されており、対象となるワークロードの使用率とコストへの影響を最小限に抑えるために、GuardDuty によって注意深くモニタリングされています。正確なリソース使用率メトリクスは、アプリケーションチームとセキュリティチームが Amazon CloudWatch でモニタリングするために使用できます。
GuardDuty セキュリティエージェントを自動的にデプロイするように GuardDuty Runtime Monitoring を設定すると、リソースの使用量が増える可能性があるほか、AWS ワークロードを実行するために使用される VPC で VPC エンドポイントが作成されます。
Amazon EKS、Amazon ECS、または Amazon EC2 を利用せず、これらのワークロードのいずれかのために GuardDuty Runtime Monitoring をオンにした場合、GuardDuty Runtime Monitoring の料金は発生しますか?
実行していないワークロードのために GuardDuty Runtime Monitoring を有効にしても、GuardDuty Runtime Monitoring の料金は発生しません。ただし、Amazon EKS、Amazon ECS、または Amazon EC2 の利用を開始し、そのワークロードのために GuardDuty Runtime Monitoring を有効にした場合、GuardDuty がクラスター、タスク、インスタンスを自動的にモニタリングし、特定された問題についての検出結果を生成すると料金が発生します。
GuardDuty Runtime Monitoring を無効にするにはどうすればよいですか?
GuardDuty Runtime Monitoring は、GuardDuty コンソールの Runtime Monitoring ページで AWS アカウントまたは組織のために無効にできます。セキュリティエージェントが GuardDuty によって自動的にデプロイされた場合、GuardDuty は、機能が無効になるとセキュリティエージェントも削除します。
GuardDuty エージェントを手動でデプロイすることを選択した場合 (EKS Runtime Monitoring と EC2 Runtime Monitoring にのみ適用)、手動で削除する必要があり、作成された VPC エンドポイントはすべて手動で削除する必要があります。EKS Runtime Monitoring および EC2 Runtime Monitoring での手動削除のステップについては、「GuardDuty ユーザーガイド」で詳述されています。
GuardDuty Malware Protection
Amazon GuardDuty Malware Protection はどのように機能しますか?
Amazon EBS データボリューム: このデータソースのために Malware Protection が有効になっている場合、GuardDuty は、Amazon EC2 インスタンスまたはコンテナワークロードで悪意のあるソフトウェアであることを示唆する疑わしい動作を識別すると、マルウェア検出スキャンを開始します。GuardDuty が生成する、Amazon EBS ボリュームのスナップショットに基づくレプリカ Amazon EBS ボリュームに対して、トロイの木馬、ワーム、暗号化マイナー、ルートキット、ボットなどのスキャンを実行します。GuardDuty Malware Protection は、疑わしい動きのソースを検証するのに役立つ、コンテキストに基づいた検出結果を生成します。また、これらの検出結果は適切な管理者にルーティングされ、自動的な修復を開始することができます。
S3 オブジェクトスキャン: バケットがマルウェア保護のために設定されると、GuardDuty は新しくアップロードされたファイルを自動的にスキャンし、マルウェアが検出された場合は、マルウェアの詳細を含む Amazon EventBridge 通知を生成します。これにより、既存のセキュリティイベント管理またはワークフローシステムとの統合が可能になります。オブジェクトをアカウント内の分離されたバケットに移動してマルウェアを自動的に隔離するように設定することも、オブジェクトタグを使用してスキャン結果の処理を追加し、タグに基づいて、スキャンされたオブジェクトをより適切に識別および分類できるようにすることもできます。
マルウェアスキャンを開始する Amazon EC2 の GuardDuty の検出結果のタイプはどれですか?
マルウェアスキャンを開始する Amazon EC2 についての GuardDuty の検出結果については、「GuardDuty ユーザーガイド」をご覧ください。
GuardDuty Malware Protection はどのリソースとファイルタイプをスキャンできますか?
Malware Protection は、Amazon EC2 インスタンスにアタッチされた Amazon EBS をスキャンすることで、悪意のあるファイルの検出をサポートします。サポートされているファイルシステムのタイプについては、「GuardDuty ユーザーガイド」をご覧ください。
Malware Protection for S3 は、GuardDuty のマルウェアスキャンエンジンを使用して、S3 Standard、S3 Intelligent-Tiering、S3 Standard-IA、S3 One Zone-IA、Amazon S3 Glacier Instant Retrieval などのほとんどの同期 S3 ストレージクラスに属するファイルをスキャンできます。 実行可能ファイル、.pdf ファイル、アーカイブ、バイナリ、圧縮ファイル、スクリプト、インストーラー、E メールデータベース、プレーンな E メール、画像、エンコードされたオブジェクトなど、マルウェアの拡散や封じ込めのために使用されるファイル形式をスキャンします。
GuardDuty Malware Protection はどのようなタイプの脅威を検出できますか?
Malware Protection は、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなど、ワークロードのセキュリティを侵害し、リソースを悪意のある用途に再利用し、データに不正にアクセスするために使用される可能性のある脅威をスキャンします。
検出結果タイプの包括的なリストについては、「GuardDuty ユーザーガイド」をご覧ください。
GuardDuty Malware Protection を動作させるには、ログ記録をオンにする必要はありますか?
GuardDuty または Malware Protection 機能を動作させるために、サービスログ記録を有効にする必要はありません。Malware Protection 機能は GuardDuty の一部であり、内部および外部の統合されたソースからのインテリジェンスを使用する AWS のサービスです。
GuardDuty Malware Protection は、エージェントを使用せずにどのようにスキャンを実現していますか?
セキュリティエージェントを使用する代わりに、GuardDuty Malware Protection は、アカウント内の感染の可能性がある Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされている Amazon EBS ボリュームのスナップショットを基にレプリカを作成し、スキャンを行います。サービスにリンクされたロールを通じて GuardDuty に付与された許可により、サービスはアカウントに残っているそのスナップショットから、GuardDuty のサービスアカウントで暗号化されたボリュームレプリカを作成できます。GuardDuty Malware Protection は、このボリュームレプリカをスキャンしてマルウェアを検出します。
Amazon S3 のオブジェクトについては、GuardDuty は、GuardDuty Malware Protection 用に設定したバケットにアップロードされたオブジェクトの読み取り、復号、スキャンを開始します。特定のプレフィックスを持つオブジェクトのみをスキャンするように定義することで、バケット内でスキャンするオブジェクトの範囲を制限できます。GuardDuty は、これらの定義済みプレフィックスに一致するアップロードされたオブジェクトをスキャンし、セキュリティに関する検出結果と、詳細なスキャン結果を含む Amazon EventBridge 通知を生成します。これは、[感染]、[クリーン]、[スキップ]、[失敗] のいずれかとなります。また、通知には、スキャンされたオブジェクトの数とバイト数に関連するスキャンメトリクスも含まれます。自動隔離やオブジェクトのタグ付けなど、スキャン結果に基づいて GuardDuty がオブジェクトに対して実行するスキャン後のアクションを定義することもできます。
GuardDuty Malware Protection の無料トライアルはありますか?
はい。各リージョンにおける GuardDuty の新規の各アカウントでは、GuardDuty の 30 日間の無料トライアルをご利用いただけます (Malware Protection 機能を含み、GuardDuty が開始する EBS データボリュームのスキャンでのみ使用可能。GuardDuty Malware Protection for Amazon S3 の無料トライアルはありません)。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。
現在 GuardDuty を利用している場合、GuardDuty Malware Protection を利用するにはどうすればよいですか?
GuardDuty コンソールで Malware Protection を有効にするには、Malware Protection ページにアクセスするか、API を使用します。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの Malware Protection コンソールページで、組織全体でこの機能を有効にできます。これにより、すべての個々のメンバーアカウントでマルウェアのモニタリングが有効になります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的に有効にする必要があります。
Malware Protection for S3 では、次の 2 つのステップに従って、アプリケーションにマルウェアスキャンを統合できます。まず、アプリケーション所有者として、モニタリングするバケットでバケット保護構成を設定する必要があります。これは、既存のバケットのために GuardDuty コンソールでプログラムを使用して設定することも、新しいバケットを作成する際に設定することもできます。GuardDuty は、保護された各 S3 バケットについて、スキャンメトリクスを EventBridge イベントに送信します。これにより、アラームを設定したり、オブジェクトのタグ付けや、GuardDuty がスキャン結果に基づいて実行する隔離バケットへの悪意のあるオブジェクトのコピーなどのスキャン後のアクションを定義したりできます。アカウントのために GuardDuty が有効になっている場合は、GuardDuty でセキュリティに関する検出結果も生成されます。
GuardDuty の新規ユーザーの場合、私のアカウントのために Malware Protection for EC2 はデフォルトで有効になっていますか?
はい。コンソールまたは API を使用して GuardDuty を有効にしている新規アカウントでも、(EBS ボリュームスキャンのために) デフォルトで GuardDuty Malware Protection が有効になります。AWS Organizations の自動有効化機能を使用して作成された新しい GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的にオンにする必要があります。
GuardDuty Malware Protection を無効にするにはどうすればよいですか?
この機能は、コンソールで、または API を使用して、無効にすることができます。GuardDuty コンソールの Malware Protection コンソールページに、アカウントの Malware Protection を無効にするオプションが表示されます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、Malware Protection を無効にすることもできます。
GuardDuty Malware Protection を無効にした場合、再度有効にするにはどうすればよいですか?
Malware Protection が無効になっている場合、コンソールで、または API を使用して、この機能を有効にすることができます。GuardDuty コンソールでアカウントの Malware Protection を有効にするには、Malware Protection コンソールページを開きます。
請求期間中に GuardDuty のマルウェアスキャンが 1 度も実行されなかった場合、料金は発生しますか?
いいえ、請求期間中にマルウェアのスキャンが行われなかった場合、Malware Protection に料金はかかりません。AWS 請求コンソールでこの機能のコストを確認できます。
GuardDuty Malware Protection はマルチアカウント管理をサポートしていますか?
はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。GuardDuty は、AWS Organizations の統合を通じてマルチアカウント管理を備えています。この統合は、セキュリティおよびコンプライアンスチームが、組織内のすべてのアカウントにわたって Malware Protection を含む GuardDuty を完全にカバーするのに役立ちます。
Malware Protection for EC2 の利用を開始するには、設定の変更、ソフトウェアのデプロイ、または AWS デプロイの変更を行う必要がありますか?
いいえ。この機能を有効にすると、GuardDuty Malware Protection は、関連する Amazon EC2 の検出結果に対応してマルウェアスキャンを開始します。エージェントをデプロイする必要はなく、ログソースを有効にする必要もなく、その他の設定変更も必要ありません。
GuardDuty Malware Protection を使用すると、ワークロードの実行のパフォーマンスに影響が生じますか?
GuardDuty Malware Protection は、ワークロードのパフォーマンスに影響を与えないように設計されています。例えば、マルウェア分析用に作成された Amazon EBS ボリュームスナップショットは 24 時間に 1 回しか生成できませんし、GuardDuty Malware Protection はスキャン完了後数分間、暗号化されたレプリカとスナップショットを保持します。さらに、GuardDuty Malware Protection は、顧客のコンピューティングリソースではなく、GuardDuty のコンピューティングリソースをマルウェアスキャンに使用します。
各 AWS リージョンで個別に GuardDuty Malware Protection を有効にする必要がありますか?
はい、GuardDuty はリージョン別のサービスであり、Malware Protection は各 AWS リージョンで個別に有効にする必要があります。
GuardDuty Malware Protection はどのように暗号化を使用しますか?
GuardDuty Malware Protection は、アカウント内の感染の可能性がある Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされている Amazon EBS ボリュームのスナップショットに基づくレプリカをスキャンします。お客様の Amazon EBS ボリュームがカスタマーマネージドキーで暗号化されている場合、AWS Key Management Service (KMS) キーを GuardDuty と共有するオプションがあり、サービスは同じキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。暗号化されていない Amazon EBS ボリュームの場合、GuardDuty は独自のキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。
Amazon EBS ボリュームのレプリカは、元のボリュームと同じリージョンで分析されますか?
はい、すべてのレプリカ Amazon EBS ボリュームのデータ (およびレプリカボリュームが基づいているスナップショット) は、元の Amazon EBS ボリュームと同じリージョンに残ります。
GuardDuty Malware Protection にかかる費用を見積もり、管理するにはどうすればよいですか?
各リージョンにおける GuardDuty の新規の各アカウントでは、GuardDuty の 30 日間の無料トライアルをご利用いただけます (Malware Protection 機能を含み、GuardDuty によって開始される EBS データボリュームのスキャンでのみ使用可能。GuardDuty Malware Protection for Amazon S3 の無料トライアルはありません)。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを行うことができます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。
EBS ボリュームのマルウェアスキャンの料金は、ボリュームでスキャンされるデータ量 (GB) に基づきます。コンソールからスキャンオプションを使用してカスタマイズを適用し、タグを使用して一部の Amazon EC2 インスタンスをスキャン対象または対象外にすることで、コストを抑制できます。また、GuardDuty は Amazon EC2 インスタンスを 24 時間に 1 回のみスキャンします。GuardDuty が 24 時間以内に Amazon EC2 インスタンスに対して複数の Amazon EC2 検出結果を生成した場合、スキャンは最初の関連する Amazon EC2 の検出結果に対してのみ実行されます。あるインスタンスについて、最後のマルウェアスキャンから 24 時間経過しても Amazon EC2 検出結果が続いている場合、そのインスタンスに対して新しいマルウェアスキャンが開始されます。
S3 バケット内のストレージオブジェクトのマルウェアスキャンの料金は、スキャンされるデータ量 (GB) と、マルウェアスキャン用に設定された指定 S3 バケットでスキャンされるファイルの数に基づきます。GuardDuty は、設定されたバケットに新しくアップロードされたファイルのみをスキャンし、既存のファイルや、マルウェアスキャン用に指定されていないバケット内のファイルはスキャンしません。
GuardDuty Malware Protection によって取得された Amazon EBS スナップショットを保持することはできますか?
はい、Malware Protection のスキャンでマルウェアが検出されたときに、スナップショットの保持を有効にできる設定があります。この設定は、GuardDuty コンソールの設定ページで有効にすることができます。デフォルトでは、スナップショットはスキャンが完了してから数分後に削除され、スキャンが完了しなかった場合は 24 時間後に削除されます。
デフォルトでは、レプリカ Amazon EBS ボリュームが保持される最大期間はどのようになっていますか?
GuardDuty Malware Protection は、生成およびスキャンした各レプリカ Amazon EBS ボリュームを最大で 24 時間保持します。デフォルトでは、レプリカ Amazon EBS ボリュームは、GuardDuty Malware Protection がスキャンを完了してから数分後に削除されます。ただし、サービスの停止や接続の問題によりマルウェアのスキャンが妨げられた場合、GuardDuty Malware Protection はレプリカ Amazon EBS ボリュームを 24 時間以上保持する必要がある場合があります。この場合、GuardDuty Malware Protection はレプリカ Amazon EBS ボリュームを最大 7 日間保持し、停止または接続の問題のトリアージと対処のためのサービス時間を確保します。GuardDuty Malware Protection は、停止または障害に対処した後、または延長された保持期間が過ぎると、レプリカ Amazon EBS ボリュームを削除します。
1 つの Amazon EC2 インスタンスまたはコンテナワークロードについて、マルウェアの可能性を示唆する複数の GuardDuty の検出結果があった場合、複数のマルウェアスキャンが開始されますか?
いいえ、GuardDuty は、感染の可能性がある Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされた Amazon EBS ボリュームのスナップショットに基づくレプリカを、24 時間に 1 回スキャンするだけです。GuardDuty がマルウェアスキャンを開始するのに適した複数の検出結果を生成した場合でも、前回のスキャンから 24 時間未満であれば追加のスキャンは開始されません。前回のマルウェアスキャンから 24 時間後に GuardDuty が適格な検出結果を生成した場合、GuardDuty Malware Protection は、そのワークロードに対して新しいマルウェアスキャンを開始します。
GuardDuty を無効にした場合、Malware Protection 機能も無効にする必要がありますか?
いいえ、GuardDuty サービスを無効にすると、Malware Protection 機能も無効になります。
GuardDuty Malware Protection for Amazon S3 を利用するために GuardDuty を有効にする必要がありますか?
いいえ。GuardDuty S3 Malware Protection は柔軟性を提供するため、アカウントのためにベース GuardDuty が有効になっていない場合でも、アプリケーション所有者は S3 バケットのために Malware Protection を設定できます。ベース GuardDuty には、AWS CloudTrail 管理イベント、VPC フローログ、DNS クエリログなどの基本的なソースのデフォルトのモニタリングが含まれます。
GuardDuty RDS Protection
GuardDuty RDS Protection はどのように機能しますか?
GuardDuty RDS Protection は、GuardDuty コンソールでワンアクションで有効化することができ、エージェントを手動でデプロイしたり、データソースを有効にしたり、アクセス権を設定したりする必要はありません。カスタマイズされた ML モデルを使用して、GuardDuty RDS Protection は、既存および新規の Amazon Aurora データベースへのログイン試行の分析とプロファイリングから開始します。不審な動きや 既知の悪意ある行為者による試行が検出されると、GuardDuty は GuardDuty と Amazon Relational Database Service (RDS) コンソール、Security Hub、Amazon EventBridge に実行可能なセキュリティ検出結果を発行し、既存のセキュリティイベント管理またはワークフローシステムと統合することができます。 GuardDuty RDS Protection が RDS ログインアクティビティのモニタリングを使用する方法の詳細をご覧ください。
現在 GuardDuty を利用している場合、Aurora データベースの脅威検出を開始するにはどうすればよいですか?
現在の GuardDuty アカウントの場合、この機能は RDS 保護ページの GuardDuty コンソールから、または API を介してアクティブ化できます。 GuardDuty RDS Protection の詳細をご覧ください。
GuardDuty の新規ユーザーの場合、私のアカウントのために Aurora データベースの脅威検出はデフォルトで有効になっていますか?
はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで RDS Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、RDS の自動有効化オプションがオンになっていない限り、RDS Protection がオンになりません。
完全な GuardDuty サービス (Amazon 仮想プライベートクラウド (Amazon VPC) フローログ、DNS クエリログ、および AWS CloudTrail 管理イベントの分析を含む) をアクティベートしなくても GuardDuty RDS Protection を使用できますか?
いいえ、GuardDuty RDS Protection を使用するには、Amazon GuardDuty サービスを有効にする必要があります。
GuardDuty RDS Protection は、現在 GuardDuty が利用可能なすべてのリージョンで利用できますか?
RDS Protection が利用できるリージョンの詳細な一覧については、「リージョン固有機能の可用性」を参照してください。
GuardDuty RDS Protection がサポートしている Amazon Aurora のバージョンは何ですか?
サポート対象の Amazon Aurora データベースバージョンのリストをご覧ください。
GuardDuty RDS Protection を利用すると、Aurora データベースの実行のパフォーマンスまたはコストに影響が生じますか?
いいえ、Aurora データベースの GuardDuty 脅威検出は、Amazon Aurora データベースにパフォーマンス、可用性、コストの面で影響を与えないように設計されています。
GuardDuty Lambda Protection
Amazon GuardDuty Lambda Protection の仕組みを教えてください。
GuardDuty Lambda Protection では、VPC フローログから始まるサーバーレスワークロードからのネットワークアクティビティを継続的にモニタリングし、不正な暗号通貨マイニングのために悪意を持って転用された関数や、既知の脅威アクターサーバーと通信している侵害された Lambda 関数など、Lambda に対する脅威を検出します。GuardDuty Lambda Protection は、GuardDuty コンソールでいくつかのステップを実行するだけで有効にできます。また、AWS Organizations を使用すると、組織内のすべての既存アカウントと新規アカウントに対して一元的に有効にできます。有効にすると、アカウント内の既存のすべての Lambda 関数と新規の Lambda 関数のネットワークアクティビティデータのモニタリングが自動的に開始されます。
現在 GuardDuty を使用している場合、GuardDuty Lambda Protection の使用を開始するにはどうすればいいですか?
現在の GuardDuty アカウントの場合、この機能は Lambda 保護ページの GuardDuty コンソールから、または API を介してアクティブ化できます。 GuardDuty Lambda Protection の詳細については、こちらをご覧ください。
GuardDuty の新規ユーザーの場合、私のアカウントでは GuardDuty Lambda Protection がデフォルトで有効になっていますか?
はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで Lambda Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、Lambda の自動有効化オプションがオンになっていない限り、Lambda Protection がオンになりません。
GuardDuty Lambda Protection は、現在 GuardDuty が利用可能なリージョンで利用できますか?
Lambda Protection が利用できるリージョンの一覧については、「リージョン固有機能の可用性」を参照してください。
GuardDuty Lambda Protection を利用すると、Lambda ワークロードの実行のパフォーマンスまたはコストに影響が生じますか?
いいえ。GuardDuty Lambda Protection は、Lambda ワークロードのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。