Amazon GuardDuty に関するよくある質問

AWS マネジメントコンソールでわずか数ステップを実行するだけで、GuardDuty を設定およびデプロイできます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。

はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。これを使用すると、すべてのセキュリティ検出結果を管理者アカウントに集約し、レビューと修復を行うことができます。また、この設定を使用すると、EventBridge イベントも GuardDuty 管理者アカウントに集約されます。また、GuardDuty は AWS Organizations と統合されており、組織のために GuardDuty の管理者アカウントを委任することができます。この委任された管理者 (DA) アカウントは、すべての結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。

GuardDuty が分析する基本的なデータソースには、AWS CloudTrail 管理イベントログ、CloudTrail 管理イベント、Amazon EC2 VPC フローログ、DNS クエリログが含まれます。GuardDuty の保護プランは、CloudTrail S3 データイベント (S3 保護)、Amazon EKS の監査ログとランタイムアクティビティ (EKS 保護)、Amazon ECS ランタイムアクティビティ (ECS ランタイム監視)、Amazon EC2 ランタイムアクティビティ (EC2 ランタイム監視)、Amazon EBS ボリュームデータ (マルウェア保護)、Amazon Aurora ログインイベント (RDS 保護)、ネットワークアクティビティログ (Lambda 保護) など、その他のリソースタイプも監視します。このサービスは、ほぼリアルタイムでセキュリティ検出を処理するため、大量のデータを消費するように最適化しています。GuardDuty を使用すると、クラウド用に開発および最適化されたビルトインの検出手法にアクセスでき、GuardDuty エンジニアリングがこれらを維持、および継続的に改善しています。

有効にすると、GuardDuty は悪意のあるアクティビティや不正なアクティビティの分析を開始します。検出結果の受信が始まる時期は、アカウントのアクティビティレベルによって異なります。GuardDuty は履歴データを調べず、有効後に開始するアクティビティのみを調べます。GuardDuty が潜在的な脅威を識別すると、GuardDuty コンソールに検出結果を表示します。

いいえ。GuardDuty は、CloudTrail、VPC Flow Logs、DNS クエリログ、および Amazon EKS から独立したデータストリームを直接取得します。Amazon S3 バケットポリシーを管理したり、ログを収集して保存する方法を変更したりする必要はありません。GuardDuty のアクセス許可は、サービスにリンクされたロールとして管理されます。GuardDuty はいつでも無効にでき、その場合、すべての GuardDuty アクセス許可が削除されます。これにより、複雑な設定を回避できるため、サービスを有効にすることがより容易になります。また、サービスにリンクされたロールにより、AWS Identity and Access Management (IAM) アクセス許可の設定ミスや Amazon S3 バケットのポリシー変更がサービス運用に影響を与える可能性もなくなります。最後に、サービスにリンクしたロールにより、ほぼリアルタイムで大量のデータを消費する時に GuardDuty が非常に効率的に活用されるため、アカウントやワークロードのパフォーマンス、および可用性にほとんど影響を与えません。

GuardDuty を初めて有効にすると、AWS リソースとは完全に独立して動作します。GuardDuty セキュリティエージェントを自動的にデプロイするように GuardDuty Runtime Monitoring を設定すると、リソースの使用量が増える可能性があるほか、モニタリング対象のワークロードを実行するために使用される VPC で VPC エンドポイントが作成されます。

いいえ、GuardDuty はログを管理または保持しません。GuardDuty が消費するすべてのデータは、ほぼリアルタイムで分析され、その後破棄されます。このため、GuardDuty が極めて効率的で費用効果が高くなり、さらにデータの残留のリスクが軽減されます。ログの配信と保持のためには、AWS のログ記録とモニタリングのサービスを直接使用してください。これらには、完全な機能を備えた配信と保存のオプションがあります。

サービスの一時停止を選択することで、一般設定で、GuardDuty のデータソース分析をいつでも防ぐことができます。これで、サービスによるデータの分析はすぐに停止しますが、既存の検出結果や設定は削除されません。一般設定でサービスを無効にすることもできます。これで、サービスのアクセス許可を放棄し、サービスをリセットする前に、既存の検出結果や設定構成などの残りのすべてのデータを削除します。また、GuardDuty S3 Protection や GuardDuty EKS Protection などの機能は、マネジメントコンソールや AWS CLI から選択的に無効化することが可能です。

GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。検出アルゴリズムを、GuardDuty エンジニアが維持し、継続的に改善します。検出の主なカテゴリは次のとおりです。

• 偵察: 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
• インスタンスの侵害: インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィック、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの逆浸出などです。
• アカウントの侵害: アカウントの侵害を示す一般的なパターン。これには、異常な地理的位置または匿名プロキシからの API 呼び出し、CloudTrail ログ記録を非アクティブ化する試み、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、認証情報の抽出、疑わしいデータベースログインアクティビティ、悪意のある既知の IP アドレスからの API 呼び出しが含まれます。
• バケットの侵害: 認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な Amazon S3 の API アクティビティ、悪意のある既知の IP アドレスからの不正な Amazon S3 アクセス、過去にバケットにアクセスしたことのないユーザーから実行されたか、または異常な場所から呼び出された、Amazon S3 バケットのデータを取得するための API 呼び出しなど、バケットの侵害を示すアクティビティ。GuardDuty は、CloudTrail S3 データイベント (GetObject、ListObjects、および DeleteObject など) を継続的に監視および分析して、Amazon S3 バケット全体の不審な活動を検出します。
• マルウェア: GuardDuty は、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなどのマルウェアを存在を検知できます。マルウェアは、Amazon EC2 インスタンスやコンテナワークロードへの不正アクセスに使用されたり、Amazon S3 バケットにアップロードされたりする可能性があります。
• コンテナの侵害: コンテナワークロードにおける潜在的な悪意のある動作または疑わしい動作を特定するアクティビティは、Amazon EKS 監査ログと Amazon EKS または Amazon ECS のコンテナランタイムアクティビティを分析して Amazon EKS クラスターを継続的にモニタリングおよびプロファイリングすることで検出されます。 

GuardDuty 検出結果タイプの詳細なリストはこちらをご覧ください。

GuardDuty の脅威インテリジェンスは、攻撃者が使用することがわかっている IP アドレスとドメインで構成されています。GuardDuty の脅威インテリジェンスは、AWS と Proofpoint や CrowdStrike などのサードパーティープロバイダによって提供されます。これらの脅威インテリジェンスフィードは、事前に統合されており、追加費用なしで GuardDuty で継続的に更新されます。

はい、GuardDuty では、独自の脅威インテリジェンスや信頼できる IP アドレスのリストをアップロードすることができます。この機能を使用すると、これらのリストはお客様のアカウントにのみ適用され、他のお客様とは共有されません。

潜在的な脅威が検出されると、GuardDuty によって GuardDuty コンソールと EventBridge に詳細なセキュリティ検出結果が配信されます。こうしてアラートをより迅速に活用でき、既存のイベント管理システムやワークフローシステムにより簡単に統合することができます。検出結果には、カテゴリ、影響を受けるリソース、およびリソースに関連するメタデータ (重大度など) が含まれます。

GuardDuty の検出結果は、一般的な JSON 形式で送信されます。この形式は Amazon Macie と Amazon Inspector でも使用されます。これにより、お客様とパートナーは、3 つのすべてのサービスからのセキュリティの検出結果をより簡単に使用でき、その結果をさまざまなイベント管理、ワークフロー、またはセキュリティソリューションにより簡単に組み込むことできます。

セキュリティの検出結果を、GuardDuty コンソールおよび API を通じて 90 日間保持および利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、EventBridge を有効にして、検出結果をアカウントや他のデータストア内の Amazon S3 バケットに自動的にプッシュします。

はい、EventBridge を使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約するか、検出結果をデータストア (Amazon S3 など) にプッシュして、適切と思われる検出結果を集約するかを選択することが可能です。また、GuardDuty の検出結果を Security Hub に送信し、クロスリージョン集約機能を利用することもできます。

GuardDuty、EventBridge、および AWS Lambda を使用すると、セキュリティ検出結果に基づいて、自動での修復処置を柔軟に設定できます。たとえば、セキュリティの検出結果に基づいて Lambda 関数を作成し、AWS セキュリティグループのルールを変更できます。GuardDuty の検出結果において、Amazon EC2 インスタンスの 1 つを既知の悪意のある IP が探知したことが示された場合は、EventBridge ルールを使用してそのアドレスを指定できます。このルールは、セキュリティグループルールを自動的に変更し、そのポートへのアクセスを制限する Lambda 関数を起動します。

GuardDuty には、検出のエンジニアリング、管理、反復を専門としているチームがあります。そのため、サービスは新たな検出、および既存の検出の継続的な反復を着実に実行します。サービスには、GuardDuty ユーザーインターフェイス (UI) にある各セキュリティの検出結果の承認や却下など、いくつかのフィードバックメカニズムが組み込まれています。これにより、GuardDuty 検出の将来の反復を組み込んでいる可能性のあるフィードバックを提供することができます。

いいえ、GuardDuty は、独自のカスタムルールセットの開発と保守のための力仕事や複雑さを排除します。また、AWS セキュリティエンジニアと GuardDuty のエンジニアリングチームが行う調査に加え、お客様からのフィードバックに基づいて、新たな検出を継続的に追加します。ただし、お客様が設定するカスタマイズでは、独自の脅威リストや信頼できる IP アドレスリストを追加することができます。

現在の GuardDuty アカウントの場合、S3 Protection はコンソールの S3 Protection ページまたは API を通じてアクティブ化できます。これにより、GuardDuty S3 Protection 機能の 30 日間の無料トライアルが始まります。

はい。30 日間の無料トライアルがあります。各アカウントは、それぞれのリージョンで、S3 Protection の機能を含む GuardDuty の 30 日間無料トライアルを取得できます。すでに GuardDuty を有効にしているアカウントには、S3 Protection 機能を最初に有効にする際に、30 日間無料トライアルが提供されます。

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで S3 Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、S3 の自動有効化オプションがオンになっていない限り、S3 Protection がオンになりません。

いいえ、S3 Protection を使用するには、Amazon GuardDuty サービスを有効にする必要があります。現在の GuardDuty アカウントは S3 Protection を有効にするオプションがあり、新しい GuardDuty アカウントは GuardDuty サービスを有効にするとデフォルトでこの機能が搭載されます。

はい、Amazon S3 Protection は、デフォルトで、環境内のすべての S3 バケットをモニタリングします。

いいえ、GuardDuty は CloudTrail S3 データイベントログに直接アクセスできます。CloudTrail で S3 データイベントログ記録を有効にする必要はないため、関連するコストは発生しません。GuardDuty はログを保存せず、分析にのみ使用するのでご注意ください。

GuardDuty EKS Protection は、Amazon EKS 監査ログを分析することによって Amazon EKS クラスターコントロールプレーンのアクティビティをモニタリングする GuardDuty の機能です。GuardDuty は Amazon EKS と統合されているため、これらのログをオンにしたり保存したりしなくても、Amazon EKS 監査ログに直接アクセスできます。これらの監査ログは、セキュリティに関連する時系列の記録であり、Amazon EKS コントロールプレーンで実行された一連のアクションを記録します。これらの Amazon EKS 監査ログは、Amazon EKS の API アクティビティの継続的なモニタリングを実施し、実績のある脅威インテリジェンスと異常検出を適用して、Amazon EKS クラスターに対する不正アクセスのリスクを生じさせる、悪意のあるアクティビティや設定変更を特定するために必要な可視性を GuardDuty に提供します。脅威が特定されると、GuardDuty は、脅威の種類、重大度のレベル、およびコンテナレベルの詳細 (ポッド ID、コンテナイメージ ID、関連付けられたタグなど) を含むセキュリティの検出結果を生成します。

GuardDuty EKS Protection は、Amazon EKS 監査ログでキャプチャされたユーザーおよびアプリケーションアクティビティに関連する脅威を検出できます。Amazon EKS 脅威検出には、既知の悪意のあるアクターまたは Tor ノードからアクセスする Amazon EKS クラスター、設定の誤りを示す可能性のある、匿名ユーザーによって実行される API 操作、Amazon EKS クラスターへの不正アクセスにつながる可能性のある設定の誤りが含まれます。また、機械学習モデルを使用して、GuardDuty は、基盤となる Amazon EC2 ホストへのルートレベルのアクセス権を持つコンテナの疑わしい起動など、特権昇格手法と一致するパターンを特定できます。新しい検出機能の詳細なリストについては、Amazon GuardDuty 検出結果タイプをご覧ください。

いいえ、GuardDuty は Amazon EKS 監査ログに直接アクセスできます。GuardDuty はこれらのログを分析のみに使用することに注意してください。GuardDuty はこれらを保存せず、お客様は、GuardDuty と共有するために、これらの Amazon EKS 監査ログを有効化したり、これらのログについての料金を支払ったりする必要もありません。セキュリティの脅威の検出に関連する監査ログのサブセットのみを消費することでコストを最適化するために、GuardDuty はインテリジェントフィルターを適用します。

はい。30 日間の無料トライアルがあります。各リージョンの新しい GuardDuty の各アカウントには、GuardDuty (GuardDuty EKS Protection 機能を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、追加料金なしで、GuardDuty EKS Protection を 30 日間無料でご試用いただけます。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

GuardDuty EKS Protection は、個々のアカウントごとにオンにする必要があります。GuardDuty EKS Protection コンソールページから、GuardDuty コンソールで 1 つのアクションを実行するだけでアカウントの機能をアクティブ化できます。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection のページで、組織全体で GuardDuty EKS Protection をアクティブ化できます。これにより、すべての個々のメンバーアカウントで Amazon EKS の継続的なモニタリングがアクティブ化されます。AWS Organizations の自動アクティブ化機能を使用して作成された GuardDuty アカウントの場合、Amazon EKS の自動アクティブ化を明示的にオンにする必要があります。あるアカウント用にアクティブ化すると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで設定する必要はありません。

はい。コンソールまたは API を通じて GuardDuty をオンにしている新規アカウントでは、デフォルトで GuardDuty EKS Protection がオンになります。 AWS Organizations の自動有効化機能を使用して作成された新しい GuardDuty アカウントの場合、EKS Protection の自動有効化オプションを明示的にオンにする必要があります。 

コンソールで、または API を使用して、この機能を無効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を無効にすることができます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、この機能を無効にすることもできます。

GuardDuty EKS Protection を以前に無効にした場合、コンソールで、または API を使用して、機能を再度有効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を有効にすることができます。

GuardDuty EKS Protection は、個々のアカウントごとに有効にする必要があります。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection コンソールページで 1 回クリックするだけで、組織全体で Amazon EKS の脅威検出を有効にできます。これにより、すべての個別のメンバーアカウントで Amazon EKS の脅威検出が可能になります。あるアカウント用に有効にすると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで手動で設定する必要はありません。

Amazon EKS を利用しておらず、GuardDuty EKS Protection を有効にしている場合、GuardDuty EKS Protection の料金は発生しません。ただし、Amazon EKS の使用を開始すると、GuardDuty は自動的にクラスターをモニタリングし、特定された問題に対する検出結果を生成しますが、このモニタリングに対する料金が発生します。

いいえ、GuardDuty サービスを有効にして、GuardDuty EKS Protection を有効にする必要があります。

はい、GuardDuty EKS Protection は、Amazon EC2 インスタンスにデプロイされた Amazon EKS クラスターと Fargate にデプロイされた Amazon EKS クラスターの両方からの Amazon EKS 監査ログをモニタリングします。

現在、この機能は、アカウントの Amazon EC2 インスタンスまたは Fargate で実行されている Amazon EKS デプロイのみをサポートしています。

いいえ、GuardDuty EKS Protection は、Amazon EKS ワークロードのデプロイのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。

はい。GuardDuty はリージョンレベルのサービスであり、GuardDuty EKS Protection は各 AWS リージョンで個別に有効にする必要があります。

GuardDuty Runtime Monitoring は、対象リソースのポッドまたはインスタンスレベルでのファイルアクセス、プロセス実行、ネットワーク接続などの実行時のアクティビティの可視性を追加する、軽量のフルマネージドセキュリティエージェントを使用します。セキュリティエージェントは、実行時のイベントを収集し、セキュリティ分析処理のために GuardDuty に配信するデーモンセットとして自動的にデプロイされます。これにより、GuardDuty は、AWS 環境内の侵害された可能性がある特定のインスタンスまたはコンテナを特定し、より広範な AWS 環境に権限を昇格させようとする試みを検出できます。GuardDuty が潜在的な脅威を検出すると、インスタンス、コンテナ、ポッド、プロセスの詳細を含むメタデータコンテキストを持つセキュリティの検出結果が生成されます。 

Runtime Monitoring は、Amazon EC2 で実行されている Amazon EKS リソース、Amazon EC2 または AWS Fargate で実行されている Amazon ECS クラスター、および Amazon EC2 インスタンスで利用できます。 

現在の GuardDuty アカウントの場合、この機能は GuardDuty コンソールの Runtime Monitoring ページから、または API を通じてアクティブ化できます。GuardDuty Runtime Monitoring の詳細をご覧ください。

いいえ。GuardDuty Runtime Monitoring は、GuardDuty を初めてオンにしたときにデフォルトで有効になっていない唯一の保護プランです。この機能は GuardDuty コンソールの Runtime Monitoring ページから、または API を通じてアクティブ化できます。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、Runtime Monitoring の自動有効化オプションがオンになっていない限り、Runtime Monitoring はオンにはなりません。

Amazon ECS Runtime Monitoring を有効にすると、GuardDuty はタスクから実行時のイベントを消費できるようになります。これらのタスクは Amazon ECS クラスター内で実行され、その後に AWS Fargate インスタンス上で実行されます。GuardDuty がこれらの実行時のイベントを受信するには、[自動エージェント設定] を使用する必要があります。

Amazon EC2 または Amazon EKS のために Runtime Monitoring を有効にすると、GuardDuty セキュリティエージェントを手動でデプロイするか、GuardDuty が [自動エージェント設定] を使用してユーザーに代わってセキュリティエージェントを管理するのを許可するかを選択できます。

詳細については、「GuardDuty ユーザーガイド」の「Key concepts - Approaches to manage GuardDuty security agent」にアクセスしてください。
 

いいえ。GuardDuty Runtime Monitoring を使用するには、Amazon GuardDuty サービスを有効にする必要があります。

Runtime Monitoring が利用できるリージョンの詳細なリストについては、「Region-specific feature availability」をご覧ください。

GuardDuty Runtime Monitoring は、個々のアカウントで有効にする必要があります。GuardDuty マルチアカウント設定で運用している場合は、GuardDuty 管理者アカウントの GuardDuty Runtime Monitoring コンソールページにおいて、単一のステップを実行するだけで組織全体でオンにできます。これにより、すべての個々のメンバーアカウントで必要なワークロードの実行時のモニタリングがアクティブ化されます。あるアカウントのためにアクティブ化されると、そのアカウント内のすべての既存および今後選択されるワークロードは実行時の脅威についてモニタリングされ、手動での設定は必要ありません。

GuardDuty Runtime Monitoring では、脅威検出のためにモニタリングする Amazon EKS クラスターまたは Amazon ECS クラスターを選択的に設定できます。クラスターレベルの設定が可能なため、特定のクラスターを選択して脅威検出をモニタリングすることも、引き続きアカウントレベルの設定機能を使用して、特定のアカウントとリージョンのすべての EKS または ECS クラスターをそれぞれモニタリングすることもできます。

セキュリティー、オブザーバビリティ、およびオンホストエージェントを必要とするその他のユースケースと同様に、GuardDuty セキュリティエージェントにはリソース使用オーバーヘッドが発生します。GuardDuty セキュリティエージェントは軽量になるように設計されており、対象となるワークロードの使用率とコストへの影響を最小限に抑えるために、GuardDuty によって注意深くモニタリングされています。正確なリソース使用率メトリクスは、アプリケーションチームとセキュリティチームが Amazon CloudWatch でモニタリングするために使用できます。

GuardDuty セキュリティエージェントを自動的にデプロイするように GuardDuty Runtime Monitoring を設定すると、リソースの使用量が増える可能性があるほか、AWS ワークロードを実行するために使用される VPC で VPC エンドポイントが作成されます。 

実行していないワークロードのために GuardDuty Runtime Monitoring を有効にしても、GuardDuty Runtime Monitoring の料金は発生しません。ただし、Amazon EKS、Amazon ECS、または Amazon EC2 の利用を開始し、そのワークロードのために GuardDuty Runtime Monitoring を有効にした場合、GuardDuty がクラスター、タスク、インスタンスを自動的にモニタリングし、特定された問題についての検出結果を生成すると料金が発生します。 

GuardDuty Runtime Monitoring は、GuardDuty コンソールの Runtime Monitoring ページで AWS アカウントまたは組織のために無効にできます。セキュリティエージェントが GuardDuty によって自動的にデプロイされた場合、GuardDuty は、機能が無効になるとセキュリティエージェントも削除します。

GuardDuty エージェントを手動でデプロイすることを選択した場合 (EKS Runtime Monitoring と EC2 Runtime Monitoring にのみ適用)、手動で削除する必要があり、作成された VPC エンドポイントはすべて手動で削除する必要があります。EKS Runtime Monitoring および EC2 Runtime Monitoring での手動削除のステップについては、「GuardDuty ユーザーガイド」で詳述されています。 

Amazon EBS データボリューム: このデータソースのために Malware Protection が有効になっている場合、GuardDuty は、Amazon EC2 インスタンスまたはコンテナワークロードで悪意のあるソフトウェアであることを示唆する疑わしい動作を識別すると、マルウェア検出スキャンを開始します。GuardDuty が生成する、Amazon EBS ボリュームのスナップショットに基づくレプリカ Amazon EBS ボリュームに対して、トロイの木馬、ワーム、暗号化マイナー、ルートキット、ボットなどのスキャンを実行します。GuardDuty Malware Protection は、疑わしい動きのソースを検証するのに役立つ、コンテキストに基づいた検出結果を生成します。また、これらの検出結果は適切な管理者にルーティングされ、自動的な修復を開始することができます。

S3 オブジェクトスキャン: バケットがマルウェア保護のために設定されると、GuardDuty は新しくアップロードされたファイルを自動的にスキャンし、マルウェアが検出された場合は、マルウェアの詳細を含む Amazon EventBridge 通知を生成します。これにより、既存のセキュリティイベント管理またはワークフローシステムとの統合が可能になります。オブジェクトをアカウント内の分離されたバケットに移動してマルウェアを自動的に隔離するように設定することも、オブジェクトタグを使用してスキャン結果の処理を追加し、タグに基づいて、スキャンされたオブジェクトをより適切に識別および分類できるようにすることもできます。

マルウェアスキャンを開始する Amazon EC2 についての GuardDuty の検出結果については、「GuardDuty ユーザーガイド」をご覧ください。

Malware Protection は、Amazon EC2 インスタンスにアタッチされた Amazon EBS をスキャンすることで、悪意のあるファイルの検出をサポートします。サポートされているファイルシステムのタイプについては、「GuardDuty ユーザーガイド」をご覧ください。

Malware Protection for S3 は、GuardDuty のマルウェアスキャンエンジンを使用して、S3 Standard、S3 Intelligent-Tiering、S3 Standard-IA、S3 One Zone-IA、Amazon S3 Glacier Instant Retrieval などのほとんどの同期 S3 ストレージクラスに属するファイルをスキャンできます。  実行可能ファイル、.pdf ファイル、アーカイブ、バイナリ、圧縮ファイル、スクリプト、インストーラー、E メールデータベース、プレーンな E メール、画像、エンコードされたオブジェクトなど、マルウェアの拡散や封じ込めのために使用されるファイル形式をスキャンします。

Malware Protection は、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなど、ワークロードのセキュリティを侵害し、リソースを悪意のある用途に再利用し、データに不正にアクセスするために使用される可能性のある脅威をスキャンします。

検出結果タイプの包括的なリストについては、「GuardDuty ユーザーガイド」をご覧ください。

GuardDuty または Malware Protection 機能を動作させるために、サービスログ記録を有効にする必要はありません。Malware Protection 機能は GuardDuty の一部であり、内部および外部の統合されたソースからのインテリジェンスを使用する AWS のサービスです。

セキュリティエージェントを使用する代わりに、GuardDuty Malware Protection は、アカウント内の感染の可能性がある Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされている Amazon EBS ボリュームのスナップショットを基にレプリカを作成し、スキャンを行います。サービスにリンクされたロールを通じて GuardDuty に付与された許可により、サービスはアカウントに残っているそのスナップショットから、GuardDuty のサービスアカウントで暗号化されたボリュームレプリカを作成できます。GuardDuty Malware Protection は、このボリュームレプリカをスキャンしてマルウェアを検出します。

Amazon S3 のオブジェクトについては、GuardDuty は、GuardDuty Malware Protection 用に設定したバケットにアップロードされたオブジェクトの読み取り、復号、スキャンを開始します。特定のプレフィックスを持つオブジェクトのみをスキャンするように定義することで、バケット内でスキャンするオブジェクトの範囲を制限できます。GuardDuty は、これらの定義済みプレフィックスに一致するアップロードされたオブジェクトをスキャンし、セキュリティに関する検出結果と、詳細なスキャン結果を含む Amazon EventBridge 通知を生成します。これは、[感染]、[クリーン]、[スキップ]、[失敗] のいずれかとなります。また、通知には、スキャンされたオブジェクトの数とバイト数に関連するスキャンメトリクスも含まれます。自動隔離やオブジェクトのタグ付けなど、スキャン結果に基づいて GuardDuty がオブジェクトに対して実行するスキャン後のアクションを定義することもできます。

はい。各リージョンにおける GuardDuty の新規の各アカウントでは、GuardDuty の 30 日間の無料トライアルをご利用いただけます (Malware Protection 機能を含み、GuardDuty が開始する EBS データボリュームのスキャンでのみ使用可能。GuardDuty Malware Protection for Amazon S3 の無料トライアルはありません)。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

GuardDuty コンソールで Malware Protection を有効にするには、Malware Protection ページにアクセスするか、API を使用します。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの Malware Protection コンソールページで、組織全体でこの機能を有効にできます。これにより、すべての個々のメンバーアカウントでマルウェアのモニタリングが有効になります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的に有効にする必要があります。

Malware Protection for S3 では、次の 2 つのステップに従って、アプリケーションにマルウェアスキャンを統合できます。まず、アプリケーション所有者として、モニタリングするバケットでバケット保護構成を設定する必要があります。これは、既存のバケットのために GuardDuty コンソールでプログラムを使用して設定することも、新しいバケットを作成する際に設定することもできます。GuardDuty は、保護された各 S3 バケットについて、スキャンメトリクスを EventBridge イベントに送信します。これにより、アラームを設定したり、オブジェクトのタグ付けや、GuardDuty がスキャン結果に基づいて実行する隔離バケットへの悪意のあるオブジェクトのコピーなどのスキャン後のアクションを定義したりできます。アカウントのために GuardDuty が有効になっている場合は、GuardDuty でセキュリティに関する検出結果も生成されます。

はい。コンソールまたは API を使用して GuardDuty を有効にしている新規アカウントでも、(EBS ボリュームスキャンのために) デフォルトで GuardDuty Malware Protection が有効になります。AWS Organizations の自動有効化機能を使用して作成された新しい GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的にオンにする必要があります。 

この機能は、コンソールで、または API を使用して、無効にすることができます。GuardDuty コンソールの Malware Protection コンソールページに、アカウントの Malware Protection を無効にするオプションが表示されます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、Malware Protection を無効にすることもできます。

Malware Protection が無効になっている場合、コンソールで、または API を使用して、この機能を有効にすることができます。GuardDuty コンソールでアカウントの Malware Protection を有効にするには、Malware Protection コンソールページを開きます。

いいえ、請求期間中にマルウェアのスキャンが行われなかった場合、Malware Protection に料金はかかりません。AWS 請求コンソールでこの機能のコストを確認できます。

はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。GuardDuty は、AWS Organizations の統合を通じてマルチアカウント管理を備えています。この統合は、セキュリティおよびコンプライアンスチームが、組織内のすべてのアカウントにわたって Malware Protection を含む GuardDuty を完全にカバーするのに役立ちます。

いいえ。この機能を有効にすると、GuardDuty Malware Protection は、関連する Amazon EC2 の検出結果に対応してマルウェアスキャンを開始します。エージェントをデプロイする必要はなく、ログソースを有効にする必要もなく、その他の設定変更も必要ありません。

GuardDuty Malware Protection は、ワークロードのパフォーマンスに影響を与えないように設計されています。例えば、マルウェア分析用に作成された Amazon EBS ボリュームスナップショットは 24 時間に 1 回しか生成できませんし、GuardDuty Malware Protection はスキャン完了後数分間、暗号化されたレプリカとスナップショットを保持します。さらに、GuardDuty Malware Protection は、顧客のコンピューティングリソースではなく、GuardDuty のコンピューティングリソースをマルウェアスキャンに使用します。

はい、GuardDuty はリージョン別のサービスであり、Malware Protection は各 AWS リージョンで個別に有効にする必要があります。

GuardDuty Malware Protection は、アカウント内の感染の可能性がある Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされている Amazon EBS ボリュームのスナップショットに基づくレプリカをスキャンします。お客様の Amazon EBS ボリュームがカスタマーマネージドキーで暗号化されている場合、AWS Key Management Service (KMS) キーを GuardDuty と共有するオプションがあり、サービスは同じキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。暗号化されていない Amazon EBS ボリュームの場合、GuardDuty は独自のキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。

はい、すべてのレプリカ Amazon EBS ボリュームのデータ (およびレプリカボリュームが基づいているスナップショット) は、元の Amazon EBS ボリュームと同じリージョンに残ります。

各リージョンにおける GuardDuty の新規の各アカウントでは、GuardDuty の 30 日間の無料トライアルをご利用いただけます (Malware Protection 機能を含み、GuardDuty によって開始される EBS データボリュームのスキャンでのみ使用可能。GuardDuty Malware Protection for Amazon S3 の無料トライアルはありません)。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを行うことができます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

EBS ボリュームのマルウェアスキャンの料金は、ボリュームでスキャンされるデータ量 (GB) に基づきます。コンソールからスキャンオプションを使用してカスタマイズを適用し、タグを使用して一部の Amazon EC2 インスタンスをスキャン対象または対象外にすることで、コストを抑制できます。また、GuardDuty は Amazon EC2 インスタンスを 24 時間に 1 回のみスキャンします。GuardDuty が 24 時間以内に Amazon EC2 インスタンスに対して複数の Amazon EC2 検出結果を生成した場合、スキャンは最初の関連する Amazon EC2 の検出結果に対してのみ実行されます。あるインスタンスについて、最後のマルウェアスキャンから 24 時間経過しても Amazon EC2 検出結果が続いている場合、そのインスタンスに対して新しいマルウェアスキャンが開始されます。

S3 バケット内のストレージオブジェクトのマルウェアスキャンの料金は、スキャンされるデータ量 (GB) と、マルウェアスキャン用に設定された指定 S3 バケットでスキャンされるファイルの数に基づきます。GuardDuty は、設定されたバケットに新しくアップロードされたファイルのみをスキャンし、既存のファイルや、マルウェアスキャン用に指定されていないバケット内のファイルはスキャンしません。

はい、Malware Protection のスキャンでマルウェアが検出されたときに、スナップショットの保持を有効にできる設定があります。この設定は、GuardDuty コンソールの設定ページで有効にすることができます。デフォルトでは、スナップショットはスキャンが完了してから数分後に削除され、スキャンが完了しなかった場合は 24 時間後に削除されます。

GuardDuty Malware Protection は、生成およびスキャンした各レプリカ Amazon EBS ボリュームを最大で 24 時間保持します。デフォルトでは、レプリカ Amazon EBS ボリュームは、GuardDuty Malware Protection がスキャンを完了してから数分後に削除されます。ただし、サービスの停止や接続の問題によりマルウェアのスキャンが妨げられた場合、GuardDuty Malware Protection はレプリカ Amazon EBS ボリュームを 24 時間以上保持する必要がある場合があります。この場合、GuardDuty Malware Protection はレプリカ Amazon EBS ボリュームを最大 7 日間保持し、停止または接続の問題のトリアージと対処のためのサービス時間を確保します。GuardDuty Malware Protection は、停止または障害に対処した後、または延長された保持期間が過ぎると、レプリカ Amazon EBS ボリュームを削除します。

いいえ、GuardDuty は、感染の可能性がある Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされた Amazon EBS ボリュームのスナップショットに基づくレプリカを、24 時間に 1 回スキャンするだけです。GuardDuty がマルウェアスキャンを開始するのに適した複数の検出結果を生成した場合でも、前回のスキャンから 24 時間未満であれば追加のスキャンは開始されません。前回のマルウェアスキャンから 24 時間後に GuardDuty が適格な検出結果を生成した場合、GuardDuty Malware Protection は、そのワークロードに対して新しいマルウェアスキャンを開始します。

いいえ、GuardDuty サービスを無効にすると、Malware Protection 機能も無効になります。

いいえ。GuardDuty S3 Malware Protection は柔軟性を提供するため、アカウントのためにベース GuardDuty が有効になっていない場合でも、アプリケーション所有者は S3 バケットのために Malware Protection を設定できます。ベース GuardDuty には、AWS CloudTrail 管理イベント、VPC フローログ、DNS クエリログなどの基本的なソースのデフォルトのモニタリングが含まれます。

GuardDuty RDS Protection は、GuardDuty コンソールでワンアクションで有効化することができ、エージェントを手動でデプロイしたり、データソースを有効にしたり、アクセス権を設定したりする必要はありません。カスタマイズされた ML モデルを使用して、GuardDuty RDS Protection は、既存および新規の Amazon Aurora データベースへのログイン試行の分析とプロファイリングから開始します。不審な動きや 既知の悪意ある行為者による試行が検出されると、GuardDuty は GuardDuty と Amazon Relational Database Service (RDS) コンソール、Security Hub、Amazon EventBridge に実行可能なセキュリティ検出結果を発行し、既存のセキュリティイベント管理またはワークフローシステムと統合することができます。 GuardDuty RDS Protection が RDS ログインアクティビティのモニタリングを使用する方法の詳細をご覧ください。

現在の GuardDuty アカウントの場合、この機能は RDS 保護ページの GuardDuty コンソールから、または API を介してアクティブ化できます。 GuardDuty RDS Protection の詳細をご覧ください。

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで RDS Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、RDS の自動有効化オプションがオンになっていない限り、RDS Protection がオンになりません。

いいえ、GuardDuty RDS Protection を使用するには、Amazon GuardDuty サービスを有効にする必要があります。

RDS Protection が利用できるリージョンの詳細な一覧については、「リージョン固有機能の可用性」を参照してください。

サポート対象の Amazon Aurora データベースバージョンのリストをご覧ください。

いいえ、Aurora データベースの GuardDuty 脅威検出は、Amazon Aurora データベースにパフォーマンス、可用性、コストの面で影響を与えないように設計されています。

GuardDuty Lambda Protection では、VPC フローログから始まるサーバーレスワークロードからのネットワークアクティビティを継続的にモニタリングし、不正な暗号通貨マイニングのために悪意を持って転用された関数や、既知の脅威アクターサーバーと通信している侵害された Lambda 関数など、Lambda に対する脅威を検出します。GuardDuty Lambda Protection は、GuardDuty コンソールでいくつかのステップを実行するだけで有効にできます。また、AWS Organizations を使用すると、組織内のすべての既存アカウントと新規アカウントに対して一元的に有効にできます。有効にすると、アカウント内の既存のすべての Lambda 関数と新規の Lambda 関数のネットワークアクティビティデータのモニタリングが自動的に開始されます。

現在の GuardDuty アカウントの場合、この機能は Lambda 保護ページの GuardDuty コンソールから、または API を介してアクティブ化できます。 GuardDuty Lambda Protection の詳細については、こちらをご覧ください。

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで Lambda Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、Lambda の自動有効化オプションがオンになっていない限り、Lambda Protection がオンになりません。

Lambda Protection が利用できるリージョンの一覧については、「リージョン固有機能の可用性」を参照してください。

いいえ。GuardDuty Lambda Protection は、Lambda ワークロードのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。

Amazon GuardDuty では、人工知能 (AI) と機械学習 (ML) を活用した脅威検知の拡張機能を導入し、AWS アカウント、ワークロード、データを標的とする、複雑で多段階の攻撃シーケンスを迅速に特定できるようになりました。これにより、GuardDuty はアクティブな攻撃シーケンスを検知して優先順位を付けることができるため、脅威を包括的に把握し、より迅速に対応してビジネスへの影響を最小限に抑えるのに役立つ規範的な修復の推奨事項が得られます。

GuardDuty は AWS 規模でトレーニングされた AI と ML の手法を使用して、さまざまな AWS サービスからのセキュリティシグナルと結果を自動的にまとめます。これにより、認証情報の漏洩とそれに続くデータ流出などの包括的な攻撃シーケンスを特定し、それらを優先度の高い単一の検知結果として提示できます。調査結果には、脅威の自然言語による要約、影響を受けたリソースの詳細、および段階的な修復の推奨事項が含まれています。

主な利点には、以下が含まれます。

• 別々の脅威シグナルを自動的に相関付け、手動で分析する必要のあるセキュリティアラートを減らすことで、脅威の検知と対応を迅速に行えます
• 複数のリソースとアカウントにまたがる攻撃シーケンスの可視性が向上します
• AWS のベストプラクティスと MITRE ATT&CK® の戦術とテクニックのマッピングに基づいた規範的な是正措置の推奨により、対応を合理化します

脅威検知の拡張は、GuardDuty の新規および既存のすべてのお客様で追加費用なしで自動的に有効になります。新しい攻撃シーケンスの検知結果を、GuardDuty コンソールで直接確認して対応することも、GuardDuty と AWS Security Hub、Amazon EventBridge、およびすでに使用しているその他のセキュリティツールを統合して利用することもできます。

いいえ。脅威検知の拡張を活用するために、すべての GuardDuty 保護プランを有効にする必要はありません。ただし、より多くの GuardDuty 保護プランを有効にすると、利用できるセキュリティシグナルの幅が広がり、より包括的な脅威の検知と分析が可能になります。GuardDuty の脅威検知の拡張でランサムウェアイベントの一部である可能性のあるデータ侵害を特定するには、GuardDuty S3 Protection を有効にする必要があります。

たとえば、GuardDuty の基本的な脅威検知のみを有効にしている場合、GuardDuty は S3 API などの IAM 権限検知アクティビティから始まり、Amazon S3 バケットリソースポリシーをより許容性の高いものに変更するなどの、Amazon S3 コントロールプレーンの変更に至る潜在的な攻撃シーケンスを特定できます。

ただし、GuardDuty S3 Protection も有効にしている場合は、GuardDuty によってこの検知機能が強化されます。GuardDuty では、同じ攻撃シーケンスの検知結果に、潜在的なデータ漏洩アクティビティの兆候を追加できるようになります。これは、S3 バケットへのアクセスがより寛容になった後に発生する可能性があります。これらの機能を組み合わせることで、GuardDuty はより包括的な攻撃シーケンス検知を実現できるようになります。これにより、潜在的な脅威と攻撃のさまざまな段階をより完全に把握できます。

GuardDuty をご利用のすべてのお客様は、脅威検知の拡張機能を追加費用なしでご利用いただけます。新しい脅威検知の拡張機能を含む GuardDuty の料金体系はこれまでと変わりません。お支払いは使用した分のみで、前払い料金や追加料金はありません。