Amazon GuardDuty に関するよくある質問

サービスの概要

GuardDuty は、AWS アカウント、ワークロード、実行時のアクティビティ、悪意のあるアクティビティのデータを継続的にモニタリングするインテリジェントな脅威検出サービスです。異常な動き、認証情報の抽出、コマンドおよびコントロールインフラストラクチャ (C2) 通信などの潜在的な悪意のあるアクティビティが検出された場合、GuardDuty はセキュリティの可視化と修復の支援に使用できる詳細なセキュリティの検出結果を生成します。

GuardDuty を使用すると、AWS のアカウント、ワークロード、実行時のアクティビティの継続的なモニタリングをより簡単に実行できます。GuardDuty は、リソースから完全に独立して動作し、ワークロードのパフォーマンスや可用性に影響を与えないように設計されています。このサービスは、統合された脅威インテリジェンス、機械学習 (ML) 異常検出、およびマルウェアスキャンによって完全に管理されます。GuardDuty は、詳細で実用的なアラートを提供し、既存のイベント管理およびワークフローシステムと統合できるように設計されています。前払費用は発生せず、分析したイベントに対してのみ料金が発生し、デプロイのための追加ソフトウェアや脅威インテリジェンスフィードの受信登録は不要です。

GuardDuty は従量制料金のサービスであり、使用した分の料金のみをお支払いいただきます。GuardDuty の料金は、分析されたサービスログの量、仮想 CPU (vCPU) または Aurora Serverless v2 インスタンス Aurora キャパシティユニット (ACU) (Amazon RDS イベント分析の場合)、実行時にモニタリングされる Amazon Elastic Kubernetes Service (Amazon EKS) または Amazon Elastic Container Service (Amazon ECS) ワークロードの数とサイズ、およびマルウェアがないかどうかを確認するためにスキャンされたデータの量に基づきます。

分析されたサービスログは、コスト最適化のためにフィルタリングされ、GuardDuty に直接統合されているため、個別に有効化したり料金を支払ったりする必要はありません。 アカウントで EKS ランタイムモニタリングが有効になっている場合、GuardDuty エージェントがデプロイされアクティブになっているインスタンスからの VPC フローログの分析には課金されません。ランタイムセキュリティエージェントは、類似した (よりコンテキストに即した) ネットワークテレメトリデータを提供します。したがって、お客様への二重請求を避けるため、エージェントがインストールされている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからの VPC フローログについては課金しません。

その他の詳細と料金の例については、「Amazon GuardDuty の料金」をご覧ください。

見積もりコストは、個々の支払者アカウントのコストを表し、GuardDuty 管理者アカウントで各メンバーアカウントの請求済み使用量と 1 日の平均コストを確認できます。詳細な使用量情報を確認するには、個々のアカウントにアクセスする必要があります。

はい。GuardDuty の新しいアカウントであれば、無料で 30 日間サービスをご利用いただけます。無料トライアル中はすべての機能セットと検出をご使用いただけます。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

GuardDuty は、AWS のアカウント、ワークロード、データの広範なセキュリティモニタリングを提供し、攻撃者の偵察、インスタンスの侵害、アカウントの侵害、バケットの侵害、Amazon EKS クラスターの侵害、およびマルウェアなどの脅威を特定するのに役立ちます。 Macie は、機械学習とパターンマッチングを使用して Amazon S3 内の機密データを検出する、フルマネージド機密データ検出サービスです。

GuardDuty はリージョンレベルのサービスです。複数のアカウントが有効になっていて、複数の AWS リージョンが使用されている場合でも、GuardDuty のセキュリティの検出結果は、基盤となるデータが生成されたリージョンと同じリージョンに残ります。このため、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。ただし、Amazon EventBridge を使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約するか、検出結果をデータストア (Amazon S3 など) にプッシュして、適切と思われる検出結果を集約するかを選択することが可能です。また、GuardDuty の検出結果を AWS Security Hub に送信し、クロスリージョン集約機能を利用することもできます。

GuardDuty のリージョン別の可用性は、AWS サービスのリスト (リージョン別) に記載されています。

多くのテクノロジーパートナーが GuardDuty を統合して構築しています。また、GuardDuty について専門知識を持つコンサルティング、システムインテグレーター、マネージド型セキュリティサービスのプロバイダもいます。詳細については、Amazon GuardDuty パートナーのページをご覧ください。

Foregenix が公開したホワイトペーパーでは、PCI DSS 要件 11.4 などの要件を満たすことを支援する GuardDuty 有効性の詳細な評価を提供しています。これには、ネットワークの重要なポイントにおける侵入検知技術が必要です。

GuardDuty の有効化

AWS マネジメントコンソールでわずか数回クリックするだけで GuardDuty を設定、デプロイすることができます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。

はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。これを使用すると、すべてのセキュリティ検出結果を管理者アカウントに集約し、レビューと修復を行うことができます。また、この設定を使用すると、EventBridge イベントも GuardDuty 管理者アカウントに集約されます。また、GuardDuty は AWS Organizations と統合されており、組織のために GuardDuty の管理者アカウントを委任することができます。この委任された管理者 (DA) アカウントは、すべての結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。

GuardDuty が分析する基本的なデータソースには、AWS CloudTrail 管理イベントログ、CloudTrail 管理イベント、Amazon EC2 VPC フローログ、DNS クエリログが含まれます。GuardDuty の保護プランは、CloudTrail S3 データイベント (S3 保護)、Amazon EKS の監査ログとランタイムアクティビティ (EKS 保護)、Amazon ECS ランタイムアクティビティ (ECS ランタイム監視)、Amazon EC2 ランタイムアクティビティ (EC2 ランタイム監視)、Amazon EBS ボリュームデータ (マルウェア保護)、Amazon Aurora ログインイベント (RDS 保護)、ネットワークアクティビティログ (Lambda 保護) など、その他のリソースタイプも監視します。このサービスは、ほぼリアルタイムでセキュリティ検出を処理するため、大量のデータを消費するように最適化しています。GuardDuty を使用すると、クラウド用に開発および最適化されたビルトインの検出手法にアクセスでき、GuardDuty エンジニアリングがこれらを維持、および継続的に改善しています。

有効にすると、GuardDuty は悪意のあるアクティビティや不正なアクティビティの分析を開始します。検出結果の受信が始まる時期は、アカウントのアクティビティレベルによって異なります。GuardDuty は履歴データを調べず、有効後に開始するアクティビティのみを調べます。GuardDuty が潜在的な脅威を識別すると、GuardDuty コンソールに検出結果を表示します。

いいえ。GuardDuty は、CloudTrail、VPC Flow Logs、DNS クエリログ、および Amazon EKS から独立したデータストリームを直接取得します。Amazon S3 バケットポリシーを管理したり、ログを収集して保存する方法を変更したりする必要はありません。GuardDuty のアクセス許可は、サービスにリンクされたロールとして管理されます。GuardDuty はいつでも無効にでき、その場合、すべての GuardDuty アクセス許可が削除されます。これにより、複雑な設定を回避できるため、サービスを有効にすることがより容易になります。また、サービスにリンクされたロールにより、AWS Identity and Access Management (IAM) アクセス許可の設定ミスや Amazon S3 バケットのポリシー変更がサービス運用に影響を与える可能性もなくなります。最後に、サービスにリンクしたロールにより、ほぼリアルタイムで大量のデータを消費する時に GuardDuty が非常に効率的に活用されるため、アカウントやワークロードのパフォーマンス、および可用性にほとんど影響を与えません。

GuardDuty を初めて有効にすると、AWS リソースとは完全に独立して動作します。GuardDuty セキュリティエージェントを自動的にデプロイするように GuardDuty Runtime Monitoring を設定すると、リソースの使用量が増える可能性があるほか、モニタリング対象のワークロードを実行するために使用される VPC で VPC エンドポイントが作成されます。

いいえ、GuardDuty はログを管理または保持しません。GuardDuty が消費するすべてのデータは、ほぼリアルタイムで分析され、その後破棄されます。このため、GuardDuty が極めて効率的で費用効果が高くなり、さらにデータの残留のリスクが軽減されます。ログの配信と保持のためには、AWS のログ記録とモニタリングのサービスを直接使用してください。これらには、完全な機能を備えた配信と保存のオプションがあります。

サービスの一時停止を選択することで、一般設定で、GuardDuty のデータソース分析をいつでも防ぐことができます。これで、サービスによるデータの分析はすぐに停止しますが、既存の検出結果や設定は削除されません。一般設定でサービスを無効にすることもできます。これで、サービスのアクセス許可を放棄し、サービスをリセットする前に、既存の検出結果や設定構成などの残りのすべてのデータを削除します。また、GuardDuty S3 Protection や GuardDuty EKS Protection などの機能は、マネジメントコンソールや AWS CLI から選択的に無効化することが可能です。

GuardDuty のアクティブ化

GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。検出アルゴリズムを、GuardDuty エンジニアが維持し、継続的に改善します。検出の主なカテゴリは次のとおりです。

  • 偵察: 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
  • インスタンスの侵害: インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィック、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの逆浸出などです。
  • アカウントの侵害: アカウントの侵害を示す一般的なパターン。これには、異常な地理的位置または匿名プロキシからの API 呼び出し、CloudTrail ログ記録を非アクティブ化する試み、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、認証情報の抽出、疑わしいデータベースログインアクティビティ、悪意のある既知の IP アドレスからの API 呼び出しが含まれます。
  • バケットの侵害: 認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な Amazon S3 の API アクティビティ、悪意のある既知の IP アドレスからの不正な Amazon S3 アクセス、過去にバケットにアクセスしたことのないユーザーから実行されたか、または異常な場所から呼び出された、Amazon S3 バケットのデータを取得するための API 呼び出しなど、バケットの侵害を示すアクティビティ。GuardDuty は、CloudTrail S3 データイベント (GetObject、ListObjects、および DeleteObject など) を継続的に監視および分析して、Amazon S3 バケット全体の不審な活動を検出します。
  • マルウェアの検出: GuardDuty は、Amazon EC2 インスタンスまたはコンテナのワークロードに悪意のあるソフトウェアを示す疑わしい動きを特定すると、マルウェア検出のスキャンを開始します。GuardDuty は、Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされた Amazon EBS ボリュームの一時的なレプリカを生成し、そのボリュームレプリカに対して、ワークロードの侵害、悪意のある使用へのリソース再利用、データへの不正アクセスに使用される可能性のあるトロイの木馬、ワーム、暗号マイナー、ルートキット、ボットなどのスキャンを実施します。GuardDuty Malware Protection は、疑わしい動きのソースを検証することができる、コンテキストに基づいた検出結果を生成します。これらの検出結果は、適切な管理者にルーティングし、自動的な修復を開始できます。
  • コンテナの侵害: Amazon EKS 監査ログおよびコンテナランタイムアクティビティを分析して Amazon EKS クラスターを継続的にモニタリングとプロファイリングすることによって、コンテナワークロードにおける悪意のある動きや疑わしい動きの可能性を特定するアクティビティ。

GuardDuty の脅威インテリジェンスは、攻撃者が使用することがわかっている IP アドレスとドメインで構成されています。GuardDuty の脅威インテリジェンスは、AWS と Proofpoint や CrowdStrike などのサードパーティープロバイダによって提供されます。これらの脅威インテリジェンスフィードは、事前に統合されており、追加費用なしで GuardDuty で継続的に更新されます。

はい、GuardDuty では、独自の脅威インテリジェンスや信頼できる IP アドレスのリストをアップロードすることができます。この機能を使用すると、これらのリストはお客様のアカウントにのみ適用され、他のお客様とは共有されません。

潜在的な脅威が検出されると、GuardDuty によって GuardDuty コンソールと EventBridge に詳細なセキュリティ検出結果が配信されます。こうしてアラートをより迅速に活用でき、既存のイベント管理システムやワークフローシステムにより簡単に統合することができます。検出結果には、カテゴリ、影響を受けるリソース、およびリソースに関連するメタデータ (重大度など) が含まれます。

GuardDuty の検出結果は、一般的な JSON 形式で送信されます。この形式は Macie と Amazon Inspector でも使用されます。これにより、お客様とパートナーは、3 つのすべてのサービスからのセキュリティの検出結果をより簡単に使用でき、その結果をさまざまなイベント管理、ワークフロー、またはセキュリティソリューションにより簡単に組み込むことできます。

セキュリティの検出結果を、GuardDuty コンソールおよび API を通じて 90 日間保持および利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、EventBridge を有効にして、検出結果をアカウントや他のデータストア内の Amazon S3 バケットに自動的にプッシュします。

はい、EventBridge を使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約するか、検出結果をデータストア (Amazon S3 など) にプッシュして、適切と思われる検出結果を集約するかを選択することが可能です。また、GuardDuty の検出結果を Security Hub に送信し、クロスリージョン集約機能を利用することもできます。

GuardDuty、EventBridge、および AWS Lambda を使用すると、セキュリティ検出結果に基づいて、自動での修復処置を柔軟に設定できます。たとえば、セキュリティの検出結果に基づいて Lambda 関数を作成し、AWS セキュリティグループのルールを変更できます。GuardDuty の検出結果において、Amazon EC2 インスタンスの 1 つを既知の悪意のある IP が探知したことが示された場合は、EventBridge ルールを使用してそのアドレスを指定できます。このルールは、セキュリティグループルールを自動的に変更し、そのポートへのアクセスを制限する Lambda 関数を起動します。

GuardDuty には、検出のエンジニアリング、管理、反復を専門としているチームがあります。そのため、サービスは新たな検出、および既存の検出の継続的な反復を着実に実行します。サービスには、GuardDuty ユーザーインターフェイス (UI) にある各セキュリティの検出結果の承認や却下など、いくつかのフィードバックメカニズムが組み込まれています。これにより、GuardDuty 検出の将来の反復を組み込んでいる可能性のあるフィードバックを提供することができます。

いいえ、GuardDuty は、独自のカスタムルールセットの開発と保守のための力仕事や複雑さを排除します。また、AWS セキュリティエンジニアと GuardDuty のエンジニアリングチームが行う調査に加え、お客様からのフィードバックに基づいて、新たな検出を継続的に追加します。ただし、お客様が設定するカスタマイズでは、独自の脅威リストや信頼できる IP アドレスリストを追加することができます。

GuardDuty S3 Protection

現在の GuardDuty アカウントの場合、S3 Protection はコンソールの S3 Protection ページまたは API を通じてアクティブ化できます。これにより、GuardDuty S3 Protection 機能の 30 日間の無料トライアルが始まります。

はい。30 日間の無料トライアルがあります。各アカウントは、それぞれのリージョンで、S3 Protection の機能を含む GuardDuty の 30 日間無料トライアルを取得できます。すでに GuardDuty を有効にしているアカウントには、S3 Protection 機能を最初に有効にする際に、30 日間無料トライアルが提供されます。

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで S3 Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、S3 の自動有効化オプションがオンになっていない限り、S3 Protection がオンになりません。

いいえ、S3 Protection を使用するには、Amazon GuardDuty サービスを有効にする必要があります。現在の GuardDuty アカウントは S3 Protection を有効にするオプションがあり、新しい GuardDuty アカウントは GuardDuty サービスを有効にするとデフォルトでこの機能が搭載されます。

はい、Amazon S3 Protection は、デフォルトで、環境内のすべての S3 バケットをモニタリングします。

いいえ、GuardDuty は CloudTrail S3 データイベントログに直接アクセスできます。CloudTrail で S3 データイベントログ記録を有効にする必要はないため、関連するコストは発生しません。GuardDuty はログを保存せず、分析にのみ使用するのでご注意ください。

GuardDuty EKS Protection

GuardDuty EKS Protection は、Amazon EKS 監査ログを分析することによって Amazon EKS クラスターコントロールプレーンのアクティビティをモニタリングする GuardDuty の機能です。GuardDuty は Amazon EKS と統合されているため、これらのログをオンにしたり保存したりしなくても、Amazon EKS 監査ログに直接アクセスできます。これらの監査ログは、セキュリティに関連する時系列の記録であり、Amazon EKS コントロールプレーンで実行された一連のアクションを記録します。これらの Amazon EKS 監査ログは、Amazon EKS の API アクティビティの継続的なモニタリングを実施し、実績のある脅威インテリジェンスと異常検出を適用して、Amazon EKS クラスターに対する不正アクセスのリスクを生じさせる、悪意のあるアクティビティや設定変更を特定するために必要な可視性を GuardDuty に提供します。脅威が特定されると、GuardDuty は、脅威の種類、重大度のレベル、およびコンテナレベルの詳細 (ポッド ID、コンテナイメージ ID、関連付けられたタグなど) を含むセキュリティの検出結果を生成します。

GuardDuty EKS Protection は、Amazon EKS 監査ログでキャプチャされたユーザーおよびアプリケーションアクティビティに関連する脅威を検出できます。Amazon EKS 脅威検出には、既知の悪意のあるアクターまたは Tor ノードからアクセスする Amazon EKS クラスター、設定の誤りを示す可能性のある、匿名ユーザーによって実行される API 操作、Amazon EKS クラスターへの不正アクセスにつながる可能性のある設定の誤りが含まれます。また、機械学習モデルを使用して、GuardDuty は、基盤となる Amazon EC2 ホストへのルートレベルのアクセス権を持つコンテナの疑わしい起動など、特権昇格手法と一致するパターンを特定できます。新しい検出機能の詳細なリストについては、Amazon GuardDuty 検出結果タイプをご覧ください。

いいえ、GuardDuty は Amazon EKS 監査ログに直接アクセスできます。GuardDuty はこれらのログを分析のみに使用することに注意してください。GuardDuty はこれらを保存せず、お客様は、GuardDuty と共有するために、これらの Amazon EKS 監査ログを有効化したり、これらのログについての料金を支払ったりする必要もありません。セキュリティの脅威の検出に関連する監査ログのサブセットのみを消費することでコストを最適化するために、GuardDuty はインテリジェントフィルターを適用します。

はい。30 日間の無料トライアルがあります。各リージョンの新しい GuardDuty の各アカウントには、GuardDuty (GuardDuty EKS Protection 機能を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、追加料金なしで、GuardDuty EKS Protection を 30 日間無料でご試用いただけます。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

GuardDuty EKS Protection は、個々のアカウントごとにオンにする必要があります。GuardDuty EKS Protection コンソールページから、GuardDuty コンソールで 1 つのアクションを実行するだけでアカウントの機能をアクティブ化できます。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection のページで、組織全体で GuardDuty EKS Protection をアクティブ化できます。これにより、すべての個々のメンバーアカウントで Amazon EKS の継続的なモニタリングがアクティブ化されます。AWS Organizations の自動アクティブ化機能を使用して作成された GuardDuty アカウントの場合、Amazon EKS の自動アクティブ化を明示的にオンにする必要があります。あるアカウント用にアクティブ化すると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで設定する必要はありません。

はい。コンソールまたは API を通じて GuardDuty をオンにしている新規アカウントでは、デフォルトで GuardDuty EKS Protection がオンになります。 AWS Organizations の自動有効化機能を使用して作成された新しい GuardDuty アカウントの場合、EKS Protection の自動有効化オプションを明示的にオンにする必要があります。 

コンソールで、または API を使用して、この機能を無効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を無効にすることができます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、この機能を無効にすることもできます。

GuardDuty EKS Protection を以前に無効にした場合、コンソールで、または API を使用して、機能を再度有効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を有効にすることができます。

GuardDuty EKS Protection は、個々のアカウントごとに有効にする必要があります。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection コンソールページで 1 回クリックするだけで、組織全体で Amazon EKS の脅威検出を有効にできます。これにより、すべての個別のメンバーアカウントで Amazon EKS の脅威検出が可能になります。あるアカウント用に有効にすると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで手動で設定する必要はありません。

Amazon EKS を利用しておらず、GuardDuty EKS Protection を有効にしている場合、GuardDuty EKS Protection の料金は発生しません。ただし、Amazon EKS の使用を開始すると、GuardDuty は自動的にクラスターをモニタリングし、特定された問題に対する検出結果を生成しますが、このモニタリングに対する料金が発生します。

いいえ、GuardDuty サービスを有効にして、GuardDuty EKS Protection を有効にする必要があります。

はい、GuardDuty EKS Protection は、Amazon EC2 インスタンスにデプロイされた Amazon EKS クラスターと Fargate にデプロイされた Amazon EKS クラスターの両方からの Amazon EKS 監査ログをモニタリングします。

現在、この機能は、アカウントの Amazon EC2 インスタンスまたは Fargate で実行されている Amazon EKS デプロイのみをサポートしています。

いいえ、GuardDuty EKS Protection は、Amazon EKS ワークロードのデプロイのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。

はい。GuardDuty はリージョンレベルのサービスであり、GuardDuty EKS Protection は各 AWS リージョンで個別に有効にする必要があります。

GuardDuty Runtime Monitoring

GuardDuty Runtime Monitoring は、対象リソースのポッドまたはインスタンスレベルでのファイルアクセス、プロセス実行、ネットワーク接続などの実行時のアクティビティの可視性を追加する、軽量のフルマネージドセキュリティエージェントを使用します。セキュリティエージェントは、実行時のイベントを収集し、セキュリティ分析処理のために GuardDuty に配信するデーモンセットとして自動的にデプロイされます。これにより、GuardDuty は、AWS 環境内の侵害された可能性がある特定のインスタンスまたはコンテナを特定し、より広範な AWS 環境に権限を昇格させようとする試みを検出できます。GuardDuty が潜在的な脅威を検出すると、インスタンス、コンテナ、ポッド、プロセスの詳細を含むメタデータコンテキストを持つセキュリティの検出結果が生成されます。 

Runtime Monitoring は、Amazon EC2 で実行されている Amazon EKS リソース、Amazon EC2 または AWS Fargate で実行されている Amazon ECS クラスター、および Amazon EC2 インスタンスで利用できます。 

現在の GuardDuty アカウントの場合、この機能は GuardDuty コンソールの Runtime Monitoring ページから、または API を通じてアクティブ化できます。GuardDuty Runtime Monitoring の詳細をご覧ください。

いいえ。GuardDuty Runtime Monitoring は、GuardDuty を初めてオンにしたときにデフォルトで有効になっていない唯一の保護プランです。この機能は GuardDuty コンソールの Runtime Monitoring ページから、または API を通じてアクティブ化できます。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、Runtime Monitoring の自動有効化オプションがオンになっていない限り、Runtime Monitoring はオンにはなりません。

いいえ。GuardDuty Runtime Monitoring を使用するには、Amazon GuardDuty サービスを有効にする必要があります。

Amazon ECS Runtime Monitoring を有効にすると、GuardDuty はタスクから実行時のイベントを消費できるようになります。これらのタスクは Amazon ECS クラスター内で実行され、その後に AWS Fargate インスタンス上で実行されます。GuardDuty がこれらの実行時のイベントを受信するには、[自動エージェント設定] を使用する必要があります。

Amazon EC2 または Amazon EKS のために Runtime Monitoring を有効にすると、GuardDuty セキュリティエージェントを手動でデプロイするか、GuardDuty が [自動エージェント設定] を使用してユーザーに代わってセキュリティエージェントを管理するのを許可するかを選択できます。

詳細については、「GuardDuty ユーザーガイド」の「Key concepts - Approaches to manage GuardDuty security agent」にアクセスしてください。
 

Runtime Monitoring が利用できるリージョンの詳細なリストについては、「Region-specific feature availability」をご覧ください。

GuardDuty Runtime Monitoring は、個々のアカウントで有効にする必要があります。GuardDuty マルチアカウント設定で運用している場合は、GuardDuty 管理者アカウントの GuardDuty Runtime Monitoring コンソールページにおいて、単一のステップを実行するだけで組織全体でオンにできます。これにより、すべての個々のメンバーアカウントで必要なワークロードの実行時のモニタリングがアクティブ化されます。あるアカウントのためにアクティブ化されると、そのアカウント内のすべての既存および今後選択されるワークロードは実行時の脅威についてモニタリングされ、手動での設定は必要ありません。

GuardDuty Runtime Monitoring では、脅威検出のためにモニタリングする Amazon EKS クラスターまたは Amazon ECS クラスター選択的に設定できます。クラスターレベルの設定が可能なため、特定のクラスターを選択して脅威検出をモニタリングすることも、引き続きアカウントレベルの設定機能を使用して、特定のアカウントとリージョンのすべての EKS または ECS クラスターをそれぞれモニタリングすることもできます。

セキュリティー、オブザーバビリティ、およびオンホストエージェントを必要とするその他のユースケースと同様に、GuardDuty セキュリティエージェントにはリソース使用オーバーヘッドが発生します。GuardDuty セキュリティエージェントは軽量になるように設計されており、対象となるワークロードの使用率とコストへの影響を最小限に抑えるために、GuardDuty によって注意深くモニタリングされています。正確なリソース使用率メトリクスは、アプリケーションチームとセキュリティチームが Amazon CloudWatch でモニタリングするために使用できます。

GuardDuty セキュリティエージェントを自動的にデプロイするように GuardDuty Runtime Monitoring を設定すると、リソースの使用量が増える可能性があるほか、AWS ワークロードを実行するために使用される VPC で VPC エンドポイントが作成されます。 

実行していないワークロードのために GuardDuty Runtime Monitoring を有効にしても、GuardDuty Runtime Monitoring の料金は発生しません。ただし、Amazon EKS、Amazon ECS、または Amazon EC2 の利用を開始し、そのワークロードのために GuardDuty Runtime Monitoring を有効にした場合、GuardDuty がクラスター、タスク、インスタンスを自動的にモニタリングし、特定された問題についての検出結果を生成すると料金が発生します。 

GuardDuty Runtime Monitoring は、GuardDuty コンソールの Runtime Monitoring ページで AWS アカウントまたは組織のために無効にできます。セキュリティエージェントが GuardDuty によって自動的にデプロイされた場合、GuardDuty は、機能が無効になるとセキュリティエージェントも削除します。

GuardDuty エージェントを手動でデプロイすることを選択した場合 (EKS Runtime Monitoring と EC2 Runtime Monitoring にのみ適用)、手動で削除する必要があり、作成された VPC エンドポイントはすべて手動で削除する必要がありますEKS Runtime Monitoring および EC2 Runtime Monitoring での手動削除のステップについては、「GuardDuty ユーザーガイド」で詳述されています。 

GuardDuty Malware Protection

GuardDuty は、Amazon EC2 インスタンスまたはコンテナのワークロードで悪意のあるソフトウェアを示す不審な動きを特定すると、マルウェア検出スキャンを開始します。GuardDuty が生成する、Amazon EBS ボリュームのスナップショットに基づくレプリカ Amazon EBS ボリュームに対して、トロイの木馬、ワーム、暗号化マイナー、ルートキット、ボットなどのスキャンを実行します。GuardDuty Malware Protection は、疑わしい動きのソースを検証するのに役立つ、コンテキストに基づいた検出結果を生成します。また、これらの検出結果は適切な管理者にルーティングされ、自動的な修復を開始することができます。

マルウェアスキャンを開始する Amazon EC2 についての GuardDuty の検出結果については、「GuardDuty ユーザーガイド」をご覧ください。

Malware Protection は、Amazon EC2 インスタンスにアタッチされた Amazon EBS をスキャンすることで、悪意のあるファイルの検出をサポートします。ボリューム上に存在するファイルをスキャンできます。サポートされているファイルシステムの種類は「GuardDuty ユーザーガイド」で確認できます。

Malware Protection は、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなど、ワークロードのセキュリティを侵害し、リソースを悪意のある用途に再利用し、データに不正にアクセスするために使用される可能性のある脅威をスキャンします。

GuardDuty または Malware Protection 機能を動作させるために、サービスログ記録を有効にする必要はありません。Malware Protection 機能は GuardDuty の一部であり、内部および外部の統合されたソースからのインテリジェンスを使用する AWS のサービスです。

セキュリティエージェントを使用する代わりに、GuardDuty Malware Protection は、アカウント内の感染の可能性がある Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされている Amazon EBS ボリュームのスナップショットを基にレプリカを作成し、スキャンを行います。サービスにリンクされたロールを通じて GuardDuty に付与された許可により、サービスはアカウントに残っているそのスナップショットから、GuardDuty のサービスアカウントで暗号化されたボリュームレプリカを作成できます。GuardDuty Malware Protection は、このボリュームレプリカをスキャンしてマルウェアを検出します。

はい、各リージョンの新しい GuardDuty の各アカウントには、GuardDuty (Malware Protection 機能を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

GuardDuty コンソールで Malware Protection を有効にするには、Malware Protection ページにアクセスするか、API を使用します。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの Malware Protection コンソールページで、組織全体でこの機能を有効にできます。これにより、すべての個々のメンバーアカウントでマルウェアのモニタリングが有効になります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的に有効にする必要があります。

はい、コンソールまたは API を使用して GuardDuty を有効にしている新規アカウントでは、デフォルトで GuardDuty Malware Protection が有効になります。AWS Organizations の自動有効化機能を使用して作成された新しい GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的にオンにする必要があります。 

この機能は、コンソールで、または API を使用して、無効にすることができます。GuardDuty コンソールの Malware Protection コンソールページに、アカウントの Malware Protection を無効にするオプションが表示されます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、Malware Protection を無効にすることもできます。

Malware Protection が無効になっている場合、コンソールで、または API を使用して、この機能を有効にすることができます。GuardDuty コンソールでアカウントの Malware Protection を有効にするには、Malware Protection コンソールページを開きます。

いいえ、請求期間中にマルウェアのスキャンが行われなかった場合、Malware Protection に料金はかかりません。AWS 請求コンソールでこの機能のコストを確認できます。

はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。GuardDuty は、AWS Organizations の統合を通じてマルチアカウント管理を備えています。この統合は、セキュリティおよびコンプライアンスチームが、組織内のすべてのアカウントにわたって Malware Protection を含む GuardDuty を完全にカバーするのに役立ちます。

いいえ。この機能を有効にすると、GuardDuty Malware Protection は、関連する Amazon EC2 の検出結果に対応してマルウェアスキャンを開始します。エージェントをデプロイする必要はなく、ログソースを有効にする必要もなく、その他の設定変更も必要ありません。

GuardDuty Malware Protection は、ワークロードのパフォーマンスに影響を与えないように設計されています。例えば、マルウェア分析用に作成された Amazon EBS ボリュームスナップショットは 24 時間に 1 回しか生成できませんし、GuardDuty Malware Protection はスキャン完了後数分間、暗号化されたレプリカとスナップショットを保持します。さらに、GuardDuty Malware Protection は、顧客のコンピューティングリソースではなく、GuardDuty のコンピューティングリソースをマルウェアスキャンに使用します。

はい、GuardDuty はリージョン別のサービスであり、Malware Protection は各 AWS リージョンで個別に有効にする必要があります。

GuardDuty Malware Protection は、アカウント内の感染の可能性がある Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされている Amazon EBS ボリュームのスナップショットに基づくレプリカをスキャンします。お客様の Amazon EBS ボリュームがカスタマーマネージドキーで暗号化されている場合、AWS Key Management Service (KMS) キーを GuardDuty と共有するオプションがあり、サービスは同じキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。暗号化されていない Amazon EBS ボリュームの場合、GuardDuty は独自のキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。

はい、すべてのレプリカ Amazon EBS ボリュームのデータ (およびレプリカボリュームが基づいているスナップショット) は、元の Amazon EBS ボリュームと同じリージョンに残ります。

各リージョンの新しい GuardDuty の各アカウントには、GuardDuty (Malware Protection 機能を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを行うことができます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

この機能の料金は、1 ボリュームでスキャンされたデータの GB に基づいています。コンソールからスキャンオプションを使用してカスタマイズを適用し、タグを使用して一部の Amazon EC2 インスタンスをスキャン対象または対象外にすることで、コストを抑制できます。また、GuardDuty は Amazon EC2 インスタンスを 24 時間に 1 回のみスキャンします。GuardDuty が 24 時間以内に Amazon EC2 インスタンスに対して複数の Amazon EC2 検出結果を生成した場合、スキャンは最初の関連する Amazon EC2 の検出結果に対してのみ実行されます。あるインスタンスについて、最後のマルウェアスキャンから 24 時間経過しても Amazon EC2 検出結果が続いている場合、そのインスタンスに対して新しいマルウェアスキャンが開始されます。

はい、Malware Protection のスキャンでマルウェアが検出されたときに、スナップショットの保持を有効にできる設定があります。この設定は、GuardDuty コンソールの設定ページで有効にすることができます。デフォルトでは、スナップショットはスキャンが完了してから数分後に削除され、スキャンが完了しなかった場合は 24 時間後に削除されます。

GuardDuty Malware Protection は、生成およびスキャンした各レプリカ Amazon EBS ボリュームを最大で 24 時間保持します。デフォルトでは、レプリカ Amazon EBS ボリュームは、GuardDuty Malware Protection がスキャンを完了してから数分後に削除されます。ただし、サービスの停止や接続の問題によりマルウェアのスキャンが妨げられた場合、GuardDuty Malware Protection はレプリカ Amazon EBS ボリュームを 24 時間以上保持する必要がある場合があります。この場合、GuardDuty Malware Protection はレプリカ Amazon EBS ボリュームを最大 7 日間保持し、停止または接続の問題のトリアージと対処のためのサービス時間を確保します。GuardDuty Malware Protection は、停止または障害に対処した後、または延長された保持期間が過ぎると、レプリカ Amazon EBS ボリュームを削除します。

いいえ、GuardDuty は、感染の可能性がある Amazon EC2 インスタンスまたはコンテナのワークロードにアタッチされた Amazon EBS ボリュームのスナップショットに基づくレプリカを、24 時間に 1 回スキャンするだけです。GuardDuty がマルウェアスキャンを開始するのに適した複数の検出結果を生成した場合でも、前回のスキャンから 24 時間未満であれば追加のスキャンは開始されません。前回のマルウェアスキャンから 24 時間後に GuardDuty が適格な検出結果を生成した場合、GuardDuty Malware Protection は、そのワークロードに対して新しいマルウェアスキャンを開始します。

いいえ、GuardDuty サービスを無効にすると、Malware Protection 機能も無効になります。

GuardDuty RDS Protection

GuardDuty RDS Protection は、GuardDuty コンソールでワンアクションで有効化することができ、エージェントを手動でデプロイしたり、データソースを有効にしたり、アクセス権を設定したりする必要はありません。カスタマイズされた ML モデルを使用して、GuardDuty RDS Protection は、既存および新規の Amazon Aurora データベースへのログイン試行の分析とプロファイリングから開始します。不審な動きや 既知の悪意ある行為者による試行が検出されると、GuardDuty は GuardDuty と Amazon Relational Database Service (RDS) コンソール、Security Hub、Amazon EventBridge に実行可能なセキュリティ検出結果を発行し、既存のセキュリティイベント管理またはワークフローシステムと統合することができます。 GuardDuty RDS Protection が RDS ログインアクティビティのモニタリングを使用する方法の詳細をご覧ください。

現在の GuardDuty アカウントの場合、この機能は RDS 保護ページの GuardDuty コンソールから、または API を介してアクティブ化できます。 GuardDuty RDS Protection の詳細をご覧ください。

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで RDS Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、RDS の自動有効化オプションがオンになっていない限り、RDS Protection がオンになりません。

いいえ、GuardDuty RDS Protection を使用するには、Amazon GuardDuty サービスを有効にする必要があります。

RDS Protection が利用できるリージョンの詳細な一覧については、「リージョン固有機能の可用性」を参照してください。

いいえ、Aurora データベースの GuardDuty 脅威検出は、Amazon Aurora データベースにパフォーマンス、可用性、コストの面で影響を与えないように設計されています。

GuardDuty Lambda Protection

GuardDuty Lambda Protection では、VPC フローログから始まるサーバーレスワークロードからのネットワークアクティビティを継続的にモニタリングし、不正な暗号通貨マイニングのために悪意を持って転用された関数や、既知の脅威アクターサーバーと通信している侵害された Lambda 関数など、Lambda に対する脅威を検出します。GuardDuty Lambda Protection は、GuardDuty コンソールでいくつかのステップを実行するだけで有効にできます。また、AWS Organizations を使用すると、組織内のすべての既存アカウントと新規アカウントに対して一元的に有効にできます。有効にすると、アカウント内の既存のすべての Lambda 関数と新規の Lambda 関数のネットワークアクティビティデータのモニタリングが自動的に開始されます。

現在の GuardDuty アカウントの場合、この機能は Lambda 保護ページの GuardDuty コンソールから、または API を介してアクティブ化できます。 GuardDuty Lambda Protection の詳細については、こちらをご覧ください

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで Lambda Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、Lambda の自動有効化オプションがオンになっていない限り、Lambda Protection がオンになりません。

Lambda Protection が利用できるリージョンの一覧については、「リージョン固有機能の可用性」を参照してください。

いいえ。GuardDuty Lambda Protection は、Lambda ワークロードのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。