Amazon GuardDuty の特徴
概要
Amazon GuardDuty は、AWS 環境全体で悪意のあるアクティビティや不正な動作を継続的に監視する脅威検出サービスです。GuardDuty は、AWS と業界最先端の脅威インテリジェンスの両方を活用して、AI、機械学習 (ML)、異常検知、悪意のあるファイルの検出を使用することで、AWS アカウント、ワークロード、データの保護を支援します。 Amazon GuardDuty は、強化された AWS セキュリティハブ(プレビュー)内のセキュリティ機能として、またスタンドアロンの脅威検出サービスとしても利用できます。GuardDuty は、重要なセキュリティ問題の優先順位付けと大規模対応に役立つ重要な脅威検出シグナルを提供します。強化された Security Hub を使用すると、GuardDuty の検出結果に重要なコンテキストが自動的に追加されるため、環境全体で分析した場合にのみ明らかになる可能性のある重大なリスクを明らかにすることができます。GuardDuty は、AWS CloudTrail ログ、Amazon 仮想プライベートクラウド (Amazon VPC) フローログ、DNS クエリログなど、複数の AWS データソースにわたる数百億件のイベントを分析できます。GuardDuty はまた、Amazon Simple Storage Service (Amazon S3) のデータイベント、Amazon Aurora のログインイベント、Amazon Elastic Kubernetes Service (Amazon EKS)、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Elastic Container Service (Amazon ECS) の実行時のアクティビティ (AWS Fargate 上のサーバーレスコンテナワークロードを含む) をモニタリングします。
ページトピック
主な特徴
すべて開くAmazon GuardDuty は、CloudTrail、VPC フローログ、および DNS ログにある AWS アカウントおよびワークロードのイベントデータを、継続的に監視および分析します。GuardDuty の基本的な保護のために、追加のセキュリティソフトウェアやインフラストラクチャを導入して維持する必要はありません。AWS アカウントをまとめて関連付けることで、アカウント単位で操作することなく脅威の検出を集約することができます。さらに、複数のアカウントから大量の AWS データを収集、分析、関連付ける必要もありません。AWS で、迅速な対応、組織のセキュリティの確保、継続的な拡張と革新に専念することができます。
GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。AWS Security は、これらの検出アルゴリズムを継続的に維持、改善しています。主な検出カテゴリは次のとおりです。
- 偵察: 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、不審なデータベースへのログイン試行、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
- インスタンスの侵害: 暗号通貨マイニング、バックドアコマンドとコントロール (C&C) アクティビティ、Amazon EC2 の実行時のアクティビティ、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィックボリューム、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスによって使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの抽出など、インスタンスの侵害を示唆するアクティビティ。
- アカウントの侵害: アカウントの侵害を示す一般的なパターン。これには、異常な地理的位置または匿名プロキシからの API 呼び出し、AWS CloudTrail のログ記録を無効にする試み、アカウントのパスワードポリシーを弱める変更、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンでのインフラストラクチャのデプロイ、認証情報の盗用、疑わしいデータベースログインアクティビティ、悪意のある既知の IP アドレスからの API 呼び出しが含まれます。
- バケットの侵害: 認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な Amazon S3 API アクティビティ、悪意のある既知の IP アドレスからの不正な S3 アクセス、過去にバケットにアクセスしたことのないユーザーから実行されたか、または異常な場所から呼び出された、S3 バケットのデータを取得するための API 呼び出しなど、バケットの侵害を示すアクティビティ。Amazon GuardDuty は、AWS CloudTrail S3 データイベント (GetObject、ListObjects、DeleteObject など) を継続的に監視および分析して、Amazon S3 バケット全体の不審な活動を検出します。
- マルウェア:GuardDuty は、 Amazon EC2 インスタンスまたはコンテナワークロードを侵害するために使用される可能性がある、または Amazon S3 バケットにアップロードされる可能性のあるマルウェア (トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなど) の存在を検出できます。
- コンテナ侵害:Amazon EKS または Amazon ECS の EKS 監査ログとコンテナランタイムアクティビティを分析して Amazon EKS クラスターを継続的に監視およびプロファイリングすることで、コンテナワークロードで発生する可能性のある悪意のある、または疑わしい動作を特定するアクティビティを検出します。
GuardDuty 検出結果タイプの全リストはこちらです。
GuardDuty は、4 つの重大度 (低、中、高、重大) を用意して、顧客が潜在的な脅威への対応に優先順位を付けやすくしています。「低」の重大度は、疑わしいアクティビティや悪意のあるアクティビティのうち、リソースが侵害される前にブロックされたものを示します。「中」の重大度は、さらなる調査が必要な疑わしいアクティビティを示します。たとえば、Tor ネットワークの背後に隠れているリモートホストに返される大量のトラフィックや、通常観察される動作から逸脱したアクティビティなどです。「高」の重大度は、問題になっているリソース (EC2 インスタンスや IAM ユーザー認証情報など) が侵害され、不正な目的で活発に使用されていることを示します。「重大」の重大度は、早急な対応が必要な、信頼度の高い脅威を示します。このような検出結果については通知を設定して、迅速に対応し、事業への影響を最小限に抑えることをお勧めします。
GuardDuty は、HTTPS API とコマンドラインインターフェイス (CLI) ツールを提供するほか、Amazon EventBridge との統合により、セキュリティ検出結果に対する自動セキュリティ対応をサポートします。例えば、EventBridge をイベントソースとして使用して Lambda 関数を呼び出すことで、レスポンスワークフローを自動化することができます。
Amazon GuardDuty は、AWS のアカウントおよびワークロード内の全体的なアクティビティレベルに基づいて、リソース使用率を自動的に管理するように設計されています。GuardDuty は、必要な場合にのみ検出容量を追加し、容量が不要になったときは使用率を減らします。コストを最小限に抑えながら、必要なセキュリティ処理能力を維持する、費用対効果の高いアーキテクチャが実現しました。使用する検出容量には、使用したときにのみ料金が発生します。GuardDuty は、お客様の規模に関係なく大規模なセキュリティを提供します。
GuardDuty には、脅威の検出を基本的なログソース以外にも拡張する追加の保護プランが用意されています。これらのプランには、 Amazon S3 、 Amazon EKS、 Amazon EC2 ワークロードのランタイムモニタリング、 Amazon EBS ボリュームと Amazon S3 オブジェクトのマルウェアスキャン、 Amazon RDS ログイン分析、および AWS Lambda 関数モニタリングが含まれます。これらのプランを有効にすることで、脅威検出機能を特定の AWS 環境に合わせて調整し、ストレージ、コンピューティング、データベース、サーバーレスリソース全体の可視性と保護を強化できます。
S3 Protection は S3 バケットのアクティビティを監視し、CloudTrail イベントを分析して Amazon S3 に保存されているデータに対する潜在的な脅威を検出します。EKS Protection は、EKS 監査ログを分析することにより、Amazon EKS クラスターの脅威検出範囲を提供します。ランタイムモニタリングは、Amazon EKS、Amazon ECS、Amazon EC2 ワークロードのランタイムイベントを分析して、疑わしいアクティビティや悪意のあるアクティビティをオペレーティングシステムレベルで検出します。Malware Protection は EBS ボリュームと S3 オブジェクトをスキャンして、EC2 インスタンス、コンテナワークロード、S3 バケット内のマルウェアの脅威を特定して軽減します。RDS Protection は、サポートされている Amazon Aurora データベースと Amazon RDS データベースのログインアクティビティを分析してプロファイリングし、潜在的なアクセス脅威を検出します。Lambda Protection は、AWS Lambda 関数の実行から生成されたネットワークアクティビティログを監視して、サーバーレス環境に固有の脅威を特定します。
GuardDuty は、特定のワークロードプロファイルに基づいた保護プランの推奨事項を提供します。
| ワークロードプロファイル | 期待されるセキュリティ成果 | おすすめのガードデューティープラン |
| アマゾン EC2 とアマゾン S3 | コンピュートインスタンス、データストレージ、IAM の悪用に対する脅威を検知 | 基礎、GuardDuty S3 プロテクション、EC2 用 GuardDuty マルウェア対策、GuardDuty EC2 ランタイムモニタリング |
| コンテナヘビー (アマゾン EKS、アマゾン ECS) | コンテナのコントロールプレーンとランタイムを監視して、脅威やマルウェアがないかを監視します | 基礎、GuardDuty EKS プロテクション、EKS 用 GuardDuty ランタイムモニタリング、ECS 用 GuardDuty ランタイムモニタリング、ECS 用 GuardDuty マルウェア対策 |
| サーバーレスファースト
(AWS ラムダ) |
異常な機能動作と疑わしいトラフィックパターンを特定 | 基礎、GuardDuty Lambda プロテクション、GuardDuty S3 プロテクション (Amazon S3 トリガーを使用している場合)、Fargate での ECS 用 GuardDuty ランタイムモニタリング |
| データプラットフォーム (アマゾンオーロラ、アマゾンRDS、アマゾンS3) | 異常なデータベースログインと S3 バケットの誤用の可能性を検知 | 基礎、Amazon RDS プロテクション、GuardDuty S3 プロテクション、S3 用 GuardDuty マルウェアプロテクション |
| 規制対象/ゼロトラスト | コンプライアンス要件を満たす包括的な脅威検出を実現 | すべての Amazon GuardDuty 保護プラン |
これらの保護プランは GuardDuty の基本機能とシームレスに連携し、特定の AWS 環境に合わせた包括的な脅威検出範囲を提供します。保護プランは、変化するセキュリティニーズに合わせていつでも有効または無効にできます。各保護プランとその機能の詳細については、 GuardDuty のドキュメントを参照してください。