概要

Amazon GuardDuty は、AWS のアカウント、ワークロード、および Amazon Simple Storage Service (Amazon S3) に保存されたデータを保護するために、悪意のあるアクティビティや異常な動作を継続的にモニタリングする脅威検出サービスです。GuardDuty は、機械学習 (ML)、異常検知、統合された脅威インテリジェンスなどの複数の技術を使用して侵害の指標を特定し、潜在的な脅威を特定して優先順位を付けます。GuardDuty は、AWS CloudTrail イベントログ、Amazon Virtual Private Cloud (VPC) フローログ、DNS クエリログなど、複数の AWS データソース全体で何百億件ものイベントを分析することができます。 

Amazon GuardDuty は、アカウント内の異常なアクティビティを特定し、そのアクティビティのセキュリティ関連性を分析し、起動されたコンテキストを提供します。これにより、応答側は、さらなる調査に時間をかけるべきかどうかを判断することができます。GuardDuty の検出結果には重要度が設定され、AWS Security Hub、 Amazon EventBridgeAWS LambdaAWS Step Functions と統合することでアクションを自動化することができます。また、Amazon Detective は GuardDuty と緊密に統合されているため、深いフォレンジックと根本原因の調査がこれまで以上に容易になります。

正確なアカウントレベルの脅威検出

Amazon GuardDuty はアカウントの侵害の脅威を正確に検出します。これは、脅威の要因をほぼリアルタイムで継続的に監視していなければ、すばやい検出が難しい脅威です。GuardDuty では、通常とは異なる時間帯や地理的位置からの AWS リソースへのアクセスなど、アカウントの侵害の兆候を検出できます。プログラムによる AWS アカウントの場合、GuardDuty は、CloudTrail のログ記録を無効にしたり、悪意のある IP アドレスからデータベースのスナップショットを取ったりしてアカウントのアクティビティを隠すといった、異常なアプリケーションプログラムインターフェイス (API) コールをチェックします。

費用や複雑さを増すことなく AWS アカウント全体で継続的に監視

Amazon GuardDuty は、AWS CloudTrail、VPC フローログ、および DNS ログにある AWS アカウントおよびワークロードのイベントデータを、継続的に監視および分析します。追加のセキュリティソフトウェアやインフラストラクチャをデプロイして管理する必要はありません。AWS アカウントをまとめて関連付けることで、アカウント単位で操作することなく脅威の検出を集約することができます。さらに、複数のアカウントから大量の AWS データを収集、分析、関連付ける必要もありません。AWS で、迅速な対応、組織のセキュリティの確保、継続的な拡張と革新に専念することができます。

クラウド向けに開発および最適化した脅威検出

Amazon GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。AWS Security は、これらの検出アルゴリズムを継続的に維持、改善しています。検出の主なカテゴリは次のとおりです。

偵察: 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。

インスタンスの侵害: インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、バックドアコマンドとコントロール (C&C) アクティビティ、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィックボリューム、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの逆浸出などです。

アカウントの侵害: アカウントの侵害を示す一般的なパターンには、異常な地理的位置または匿名にするプロキシからの API コール、AWS CloudTrail のログ記録を無効にする試み、アカウントのパスワードポリシーを弱める変更、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、悪意のある既知の IP アドレスからの API コールが含まれます。

バケットの侵害: 認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な Amazon S3 API 活動、悪意のある既知の IP アドレスからの不正な S3 アクセス、ユーザーから S3 バケットのデータを取得する API コールなど、バケットの侵害を示す活動です。バケットにアクセスしたり、異常な場所から呼び出されたりといった履歴はありません。Amazon GuardDuty は、AWS CloudTrail S3 データイベント (GetObject、ListObjects、DeleteObject など) を継続的に監視および分析して、Amazon S3 バケット全体の不審な活動を検出します。

GuardDuty 検索タイプの全リストをクリックしてください。

GuardDuty は、機械学習と異常検出を使用するこうした高度な検出機能を提供することで、API コールの異常なパターンや悪意のある AWS Identity and Access Management (IAM) ユーザーの動作など、以前は検出が困難だった脅威を識別します。また、GuardDuty には脅威インテリジェンスが統合されていて、これには、AWS セキュリティと、Proofpoint や CrowdStrike などの業界をリードするサードパーティーのセキュリティパートナーからの、悪意のあるドメインや IP アドレスのリストが含まれます。

GuardDuty は、社内ソリューションの構築、複雑なカスタムルールの管理、または既知の悪意のある IP アドレスに対する独自の脅威インテリジェンスの開発の代替手段を提供します。GuardDuty は、AWS のアカウントとワークロードの監視と保護を行う際の手探り作業を排除し複雑さを解消します。

効率的な優先順位付けのための脅威の重大度

Amazon GuardDuty は、3 つの重大度 (低、中、高) を用意して、お客様が潜在的な脅威への対応に優先順位を付けやすくしています。「低」の重大度は、疑わしいアクティビティや悪意のあるアクティビティのうち、リソースが侵害される前にブロックされたものを示します。「中」の重大度は、疑わしいアクティビティを示します。たとえば、Tor ネットワークの背後に隠れているリモートホストに返される大量のトラフィックや、通常観察される動作から逸脱したアクティビティなどです。「高」の重大度は、問題になっているリソース (Amazon EC2 インスタンスや IAM ユーザー資格情報など) が侵害され、不正な目的で活発に使用されていることを示します。

脅威の対応と修復のオートメーション

Amazon GuardDuty には、セキュリティの検出結果に対する自動化されたセキュリティ応答をサポートするための、HTTPS API、コマンドラインインターフェイス (CLI) ツール、および Amazon CloudWatch Events が備わっています。たとえば、CloudWatch Events をイベントのソースとして使用して AWS Lambda 関数をトリガーすることで、応答ワークフローを自動化できます。

可用性の高い脅威検出

Amazon GuardDuty は、AWS のアカウントおよびワークロード、および Amazon S3 に保存されたデータ内の全体的なアクティビティレベルに基づいて、リソース使用率を自動的に管理するように設計されています。GuardDuty は、必要な場合にのみ検出容量を追加し、容量が不要になったときは使用率を減らします。コストを最小限に抑えながら、必要なセキュリティ処理能力を維持する、費用対効果の高いアーキテクチャが実現しました。使用する検出容量には、使用したときにのみ料金が発生します。GuardDuty は、お客様の規模に関係なく大規模なセキュリティを提供します。

デプロイや管理のための追加のソフトウェアやインフラストラクチャが不要なワンクリックのデプロイ

AWS マネジメントコンソールでワンクリックするか、単一の API コールで、1 つのアカウントで Amazon GuardDuty を有効にできます。コンソールで数回クリックするだけで、複数のアカウントで GuardDuty を有効にできます。Amazon GuardDuty では、AWS Organizations 統合を通じて、また GuardDuty 内部のネイティブで複数のアカウントがサポートされます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。

Standard Product Icons (Features) Squid Ink
料金の詳細を確認する

料金の例と無料トライアルの詳細を確認する

詳細 
Sign up for a free account
無料トライアルにサインアップする

Amazon GuardDuty の無料トライアルにアクセスする。 

無料トライアルを開始 
Standard Product Icons (Start Building) Squid Ink
コンソールで構築を開始する

Amazon GuardDuty は AWS コンソールから使用を開始できます。

サインイン