概要

Amazon GuardDuty はインテリジェントな脅威検出サービスで、お使いの AWS アカウントとワークロードを、正確かつ容易な方法で継続的にモニターし、保護できるようにします。GuardDuty は、AWS CloudTrail (アカウント内の AWS ユーザーと API アクティビティ)、Amazon VPC フローログ (ネットワークトラフィックデータ)、DNS ログ (名前のクエリパターン) から、お客様の AWS アカウント全体で数十億件のイベントを分析します。

Amazon GuardDuty の脅威検出は、アカウントの侵害、インスタンスの侵害、悪意のある偵察に関連する可能性のあるアクティビティを特定します。たとえば、GuardDuty は、異常な API コール、既知の悪質な IP アドレスへの不審なアウトバウンド通信、または DNS クエリを転送メカニズムとして使用する可能性のあるデータの窃盗を検出します。GuardDuty は、悪意のある IP やドメインのリストなどの脅威インテリジェンスによって強化された機械学習を使用して、より正確な検出結果を提供します。

Amazon GuardDuty は、AWS マネジメントコンソールで数回クリックするだけで有効にすることができ、お客様には AWS クラウドで脅威を検出するためのよりインテリジェントで費用対効果の高いオプションを提供できます。

正確なアカウントレベルの脅威検出

Amazon GuardDuty はアカウントの侵害の脅威を正確に検出します。これは、脅威の要因をほぼリアルタイムで継続的に監視していなければ、すばやい検出が特に難しい脅威です。GuardDuty では、通常とは異なる時間帯や地理的位置からの AWS リソースへのアクセスなど、アカウントの侵害の兆候を検出できます。プログラムによる AWS アカウントの場合、GuardDuty は、CloudTrail のログ記録を無効にしたり、悪意のある IP アドレスからデータベースのスナップショットを取ったりしてアカウントのアクティビティを隠すといった、異常な API コールをチェックします。

費用や複雑さを増すことなく AWS アカウント全体で継続的に監視

Amazon GuardDuty は、AWS CloudTrail、VPC フローログ、および DNS ログにある AWS アカウントおよびワークロードのイベントデータを、継続的に監視および分析します。追加のセキュリティソフトウェアやインフラストラクチャをデプロイして管理する必要はありません。AWS アカウントをまとめて関連付けることで、アカウント単位で操作しなくても脅威の検出を集約することができます。さらに、複数のアカウントから大量の AWS データを収集、分析、関連付ける必要もありません。そのため、AWS クラウドで、迅速な対応、組織のセキュリティの確保、継続的な拡張と革新に専念することができます。

クラウド向けに開発および最適化した脅威検出

Amazon GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。検出アルゴリズムを、AWS セキュリティが維持し、継続的に改善します。検出の主なカテゴリは次のとおりです。

偵察 -- 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。

インスタンスの侵害 -- インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、バックドアコマンドとコントロール (C&C) アクティビティ、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィック、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの逆浸出などです。

アカウントの侵害 -- アカウントの侵害を示す一般的なパターンには、異常な地理的位置または匿名にするプロキシからの API コール、AWS CloudTrail のログ記録を無効にする試み、アカウントのパスワードポリシーを弱める変更、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、悪意のある既知の IP アドレスからの API 呼び出しが含まれます。

GuardDuty 検索タイプの全リストをクリックしてください。

GuardDuty は、機械学習と異常検出を使用するこうした高度な検出機能を提供することで、API コールの異常なパターンや悪意のある IAM ユーザーの動作など、以前は検出が困難だった脅威を識別します。また、GuardDuty には脅威インテリジェンスが統合されていて、これには、AWS セキュリティと、Proofpoint や CrowdStrike などの業界をリードするサードパーティーのセキュリティパートナーからの、悪意のあるドメインや IP アドレスのリストが含まれます。

GuardDuty は、社内ソリューションの構築、複雑なカスタムルールの管理、または既知の悪意のある IP アドレスに対する独自の脅威インテリジェンスの開発の代替手段を提供します。GuardDuty は、AWS のアカウントとワークロードの監視と保護を行う際の手探り作業を排除し複雑さを解消します。

効率的な優先順位付けのための脅威の重大度

Amazon GuardDuty は、3 つの重大度 (低、中、高) を用意して、お客様が潜在的な脅威への対応に優先順位を付けやすくしています。「低」の重大度は、疑わしいアクティビティや悪意のあるアクティビティのうち、リソースが侵害される前にブロックされたものを示します。「中」の重大度は、疑わしいアクティビティを示します。たとえば、Tor ネットワークの背後に隠れているリモートホストに返されている大量のトラフィックや、通常観察される動作から逸脱したアクティビティなどです。「高」の重大度は、問題になっているリソース (EC2 インスタンスや IAM ユーザー資格情報など) が侵害され、不正な目的で活発に使用されていることを示します。

脅威の対応と修復の自動化

Amazon GuardDuty には、セキュリティの検出結果に対する自動化されたセキュリティ応答をサポートするための、HTTPS API、CLI ツール、および AWS CloudWatch Events が備わっています。たとえば、CloudWatch Events をイベントのソースとして使用して AWS Lambda 関数をトリガーすることで、応答ワークフローを自動化できます。

可用性の高い脅威検出

Amazon GuardDuty は、AWS のアカウントおよびワークロード内の全体的なアクティビティレベルに基づいて、リソース使用率を自動的に管理するように設計されています。GuardDuty は、必要な場合にのみ検出容量を追加し、容量が不要になったときは使用率を減らします。コストを最小限に抑えながら、必要なセキュリティ処理能力を確保できる、費用対効果の高いアーキテクチャが実現しました。使用する検出容量には、使用したときにのみ料金が発生します。GuardDuty は、お客様の規模に関係なく大規模なセキュリティを提供します。

デプロイや管理のための追加のソフトウェアやインフラストラクチャが不要なワンクリックのデプロイ

AWS マネジメントコンソールでワンクリックするか、単一の API コールで、1 つのアカウントで Amazon GuardDuty を有効にできます。コンソールで数回クリックするだけで、複数のアカウントで GuardDuty を有効にできます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。

Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細を確認する

料金の例と無料トライアルの詳細を確認する

詳細はこちら 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料トライアルにサインアップする

Amazon GuardDuty の無料トライアルにアクセスする。 

無料トライアルを開始 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

Amazon GuardDuty は AWS コンソールから使用を開始できます。

サインイン