概要

Amazon GuardDuty は、お客様の AWS アカウント、Amazon Elastic Compute Cloud (EC2) ワークロード、コンテナアプリケーション、Amazon Aurora databases、Amazon Simple Storage Service (S3) に保存されたデータを保護するために、悪意のあるアクティビティや不正な行動を継続的にモニタリングする脅威検出サービスです。GuardDuty は、AWS と業界をリードするサードパーティーの両方のソースを使用して、機械学習、異常検知、ネットワークモニタリング、悪意のあるファイルの検出を組み合わせて、AWS 上のワークロードとデータの保護を支援します。GuardDuty は、AWS CloudTrail イベントログ、Amazon Virtual Private Cloud (VPC) Flow Logs、Amazon Elastic Kubernetes Service (EKS) 監査ログおよびシステムレベルログ、DNS クエリログなど、複数の AWS データソース全体で何百億件ものイベントを分析することができます。

Amazon GuardDuty は、アカウント内の異常なアクティビティを特定し、そのアクティビティのセキュリティ関連性を分析し、呼び出されたコンテキストを提供します。これにより、応答側は、さらなる調査に時間をかけるべきかどうかを判断することができます。GuardDuty の検出結果には重要度が設定され、AWS Security Hub、 Amazon EventBridgeAWS LambdaAWS Step Functions と統合することでアクションを自動化することができます。また、Amazon Detective は GuardDuty と緊密に統合されているため、より深いフォレンジックと根本原因の調査を行うことができます。

正確なアカウントレベルの脅威検出

Amazon GuardDuty はアカウントの侵害の脅威を正確に検出します。これは、脅威の要因をほぼリアルタイムで継続的に監視していなければ、すばやい検出が難しい脅威です。GuardDuty では、通常とは異なる時間帯や地理的位置からの AWS リソースへのアクセスなど、アカウントの侵害の兆候を検出できます。プログラムによる AWS アカウントの場合、GuardDuty は、CloudTrail のログ記録を無効にしたり、悪意のある IP アドレスからデータベースのスナップショットを取ったりしてアカウントのアクティビティを隠すといった、異常なアプリケーションプログラムインターフェイス (API) コールをチェックします。

費用や複雑さを増すことなく AWS アカウント全体で継続的に監視

Amazon GuardDuty は、AWS CloudTrail、VPC フローログ、および DNS ログにある AWS アカウントおよびワークロードのイベントデータを、継続的に監視および分析します。追加のセキュリティソフトウェアやインフラストラクチャをデプロイして管理する必要はありません。AWS アカウントをまとめて関連付けることで、アカウント単位で操作することなく脅威の検出を集約することができます。さらに、複数のアカウントから大量の AWS データを収集、分析、関連付ける必要もありません。AWS で、迅速な対応、組織のセキュリティの確保、継続的な拡張と革新に専念することができます。

クラウド向けに開発および最適化した脅威検出

Amazon GuardDuty は、クラウド向けに開発・最適化された組み込みの検出技術へのアクセスを支援します。AWS Security は、これらの検出アルゴリズムを継続的に維持、改善しています。検出の主なカテゴリは次のとおりです。

  • 偵察: 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、不審なデータベースへのログイン試行、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
  • インスタンスの侵害: インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、バックドアコマンドとコントロール (C&C) アクティビティ、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィックボリューム、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの抽出などです。
  • アカウントの侵害: アカウントの侵害を示す一般的なパターン。これには、異常な地理的位置または匿名プロキシからの API 呼び出し、AWS CloudTrail のログ記録を無効にする試み、アカウントのパスワードポリシーを弱める変更、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンでのインフラストラクチャのデプロイ、認証情報の盗用、疑わしいデータベースログインアクティビティ、悪意のある既知の IP アドレスからの API 呼び出しが含まれます。
  • バケットの侵害: 認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な Amazon S3 API アクティビティ、悪意のある既知の IP アドレスからの不正な S3 アクセス、過去にバケットにアクセスしたことのないユーザーから実行されたか、または異常な場所から呼び出された、S3 バケットのデータを取得するための API 呼び出しなど、バケットの侵害を示すアクティビティ。Amazon GuardDuty は、AWS CloudTrail S3 データイベント (GetObject、ListObjects、DeleteObject など) を継続的に監視および分析して、Amazon S3 バケット全体の不審な活動を検出します。

GuardDuty 検索タイプの全リストこちらです.

GuardDuty は、機械学習と異常検出を使用するこうした高度な検出機能を提供することで、API コールの異常なパターンや悪意のある AWS Identity and Access Management (IAM) ユーザーの動作など、以前は検出が困難だった脅威を識別します。また、GuardDuty には脅威インテリジェンスが統合されていて、これには、AWS セキュリティと、Proofpoint や CrowdStrike などの業界をリードするサードパーティーのセキュリティパートナーからの、悪意のあるドメインや IP アドレスのリストが含まれます。

GuardDuty は、社内ソリューションの構築、複雑なカスタムルールの管理、または既知の悪意のある IP アドレスに対する独自の脅威インテリジェンスの開発の代替手段を提供します。GuardDuty は、AWS のアカウントとワークロードの監視と保護を行う際の手探り作業を排除し複雑さを解消します。

効率的な優先順位付けのための脅威の重大度

Amazon GuardDuty は、3 つの重大度 (低、中、高) を用意して、お客様が潜在的な脅威への対応に優先順位を付けやすくしています。「低」の重大度は、疑わしいアクティビティや悪意のあるアクティビティのうち、リソースが侵害される前にブロックされたものを示します。「中」の重大度は、疑わしいアクティビティを示します。たとえば、Tor ネットワークの背後に隠れているリモートホストに返される大量のトラフィックや、通常観察される動作から逸脱したアクティビティなどです。「高」の重大度は、問題になっているリソース (Amazon EC2 インスタンスや IAM ユーザー資格情報など) が侵害され、不正な目的で活発に使用されていることを示します。

脅威の対応と修復のオートメーション

Amazon GuardDuty には、セキュリティの検出結果に対する自動化されたセキュリティ応答をサポートするための、HTTPS API、コマンドラインインターフェイス (CLI) ツール、および Amazon CloudWatch Events が備わっています。たとえば、CloudWatch Events をイベントのソースとして使用して AWS Lambda 関数を呼びだすことで、応答ワークフローを自動化できます。

可用性の高い脅威検出

Amazon GuardDuty は、AWS のアカウントおよびワークロード、および Amazon S3 に保存されたデータ内の全体的なアクティビティレベルに基づいて、リソース使用率を自動的に管理するように設計されています。GuardDuty は、必要な場合にのみ検出容量を追加し、容量が不要になったときは使用率を減らします。コストを最小限に抑えながら、必要なセキュリティ処理能力を維持する、費用対効果の高いアーキテクチャが実現しました。使用する検出容量には、使用したときにのみ料金が発生します。GuardDuty は、お客様の規模に関係なく大規模なセキュリティを提供します。

デプロイや管理のための追加のソフトウェアやインフラストラクチャが不要なワンステップのデプロイ

AWS マネジメントコンソールで 1 アクション、または 1 回の API コールで、1 つのアカウントで Amazon GuardDuty を有効にできます。コンソールでの数ステップだけで、複数のアカウントで GuardDuty を有効にできます。Amazon GuardDuty では、AWS Organizations 統合を通じて、また GuardDuty 内部のネイティブで複数のアカウントがサポートされます。有効にすると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。

料金の詳細を確認する

料金の例と無料トライアルの詳細を確認する

詳細 
無料トライアルにサインアップする

Amazon GuardDuty の無料トライアルにアクセスする。 

無料トライアルを開始 
コンソールで構築を開始する

Amazon GuardDuty は AWS コンソールから使用を開始できます。

サインイン