Amazon GuardDuty - Amazon Guard Duty ユーザーガイド

Transcription

1 Amazon GuardDuty Amazon Guard Duty ユーザーガイド

2 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty: Amazon Guard Duty ユーザーガイド Copyright 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.

3 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Table of Contents Amazon GuardDuty とは... 1 GuardDuty の料金表... 1 GuardDuty へのアクセス... 1 Amazon GuardDuty でデータソースを使用する方法... 2 AWS CloudTrail イベントログ... 2 VPC フローログ... 3 DNS ログ... 3 Amazon GuardDuty の用語と概念... 4 Amazon GuardDuty サービスの制限... 6 Amazon GuardDuty でサポートされているリージョン... 8 Amazon GuardDuty をセットアップする Amazon GuardDuty の有効化 Amazon GuardDuty 無料トライアル サービスにリンクされたロールの使用 GuardDuty のサービスにリンクされたロールのアクセス許可 のサービスにリンクされたロールの作成 GuardDuty GuardDuty のサービスにリンクされたロールの編集 GuardDuty のサービスにリンクされたロールの削除 Amazon GuardDuty へのアクセスの管理 GuardDuty の有効化に必要なアクセス許可 サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する GuardDuty での AWS 管理 ( 事前定義 ) ポリシー カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与 カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否 カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 Amazon GuardDuty の結果 GuardDuty 結果の検索と分析 GuardDuty 結果のアーカイブ エクスポート およびフィードバックの提供 結果のフィルタリングと自動アーカイブ GuardDuty 結果の重要度 GuardDuty 結果サンプルの生成 PoC ( 概念実証 ) - 複数の一般的な GuardDuty 結果の自動生成 GuardDuty の結果タイプの形式 GuardDuty のアクティブな結果タイプ GuardDuty の Backdoor 結果タイプ GuardDuty の Behavior 結果タイプ GuardDuty の CryptoCurrency 結果タイプ GuardDuty の PenTest 結果タイプ GuardDuty の永続性結果タイプ GuardDuty の Recon 検索タイプ GuardDuty の ResourceConsumption 結果タイプ GuardDuty の Stealth 結果タイプ GuardDuty の Trojan 検索タイプ GuardDuty の未許可結果タイプ GuardDuty のリタイアしている結果タイプ Behavior:IAMUser/InstanceLaunchUnusual CryptoCurrency:EC2/BitcoinTool.A GuardDuty によって検出されたセキュリティ問題の修復 侵害された EC2 インスタンスの修正 侵害された AWS 認証情報の修正 信頼できる IP リストと脅威リストの使用 信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 iii

4 Amazon GuardDuty Amazon Guard Duty ユーザーガイド 信頼されている IP リストと脅威リストをアップロードするには 信頼されている IP リストや脅威リストを有効化または無効化にする 信頼されている IP リストと脅威リストを更新するには Amazon GuardDuty の AWS アカウントの管理 GuardDuty マスターアカウント GuardDuty メンバーアカウント GuardDuty コンソールでマスターアカウントとメンバーアカウントを指定する GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定 複数のアカウントで同時に GuardDuty を有効にする Python スクリプトを使用して複数のアカウントで同時に GuardDuty を有効にする AWS CloudFormation StackSets を使用して複数のアカウントで同時に GuardDuty を有効にする.. 58 Amazon GuardDuty の停止または無効化 を使用した API 呼び出しのログ作成 内の情報 例 : GuardDuty ログファイルエントリ を使用した結果のモニタリング GuardDuty に関する CloudWatch イベントの通知頻度 CloudWatch イベントを使用した アーカイブされた GuardDuty 結果のモニタリング GuardDuty の CloudWatch イベントの形式 のルールおよびターゲットの作成 Amazon GuardDuty API リファレンス AcceptInvitation リクエストの構文 パスパラメータ リクエストパラメータ レスポンス要素 エラー 例 ArchiveFindings リクエストの構文 パスパラメータ リクエストパラメータ レスポンス要素 エラー 例 CreateDetector リクエストの構文 リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 CreateFilter リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 CreateIPSet リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー iv

5 Amazon GuardDuty Amazon Guard Duty ユーザーガイド 例 CreateMembers リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 CreateSampleFindings リクエストの構文 パスパラメータ リクエストパラメータ レスポンス要素 エラー 例 CreateThreatIntelSet リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 DeclineInvitations リクエストの構文 リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 DeleteDetector リクエストの構文 パスパラメータ レスポンス要素 エラー 例 DeleteFilter リクエストの構文 パスパラメータ レスポンス要素 エラー 例 DeleteInvitations リクエストの構文 リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 DeleteIPSet リクエストの構文 パスパラメータ レスポンスの構文 エラー 例 DeleteMembers v

6 Amazon GuardDuty Amazon Guard Duty ユーザーガイド リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 DeleteThreatIntelSet リクエストの構文 パスパラメータ レスポンスの構文 エラー 例 DisassociateFromMasterAccount リクエストの構文 パスパラメータ レスポンス要素 エラー 例 DisassociateMembers リクエストの構文 リクエストパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 GetDetector リクエストの構文 パスパラメータ レスポンスの構文 レスポンス要素 エラー 例 GetFilter リクエストの構文 パスパラメータ レスポンスの構文 レスポンス要素 エラー 例 GetFindings リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 GetFindingsStatistics リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 vi

7 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GetInvitationsCount リクエストの構文 レスポンスの構文 レスポンス要素 エラー 例 GetIPSet リクエストの構文 パスパラメータ レスポンスの構文 レスポンス要素 エラー 例 GetMasterAccount リクエストの構文 パスパラメータ レスポンスの構文 レスポンス要素 エラー 例 GetMembers リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 GetThreatIntelSet リクエストの構文 パスパラメータ レスポンスの構文 レスポンス要素 エラー 例 InviteMembers リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 ListDetectors リクエストの構文 リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 ListFilters リクエストの構文 パスパラメータ レスポンスの構文 レスポンス要素 エラー 例 vii

8 Amazon GuardDuty Amazon Guard Duty ユーザーガイド ListFindings リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 ListInvitations リクエストの構文 リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 ListIPSets リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 ListMembers リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 ListThreatIntelSets リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 StartMonitoringMembers リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 StopMonitoringMembers リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 UnarchiveFindings リクエストの構文 viii

9 Amazon GuardDuty Amazon Guard Duty ユーザーガイド パスパラメータ リクエストパラメータ レスポンス要素 エラー 例 UpdateDetector リクエストの構文 パスパラメータ リクエストパラメータ レスポンス要素 エラー 例 UpdateFilter リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 レスポンス要素 エラー 例 UpdateFindingsFeedback リクエストの構文 リクエストパラメータ リクエストパラメータ レスポンス要素 エラー 例 UpdateIPSet リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 エラー 例 UpdateThreatIntelSet リクエストの構文 パスパラメータ リクエストパラメータ レスポンスの構文 エラー 例 ドキュメント履歴 以前の更新 AWS の用語集 ix

10 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の料金表 Amazon GuardDuty とは Amazon GuardDuty は 次のデータソースを分析して処理する継続的なセキュリティモニタリングサービスです : VPC フローログ AWS CloudTrail イベントログ DNS ログ 悪意のある IP やドメインのリストなどの脅威インテリジェンスフィードおよび機械学習を使用して AWS 環境内の予期しない潜在的に未許可なアクティビティや悪意のあるアクティビティを識別します このアクティビティには 権限昇格や 公開されている認証情報の使用 悪意のある IP や URL ドメインとの通信などの問題も含まれます たとえば GuardDuty はマルウェアやマイニングビットコインに使われている侵害された EC2 インスタンスを検出できます また AWS アカウントのアクセス動作をモニタリングして 未許可のインフラストラクチャのデプロイ ( これまで使用されたことのないリージョンへのインスタンスのデプロイなど ) や 異常な API コール ( パスワードポリシーがパスワードの強度が下がるものに変更されるなど ) など 侵害の兆候を探します GuardDuty では コンソールまたは Amazon CloudWatch イベントで表示することができるセキュリティの結果を生成して 環境のステータスを通知しています GuardDuty の料金表 GuardDuty の料金の詳細については Amazon GuardDuty 料金表 を参照してください GuardDuty へのアクセス 次のいずれかの方法で GuardDuty を使用できます GuardDuty コンソール コンソールは GuardDuty にアクセスして使用するためのブラウザベースのインターフェイスです AWS SDK AWS には さまざまなプログラミング言語およびプラットフォーム (Java Python Ruby.NET ios Android など ) のライブラリとサンプルコードで構成されたソフトウェア開発キット (SDK) が用意されています SDK は GuardDuty へのアクセス権限をプログラムによって作成するのに役立ちます AWS SDK のダウンロードやインストールなどの詳細については アマゾンウェブサービスのツール を参照してください GuardDuty HTTPS API サービスに HTTPS リクエストを直接発行できる GuardDuty HTTPS API を使用して プログラムによりとにアクセスできます 詳細については Amazon GuardDuty API リファレンス (p. 67) を参照してください 1

11 Amazon GuardDuty Amazon Guard Duty ユーザーガイド AWS CloudTrail イベントログ Amazon GuardDuty でデータソースを使用する方法 AWS 環境で許可されず 予期されないアクティビティを検出するために GuardDuty は AWS CloudTrail イベントログ VPC フローログおよび DNS ログを分析して処理します このようなデータソースからのログは Amazon S3 バケットに保存されます GuardDuty は HTTPS プロトコルを使用してこれらにアクセスします これらのデータソースから GuardDuty への通信中 ログデータはすべて暗号化されます GuardDuty はこれらのログのさまざまなフィールドを抽出して プロファイリングと異常の検出を行った後 ログを破棄します 次のセクションでは GuardDuty でサポートされている各データソースを使用する方法の詳細を説明します トピック AWS CloudTrail イベントログ (p. 2) VPC フローログ (p. 3) DNS ログ (p. 3) AWS CloudTrail イベントログ AWS CloudTrail は アカウントの AWS API コールの履歴を提供します 履歴には AWS マネジメントコンソール AWS SDK コマンドラインツール 高レベルの AWS サービスを使用した API コールが含まれます CloudTrail では をサポートするサービス用に API を呼び出したユーザーとアカウント 呼び出し元のソース IP アドレス および呼び出しの発生日時を特定することもできます 詳細については AWS CloudTrail とは を参照してください 管理イベントあるいはデータイベント ( またはその両方 ) のログを記録するように CloudTrail 証跡を設定できます 管理イベントでは AWS アカウントのリソースで実行される管理オペレーションについての洞察が得られます たとえば セキュリティの設定 (IAM AttachRolePolicy API オペレーション ) デバイスの登録 (Amazon EC2 CreateDefaultVpc API オペレーション ) ルーティングデータのルールの設定 (Amazon EC2 CreateSubnet API オペレーション ) ログ記録の設定 (AWS CloudTrail CreateTrail API オペレーション ) などです データイベントでは リソース上またはリソース内で実行されたリソースオペレーションについての洞察が得られます たとえば Amazon S3 のオブジェクトレベルの API アクティビティ (GetObject DeleteObject および PutObject の API オペレーション ) AWS Lambda 関数の実行アクティビティ ( 呼び出し API) などです 詳細については 証跡のデータイベントと管理イベントのログ記録 を参照してください 現在のところ GuardDuty は CloudTrail 管理イベントのみを分析します CloudTrail で設定したログデータイベントがある場合 データに基づいた分析と CloudTrail 自体が配信するログでは違いが生じます GuardDuty で CloudTrail をデータソースとして使用する場合のもう一つの重要な点は CloudTrail のグローバルイベントの取扱いと処理です ほとんどのサービスの場合 イベントはアクションが発生したリージョンで記録されます AWS IAM AWS STS Amazon CloudFront や Route 53 などのグローバルサービスの場合 イベントはグローバルサービスが含まれた任意の証跡に配信され 発生した場所は米国東部 ( バージニア北部 ) リージョンであるとログに記録されます 詳細については グローバルサービスイベントについて を参照してください GuardDuty は CloudTrail がすべてのリージョンに送信するグローバルイベントを含む リージョンに届くすべてのイベントを処理します これにより GuardDuty は各リージョンでユーザーとロールプロファイルを維持し 悪意のある認証情報をリージョン間で確実に検出できます 2

12 Amazon GuardDuty Amazon Guard Duty ユーザーガイド VPC フローログ Important GuardDuty は サポートされているすべての AWS リージョンで有効にすることが強く推奨されています このように設定することで お客様が能動的に使用していないリージョンでも 許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます また GuardDuty では グローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます GuardDuty がサポートされているすべてのリージョンで有効になっていない場合 グローバルサービスに関連するアクティビティを検出する機能は低下します VPC フローログ VPC フローログは Amazon EC2 のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャします 詳細については VPC フローログ を参照してください Important GuardDuty を有効にすると ただちに VPC フローログのデータの分析が開始されます フローログの単独ストリームおよび重複ストリームの VPC フローログ機能から直接 VPC フローログイベントを使用します このプロセスによる既存のフローログ設定への影響はありません GuardDuty はフローログを管理しません また アカウントによるフローログへのアクセスを可能にすることはありません フローログのアクセスと保持期間を管理するには VPC フローログ機能を設定する必要があります フローログへの GuardDuty アクセスには追加料金はかかりません ただし 保持するフローログを有効にするか アカウントで使用した場合は 既存の料金表が適用されます 詳細については フローログの使用 を参照してください DNS ログ EC2 インスタンスで AWS DNS リゾルバーを使用している場合 ( デフォルト設定 ) GuardDuty は 内部の AWS DNS リゾルバーを介して リクエストと応答の DNS ログにアクセスして処理することができます サードパーティの DNS リゾルバー ( 例 : OpenDNS または GoogleDNS) を使用している場合 または独自の DNS リゾルバーを設定している場合は GuardDuty でこのデータソースからデータにアクセスしたり処理したりすることはできません 3

13 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty の用語と概念 Amazon GuardDuty の使用を開始するにあたり その主要コンセプトを確認しておくとメリットがあります アカウント リソースを含む標準のアマゾンウェブサービス () アカウント アカウントを使用して AWS にサインインし GuardDuty を有効にできます 他のアカウントを招待して GuardDuty を有効にし のアカウントに関連付けることもできます 招待が受け入れられると アカウントは GuardDuty のマスターアカウントとして指定され これに追加されたアカウントはメンバーアカウントになります これにより マスターアカウントの代わりに GuardDuty の結果を表示および管理することができます マスターアカウントのユーザーは 自分のアカウントおよびすべてのメンバーアカウントの GuardDuty を設定できるだけでなく GuardDuty の結果を表示および管理できます GuardDuty に最大 1000 のメンバーアカウントを登録できます メンバーアカウントのユーザーは 自分のアカウントの GuardDuty を設定できるだけでなく GuardDuty の結果を表示および管理できます (GuardDuty 管理コンソールまたは GuardDuty API を使用 ) メンバーアカウントのユーザーは 他のメンバーアカウントの結果を表示または管理することはできません AWS アカウントを GuardDuty のマスターアカウントとメンバーアカウントに同時に設定することはできません AWS アカウントで承諾できるメンバーシップの招待は 1 つのみです メンバーシップの招待の承諾はオプションです 詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してください 自動アーカイブ 自動アーカイブルールを使用すると 特定の属性の組み合わせを作成して結果数を抑えることができます たとえば 特定の VPC のインスタンス 特定の AMI を実行するインスタンス 特定の EC2 タグがあるインスタンスなどのみで を自動アーカイブするために フィルタを使ってルールを定義できます このルールにより ポートスキャンの検索結果は 条件を満たすインスタンスから自動的にアーカイブされます ただし 暗号化通貨のマイニングなど 他の悪意のある行為を行っているインスタンスが GuardDuty によって検出された場合には アラートが出されます GuardDuty マスターアカウントで定義された自動アーカイブルールは GuardDuty メンバーアカウントに適用されます GuardDuty メンバーアカウントは自動アーカイブルールを変更できません 自動アーカイブルールでは GuardDuty は依然としてすべての結果を生成します 自動アーカイブルールは すべてのアクティビティの完全で不変な履歴を維持しながら 結果の数を抑えます データソース 結果 データのセットのオリジンまたは場所です AWS 環境で許可されず 予期されないアクティビティを検出するために GuardDuty は AWS CloudTrail イベントログ VPC フローログおよび DNS ログを分析して処理します 詳細については Amazon GuardDuty でデータソースを使用する方法 (p. 2) を参照してください GuardDuty によって発見された潜在的なセキュリティの問題 詳細については Amazon GuardDuty の結果 (p. 23) を参照してください 4

14 Amazon GuardDuty Amazon Guard Duty ユーザーガイド 結果は セキュリティ問題に関する詳細な説明と合わせて GuardDuty コンソールに表示されます GetFindings (p. 123) および ListFindings (p. 167) HTTPS API オペレーションを呼び出して生成された結果を取得することもできます イベントを使用して の結果を表示することもできます GuardDuty は 結果を HTTPS プロトコル経由で Amazon CloudWatch に送信します 詳細については を使用した結果のモニタリング (p. 64) を参照してください 信頼できる IP リスト 高い安全性で AWS 環境と通信することを目的としてホワイトリストに登録されている IP アドレスのリスト GuardDuty では 信頼されている IP リストに基づく結果は生成されません 詳細については 信頼できる IP リストと脅威リストの使用 (p. 49) を参照してください 脅威リスト 既知の悪意のある IP アドレスのリスト GuardDuty は 脅威リストに基づいて結果を生成します 詳細については 信頼できる IP リストと脅威リストの使用 (p. 49) を参照してください 5

15 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty サービスの制限 各リージョンの AWS アカウントごとの Amazon GuardDuty の制限は以下のとおりです リソースデフォルトの制限コメント ディテクター 1 各リージョンの AWS アカウントごとに作成およびアクティブ化できるディテクターリソースの最大数 これはハード制限です ディテクターの制限の引き上げをリクエストすることはできません GuardDuty フィルタ 100 各リージョンの AWS アカウントごとに保存できるフィルタの最大数 これはハード制限です フィルターの制限の引き上げをリクエストすることはできません 信頼できる IP セット 1 各リージョンの AWS アカウントごとにアップロードおよびアクティブ化できる信頼できる IP セットの最大数 これはハード制限です 信頼できる IP セットの制限の引き上げをリクエストすることはできません 脅威インテリジェンスセット 6 各リージョンの AWS アカウントごとにアップロードおよびアクティブ化できる脅威インテリジェンスセットの最大数 これはハード制限です 脅威インテリジェンスセットの制限の引き上げをリクエストすることはできません 6

16 Amazon GuardDuty Amazon Guard Duty ユーザーガイド リソースデフォルトの制限コメント GuardDuty メンバーアカウント 1,000 各リージョンの AWS アカウント ( マスターアカウント ) ごとに追加できるメンバーアカウントの最大数 これはハード制限です メンバーアカウントの制限の引き上げをリクエストすることはできません GuardDuty 結果の保持時間 90 日間 GuardDuty で生成さ れた結果の最大保存日 数 これはハード制限です 結果の保持日数の制限の引き上げをリクエストすることはできません 7

17 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty でサポートされているリージョン 現在 Amazon GuardDuty は次の AWS リージョンでサポートされています アジアパシフィック ( ムンバイ ) アジアパシフィック ( ソウル ) アジアパシフィック ( シンガポール ) アジアパシフィック ( シドニー ) アジアパシフィック ( 東京 ) カナダ ( 中部 ) 欧州 ( フランクフルト ) 欧州 ( アイルランド ) 欧州 ( ロンドン ) EU ( パリ ) 米国東部 ( バージニア北部 ) 米国東部 ( オハイオ ) 米国西部 ( 北カリフォルニア ) 米国西部 ( オレゴン ) 南米 ( サンパウロ ) AWS GovCloud ( 米国 ) Important 次のリストは 他のサポートされている AWS リージョンと比較して AWS GovCloud ( 米国 ) リージョンで GuardDuty を使用する場合の違いを示しています 詳細については AWS Gov Cloud ( 米国 ) ユーザーガイドの Amazon GuardDuty トピック を参照してください でを使用してリソースを設定することはサポートされていません サポートがないため の StackSet 機能を使用して 同時に複数のアカウントでを有効にすることはできません この制限を回避するには Amazon GuardDuty の AWS アカウントの管理 (p. 53) で説明されている Python スクリプトを使用します リージョン間のデータ転送は サポートされていません 以下の DNS 関連の結果タイプは AWS GovCloud (US) では生成されません Trojan:EC2/BlackholeTraffic!DNS Trojan:EC2/DriveBySourceTraffic!DNS Trojan:EC2/DropPoint!DNS Backdoor:EC2/C&CActivity.B!DNS CryptoCurrency:EC2/BitcoinTool.B!DNS Trojan:EC2/DGADomainRequest.B Trojan:EC2/DNSDataExfiltration Trojan:EC2/DGADomainRequest.C!DNS Trojan:EC2/PhishingDomainRequest!DNS 8

18 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Important GuardDuty は サポートされているすべての AWS リージョンで有効にすることが強く推奨されています このように設定することで お客様が能動的に使用していないリージョンでも 許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます また GuardDuty では IAM などのグローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます GuardDuty がサポートされているすべてのリージョンで有効になっていない場合 グローバルサービスに関連するアクティビティを検出する機能は低下します 9

19 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty の有効化 Amazon GuardDuty をセットアップする Amazon GuardDuty を有効にするには AWS アカウントが必要です アカウントをお持ちでない場合は 次に説明する手順にしたがってアカウントを作成してください AWS にサインアップするには 1. を開き [AWS アカウントの作成 ] を選択します Note AWS アカウントのルートユーザー認証情報を使用して すでに AWS マネジメントコンソールにサインインしている場合は [Sign in to a different account ( 別のアカウントにサインインする )] を選択します IAM 認証情報を使用して すでにコンソールにサインインしている場合は [Sign-in using root account credentials ( ルートアカウントの資格情報を使ってサインイン )] を選択します [ 新しい AWS アカウントの作成 ] を選択します 2. オンラインの手順に従います サインアップ手順の一環として 通話呼び出しを受け取り 電話のキーパッドを用いて確認コードを入力することが求められます トピック Amazon GuardDutyの有効化 (p. 10) Amazon GuardDuty 無料トライアル (p. 12) Amazon GuardDuty のサービスにリンクされたロールの使用 (p. 12) Amazon GuardDuty の有効化 GuardDuty を使用するには 最初に有効にする必要があります GuardDuty を有効にする手順は以下のとおりです 1. GuardDuty を有効にするために使用する IAM アイデンティティ ( ユーザー ロール グループ ) には 必須のアクセス許可が必要です GuardDuty を有効にするために必要なアクセス許可を付与するには 次のポリシーを IAM ユーザー グループ またはロールにアタッチします Note 以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ 10

20 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty の有効化, "guardduty:*" ], "Resource": "*" "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com" ] 2. ステップ 1 の IAM アイデンティティの認証情報を使用して GuardDuty コンソールにサインインします 最初に GuardDuty コンソールを開いたときに [Get Started] [Enable GuardDuty] の順に選択します GuardDuty の有効化については 以下の点に注意してください GuardDuty には サービスにリンクされたロールとして AWSServiceRoleForAmazonGuardDuty が割り当てられます このサービスにリンクされたロールには AWS CloudTrail VPC フローログ および DNS ログのイベントを GuardDuty で直接使用および分析し セキュリティの結果を生成するために必要なアクセス権限と信頼ポリシーが含まれています AWSServiceRoleForAmazonGuardDuty の詳細を表示するには [Welcome to GuardDuty] ページの [View service role permissions] を選択してください 詳細については サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 (p. 16) を参照してください サービスにリンクされたロールの詳細については サービスにリンクされたロールの使用 を参照してください GuardDuty を有効にすると 直ちに AWS CloudTrail VPC フローログ および DNS ログからの独立したデータのストリームのプルおよび分析を開始し セキュリティ結果を生成します GuardDuty はこのデータを調査のためにのみ使用するため GuardDuty を使用して AWS CloudTrail VPC フローログ および DNS ログを管理したり イベントやログをお客様が利用することはできません これらのサービスを GuardDuty に関係なく有効にしている場合は それぞれのコンソールまたは API を使用して 引き続きこれらのデータソースの設定を構成するオプションを使用します GuardDuty が統合するデータソースに関する詳細については AWS CloudTrail とは および フローログを使用する を参照してください Important GuardDuty は サポートされているすべての AWS リージョンで有効にすることが強く推奨されています このように設定することで お客様が能動的に使用していないリージョンでも 許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます また GuardDuty では IAM などのグローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます GuardDuty がサポートされているすべてのリージョンで有効になっていない場合 グローバルサービスに関連するアクティビティを検出する機能は低下します GuardDuty は無料またはわずかな追加料金で アクティブなワークロードをデプロイしていないリージョンをモニタリングできます GuardDuty はいつでも無効化して AWS CloudTrail イベント VPC フローログ DNS ログの処理や分析を停止できます 詳細については Amazon GuardDuty の停止または無効化 (p. 61) を参照してください 11

21 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty 無料トライアル Amazon GuardDuty 無料トライアル 初めて GuardDuty を有効にすると AWS アカウントは 30 日 GuardDuty 無料トライアルで自動的に登録されます GuardDuty の無料トライアルの詳細については GuardDuty コンソールの [Free trial] ページを参照 ( ナビゲーションペインの [Free trial]/[details] を選択 ) してください 詳細には 無料トライアルのタイムライン上における現在の位置と 無料トライアル終了後の GuardDuty の日次見積コストが表示されます この見積りは 無料トライアル期間中に GuardDuty で毎日処理および分析したログに基づきます Important この推定日次コストには を有効化したすべての AWS アカウントおよびリージョンにおけるの使用に対する課金は表示されません 推定日次コストは 現在サインインしているアカウントおよびリージョンにおけるの使用状況のみに基づきます 無料トライアルの終了まで GuardDuty の使用に対して課金されることはありません GuardDuty の料金の詳細については Amazon GuardDuty 料金表 を参照してください Amazon GuardDuty のサービスにリンクされたロールの使用 Amazon GuardDuty は AWS Identity and Access Management (IAM) サービスにリンクされたロール ) を使用します サービスにリンクされたロールは に直接リンクされた一意のタイプのロールです IAMGuardDuty サービスにリンクされたロールは GuardDuty による事前定義済みのロールであり ユーザーに代わって GuardDuty から AWS の他のサービスを呼び出すために必要なすべてのアクセス権限を備えています サービスにリンクされたロールを使用すると 必要なアクセス許可を手動で追加する必要がなくなるため GuardDuty の設定が簡単になります GuardDuty はこのサービスにリンクされたロールのアクセス許可を定義し 特にアクセス許可が定義されている場合を除き GuardDuty のみがそのロールを引き受けます 定義されるアクセス権限には 信頼ポリシーやアクセス許可ポリシーなどがあり そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません GuardDuty は GuardDuty が利用できるすべてのリージョンで サービスにリンクされたロールの使用をサポートします 詳細については Amazon GuardDuty でサポートされているリージョン (p. 8) を参照してください GuardDuty サービスにリンクされたロールの削除は それが有効になっているすべてのリージョンで GuardDuty を無効にした後でのみ 行うことができます アクセスに必要なアクセス許可を誤って削除してしまうことがなくなり GuardDuty リソースは保護されます サービスにリンクされたロールをサポートする他のサービスについては IAM ユーザーガイドの IAM と連携する AWS サービス で サービスにリンクされたロール 列が はい になっているサービスを確認してください サービスにリンクされたロールに関するドキュメントをサービスで表示するには [ はい ] リンクを選択します GuardDuty のサービスにリンクされたロールのアクセス許可 GuardDuty では サービスにリンクされたロールとして AWSServiceRoleForAmazonGuardDuty を使用します allows Amazon GuardDuty to consume and analyze events directly from AWS CloudTrail, VPC Flow Logs, and DNS logs and generate security findings 12

22 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty のサービスにリンクされたロールのアクセス許可 AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは ロールを引き受ける上で次のサービスを信頼します guardduty.amazonaws.com ロールのアクセス権限ポリシーは 指定したリソースに対して以下のアクションを実行することを GuardDuty に許可します アクション : ec2:describeinstances アクション : ec2:describeimages リソース : arn:aws:iam::*:role/aws-service-role/guardduty.amazonaws.com/ AWSServiceRoleForAmazonGuardDuty IAM エンティティ ( ユーザー グループ ロールなど ) がサービスにリンクされたロールを作成 編集 削除できるようにするには アクセス権限を設定する必要があります AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを適切に作成するには GuardDuty を使用する IAM アイデンティティに 必要なアクセス権限が付与されている必要があります 必要なアクセス許可を付与するには 次のポリシーをこの IAM ユーザー グループ またはロールにアタッチします Note 以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*", "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com", "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" ] 13

23 Amazon GuardDuty Amazon Guard Duty ユーザーガイドのサービスにリンクされたロールの作成 GuardDuty のサービスにリンクされたロールの作成 GuardDuty GuardDuty を初めて有効にするか 以前に有効にしていなかったサポート対象リージョンで GuardDuty を有効にすると AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールが自動的に作成されます AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは IAM コンソール IAM CLI または IAM API を使用して手動で作成することもできます Important マスター GuardDuty アカウント用に作成されたサービスにリンクされたロールは メンバーの GuardDuty アカウントには適用されません 手動によるロールの作成の詳細については IAM ユーザーガイドの サービスにリンクされたロールを作成する を参照してください GuardDuty のサービスにリンクされたロールの編集 GuardDuty では AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを編集することはできません サービスにリンクされたロールを作成すると 多くのエンティティによってロールが参照される可能性があるため ロール名を変更することはできません ただし IAM を使用したロールの説明の編集はできます 詳細については IAM ユーザーガイドの サービスにリンクされたロールの編集 を参照してください GuardDuty のサービスにリンクされたロールの削除 サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には そのロールを削除することをお勧めします そうすることで 使用していないエンティティがアクティブにモニタリングされたり メンテナンスされたりすることがなくなります Important AWSServiceRoleForAmazonGuardDuty を削除するためには 有効になっているすべてのリージョンで最初に GuardDuty を無効にする必要があります サービスにリンクされたロールを削除しようとしたときに GuardDuty サービスが無効になっていない場合 削除は失敗します 詳細については Amazon GuardDuty の停止または無効化 (p. 61) を参照してください GuardDuty を無効にすると AWSServiceRoleForAmazonGuardDuty は自動的に削除されません 後で GuardDuty を再度有効にする場合 既存の AWSServiceRoleForAmazonGuardDuty を使用して起動されます IAM を使用して サービスにリンクされたロールを手動で削除するには IAM コンソール IAM CLI または IAM API を使用して AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを削除します 詳細については サービスにリンクされたロールの削除 を参照してください IAM ユーザーガイド 14

24 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の有効化に必要なアクセス許可 Amazon GuardDuty へのアクセスの管理 トピック GuardDuty の有効化に必要なアクセス許可 (p. 15) サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 (p. 16) IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する (p. 17) GuardDuty の有効化に必要なアクセス許可 このセクションでは コンソールまたはプログラム ( API または AWS CLI のコマンド ) からを最初に有効にするために必要な IAM アイデンティティ ( ユーザー グループ ロール ) 別のアクセス許可について説明します GuardDuty を有効にするために必要なアクセス許可を付与するには 次のポリシーを IAM ユーザー グループ またはロールにアタッチします Note 以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*", "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com", "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], 15

25 Amazon GuardDuty Amazon Guard Duty ユーザーガイドサービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" ] サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 このセクションでは GuardDuty サービス自体が動作するためと ユーザーの代わりにオペレーション ( 結果の生成など ) を実行するために必要なアクセス許可について説明します コンソールまたはプログラム (API オペレーションまたは AWS CLI コマンド ) を使用してを有効にすると AWSServiceRoleForAmazonGuardDuty というサービスにリンクされたロールが自動的に割り当てられます サービスにリンクされたロールは AWS のサービス ( この場合は GuardDuty) に直接リンクされた一意なタイプの IAM ロールです サービスにリンクされたロールは サービスによって事前に定義され ユーザーに代わってサービスが AWS の他のサービスを呼び出すために必要なアクセス権限をすべて含んでいます このリンクされたサービス ( この場合は GuardDuty) でも サービスにリンクされたロールを作成 変更 削除する方法を定義します サービスにリンクされたロールの詳細については サービスにリンクされたロールの使用 を参照してください を有効にすると サービスにリンクされたロールとしてが自動的に作成されます これには VPC フローログ および DNS ログのイベントをで直接使用および分析し セキュリティの結果を生成するために必要なアクセス許可と信頼ポリシーが含まれています サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty を編集することはできません IAM コンソールで このサービスにリンクされたロールのアクセス権限を表示したり このロール自体を削除したりできます サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty を削除するには まずその AWS アカウントのすべてのリージョンで GuardDuty を無効 (p. 61) にしておく必要があります AWSServiceRoleForAmazonGuardDuty にアタッチされたアクセス許可を表示するには GuardDuty コンソールの [Setting/General] タブで [View service role permissions] ボタンを選択します サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty にアタッチされているアクセス権限ポリシードキュメントは次のとおりです "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "ec2:describeinstances", "ec2:describeimages" ], "Resource": "*" ] サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty にアタッチされている信頼ポリシーは次のとおりです 16

26 Amazon GuardDuty Amazon Guard Duty ユーザーガイド IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する "Version": " ", "Statement": [ "Effect": "Allow", "Principal": "Service": "guardduty.amazonaws.com", "Action": "sts:assumerole" ] IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する このセクションでは GuardDuty へのアクセス権をさまざまな IAM アイデンティティ ( ユーザー グループ ロール ) に委任する方法について説明します デフォルトでは GuardDuty リソース ( ディテクター 信頼された IP リスト 脅威リスト 結果 メンバー マスターアカウント および呼び出し ) へのアクセスは リソースが作成された AWS アカウントの所有者に限定されます 所有者の場合は GuardDuty へのフルアクセスまたは制限付きのアクセス権をアカウントのさまざまな IAM アイデンティティに付与できます IAM アクセスポリシーの作成の詳細については AWS Identity and Access Management (IAM) を参照してください トピック GuardDuty での AWS 管理 ( 事前定義 ) ポリシー (p. 17) カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 (p. 18) カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与 (p. 19) カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否 (p. 19) カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 (p. 20) GuardDuty での AWS 管理 ( 事前定義 ) ポリシー AWS は AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユースケースに対応します これらの管理ポリシーは 一般的ユースケースに必要なアクセス権限を付与することで どの権限が必要なのかをユーザーが調査する必要をなくすことができます 詳細については IAM ユーザーガイド の AWS 管理ポリシー を参照してください アカウントのユーザーにアタッチ可能な以下の AWS 管理ポリシーは GuardDuty に固有のものです AmazonGuardDutyFullAccess は GuardDuty のすべての機能にアクセスできます ただし 信頼されている IP リストおよび脅威リストを GuardDuty で操作する場合 ID のアクセスはこの管理ポリシーによって制限されます 具体的には AmazonGuardDutyFullAccess 管理ポリシーがアタッチされている ID はアップロードされた信頼されている IP リストと脅威リストの名前変更および無効化のみを実行できます さまざまな ID に 信頼されている IP リストと脅威リストの操作 ( 名前変更および無効化に加えて リストのアップロード 有効化 削除 場所の更新が含まれます ) を行うためのフルアクセスを付与するには 次のアクションが IAM ユーザー グループ またはロールにアタッチされたアクセス権ポリシーに存在することを確認してください 17

27 Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" AmazonGuardDutyReadOnlyAccess は GuardDuty への読み取り専用アクセスを提供します カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 以下のカスタムポリシーを使用して IAM ユーザー ロール またはグループに GuardDuty コンソールと GuardDuty のすべてのオペレーションへのフルアクセスを付与できます Note 以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*", "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com", "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" ] 18

28 Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与 カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与 次のポリシーを使用して IAM ユーザー ロール またはグループに GuardDuty への読み取り専用アクセス権を付与できます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:listmembers", "guardduty:getmembers", "guardduty:listinvitations", "guardduty:listdetectors", "guardduty:getdetector", "guardduty:listfindings", "guardduty:getfindings", "guardduty:listipsets", "guardduty:getipset", "guardduty:listthreatintelsets", "guardduty:getthreatintelset", "guardduty:getmasteraccount", "guardduty:getinvitationscount", "guardduty:getfindingsstatistics" ], "Resource": "*" ] カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否 次のポリシーを使用し IAM ユーザー ロール またはグループに対して GuardDuty の結果へのアクセスを拒否できます ユーザーは結果やその詳細は表示できませんが その他すべての GuardDuty のオペレーションにはアクセスできます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:createdetector", "guardduty:deletedetector", "guardduty:updatedetector", "guardduty:getdetector", "guardduty:listdetectors", "guardduty:createipset", "guardduty:deleteipset", "guardduty:updateipset", "guardduty:getipset", 19

29 , Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 "guardduty:listipsets", "guardduty:createthreatintelset", "guardduty:deletethreatintelset", "guardduty:updatethreatintelset", "guardduty:getthreatintelset", "guardduty:listthreatintelsets", "guardduty:archivefindings", "guardduty:unarchivefindings", "guardduty:createsamplefindings", "guardduty:createmembers", "guardduty:invitemembers", "guardduty:getmembers", "guardduty:deletemembers", "guardduty:disassociatemembers", "guardduty:startmonitoringmembers", "guardduty:stopmonitoringmembers", "guardduty:listmembers", "guardduty:getmasteraccount", "guardduty:disassociatefrommasteraccount", "guardduty:acceptinvitation", "guardduty:listinvitations", "guardduty:getinvitationscount", "guardduty:declineinvitations", "guardduty:deleteinvitations" ], "Resource": "*" "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com", "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" ] カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 ディテクター ID に基づいて GuardDuty に対するユーザーのアクセスを定義するには 次のオペレーションを除くすべての GuardDuty オペレーションをカスタム IAM ポリシー内で使用できます guardduty:createdetector guardduty:declineinvitations guardduty:deleteinvitations 20

30 Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 guardduty:getinvitationscount guardduty:listdetectors guardduty:listinvitations IAM ポリシーの以下のオペレーションを使用し IPSet ID および ThreatIntelSet ID に基づいて GuardDuty に対するユーザーのアクセス権を定義できます guardduty:deleteipset guardduty:deletethreatintelset guardduty:getipset guardduty:getthreatintelset guardduty:updateipset guardduty:updatethreatintelset 以下の例では 前述のオペレーションのいくつかを使用してポリシーを作成する方法を示します このポリシーでは ユーザーはリージョンでディテクター ID として を使用し オペレーションを実行できます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:updatedetector", ], "Resource": "arn:aws:guardduty:us-east-1: :detector/ " ] このポリシーでは ユーザーはリージョンでディテクター ID として IPSet ID として を使用し オペレーションを実行できます Note GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス許可がそのユーザーにあることを確認します 詳細については 信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 (p. 50) を参照してください "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:updateipset", ], "Resource": "arn:aws:guardduty:us-east-1: :detector/ / ipset/000000" ] このポリシーでは ユーザーはリージョンで任意のディテクター ID と IPSet ID として を使用し オペレーションを実行できます 21

31 Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 Note GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス許可がそのユーザーにあることを確認します 詳細については 信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 (p. 50) を参照してください "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:updateipset", ], "Resource": "arn:aws:guardduty:us-east-1: :detector/*/ ipset/000000" ] このポリシーでは ユーザーはリージョンでディテクター ID として と任意の IPSet ID を使用し オペレーションを実行できます Note GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス許可がそのユーザーにあることを確認します 詳細については 信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 (p. 50) を参照してください *" "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:updateipset", ], "Resource": "arn:aws:guardduty:us-east-1: :detector/ /ipset/ ] 22

32 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果の検索と分析 Amazon GuardDuty の結果 環境で 潜在的に悪意のある予期しないアクティビティを検出すると によって結果が生成されます GuardDuty の結果は GuardDuty コンソールの [Findings] ページ GuardDuty の CLI や API オペレーションを使用して表示および管理できます GuardDuty の結果は Amazon CloudWatch イベントを使用して表示することもできます 詳細については を使用した結果のモニタリング (p. 64) を参照してください このトピックには次の情報を説明しています トピック GuardDuty 結果の検索と分析 (p. 23) GuardDuty 結果のアーカイブ エクスポート およびフィードバックの提供 (p. 25) 結果のフィルタリングと自動アーカイブ (p. 25) GuardDuty 結果の重要度 (p. 26) GuardDuty 結果サンプルの生成 (p. 27) PoC ( 概念実証 ) - 複数の一般的な GuardDuty 結果の自動生成 (p. 27) GuardDuty の結果タイプの形式 (p. 28) GuardDuty のアクティブな結果タイプ (p. 29) GuardDuty のリタイアしている結果タイプ (p. 46) GuardDuty によって検出されたセキュリティ問題の修復 (p. 47) GuardDuty 結果の検索と分析 GuardDuty の結果を表示および分析するには 次の手順を使用します 1. GuardDuty コンソール ( を開き [Findings] を選択します 2. 特定の結果を選択して 詳細を表示します 詳細ペインが表示され 次の情報を確認できます 結果の概要セクション 次の情報が含まれます 検索タイプ セキュリティ上の潜在的な問題の簡潔で読みやすい説明 詳細については GuardDuty の結果タイプの形式 (p. 28) を参照してください 重大度 結果には重大度 ( 高 中 低 ) が割り当てられています 詳細については GuardDuty 結果の重要度 (p. 26) を参照してください リージョン 結果が作成された AWS リージョン Note サポートされるリージョンの詳細については Amazon GuardDuty でサポートされているリージョン (p. 8) を参照してください カウント アカウントで GuardDuty を有効にした後でで結果が生成された回数 アカウント ID この結果の生成をに求めるアクティビティを実行したアカウントの ID リソース ID この結果の生成をに求めるアクティビティを実行したリソースの ID 脅威リスト名 - この結果の生成を GuardDuty に求めるアクティビティに関する IP アドレスまたはドメイン名が含まれている脅威リストの名前 最終アクセス この結果の生成を GuardDuty に求めるアクティビティが発生した時間 23

33 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果の検索と分析 Note GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンで表示されます 一方 JSON エクスポートおよび CLI 出力では UTC でタイムスタンプが表示されます 結果の [Resource affected] セクション 次の情報が含まれます リソースロール 該当のリソースは攻撃対象となる可能性があるため この値は通常 Target に設定されます リソースタイプ 該当するリソースのタイプ この値は AccessKey または Instance のいずれかです 現在 サポートされている結果タイプは EC2 インスタンスまたは AWS 認証情報のいずれかに対する悪意のあるアクティビティの可能性を示します 詳細については GuardDuty によって検出されたセキュリティ問題の修復 (p. 47) を参照してください インスタンス ID 結果の生成を GuardDuty に求めるアクティビティを行った EC2 インスタンスの ID ポート GuardDuty に結果の生成を求めるアクティビティ中に使用された接続のポート番号 アクセスキー ID 結果の生成をに求めるアクティビティを行ったユーザーのアクセスキー ID プリンシパル ID 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーのプリンシパル ID ユーザー型 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーのタイプ 詳細については CloudTrail useridentity 要素を参照してください ユーザー名 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーの名前 結果の [Action] セクション 次のような情報が含まれます アクションタイプ 結果アクティビティのタイプ 次のいずれかの値を指定できます : NETWORK_CONNECTION AWS_API_CALL PORT_PROBE または DNS_REQUEST NETWORK_CONNECTION は トラフィックが識別済み EC2 インスタンスとリモートホスト間で交わされたことを示します AWS_API_CALL は AWS API が呼び出されたことを示します DNS_REQUEST は 識別済みの EC2 インスタンスがドメイン名を照会したことを示します PORT_PROBE は リモートホストが複数の開かれているポートで識別済みの EC2 インスタンスを調査したことを示します API 呼び出されたため GuardDuty にこの結果の生成を求める API オペレーションの名前 Note これらのオペレーションは CloudTrail によってキャプチャした API 以外のイベントを含めることもできます 詳細については CloudTrail によってキャプチャされる API 以外のイベント を参照してください サービス名 この結果を生成した AWS のサービス (GuardDuty) の名前 接続方向 結果の生成を GuardDuty に求めるアクティビティで確認されたネットワーク接続方向 値は INBOUND OUTBOUND および UNKNOWN です INBOUND は リモートホストがお客様のアカウントの識別済み EC2 インスタンスのローカルポートへの接続を開始したことを示します OUTBOUND は 識別済み EC2 インスタンスがリモートホストへの接続を開始したことを示します UNKNOWN は GuardDuty が接続の方向を判別できなかったことを示します プロトコル 結果の生成を GuardDuty に求めるアクティビティで確認されたネットワーク接続プロトコル 結果の [Actor] セクション 次のような情報が含まれます 場所 結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスの位置情報 組織名 結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスの ISP 組織情報 IP アドレス 結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレス ポート 結果の生成を GuardDuty に求めるアクティビティが行われたポート番号 ドメイン 結果の生成を GuardDuty に求めるアクティビティが行われたドメイン 24 結果の [Additional information] セクション 次のような情報が含まれます

34 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果のアーカイブ エクスポート およびフィードバックの提供 脅威リスト名 この結果の生成を GuardDuty に求めるアクティビティに関する IP アドレスまたはドメイン名が含まれている脅威リストの名前 サンプル 結果サンプルかどうかを示します 異常 履歴で確認されていないアクティビティの詳細 これらには 通常とは異なる ( 以前に確認されていない ) ユーザー 場所 時間などが含まれます 異常プロトコル GuardDuty に結果の生成を求めるアクティビティが行われたネットワーク接続プロトコル GuardDuty 結果のアーカイブ エクスポート およびフィードバックの提供 以下の手順で 結果をアーカイブするか最新のものとしてマークし GuardDuty の結果にフィードバックを提供します 1. 検索結果をアーカイブまたはエクスポートするには 検索結果のリストから検索結果を選択し [ アクション ] メニューを選択します 次に [Archive] ( アーカイブ ) または [ エクスポート ] をクリックします 結果をエクスポートすると 完全な JSON ドキュメントが表示されます Note 現時点の GuardDuty では GuardDuty のメンバーアカウントのユーザーが結果をアーカイブすることはできません Note GuardDuty 結果の信頼度が 0 に設定されている場合のみ [ 信頼度 ] フィールドが完全な結果の JSON に表示されます 0 に設定された [ 信頼度 ] フィールドがあることは この GuardDuty 結果が誤検出であることを示します 2. 結果を有用または無用とマークしてフィードバックを提供するには 結果のなかから選んで その後上向きの親指ボタンまたは下向きの親指ボタンを選択します 3. アーカイブされたまたは現在の結果を表示するには 結果のリストの上にあるフィルタアイコンを選択し [Archived ( アーカイブ )] または [Current ( 現在 )] チェックボックスをオンにします Important 上記の手順を使用して検索結果を手動でアーカイブする場合は この検索後に発生した結果 ( アーカイブ完了後に生成された結果 ) はすべて 現在の検索結果のリストに追加されます 現在のリストにこの結果を表示しない場合は 自動アーカイブすることができます 詳細については 結果のフィルタリングと自動アーカイブ (p. 25) を参照してください 結果のフィルタリングと自動アーカイブ 以下の手順を使用して GuardDuty 結果の日付フィールドのフィルタを作成します 1. GuardDuty 結果の [Add filter criteria ( フィルタ条件の追加 )] バーを選択します 2. 展開された属性のリストで フィルタの条件として指定する属性を選択します たとえば アカウント ID またはアクションの種類です 特定のフィルタの条件として 1 つの属性または最大 50 の属性を指定できます 25

35 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果の重要度 フィルタ条件として指定できる属性の詳細なリストについては CreateFilter (p. 75) の filtercriteria プロパティの詳細を参照してください 3. 表示されたテキストフィールドで選択された各属性の値を指定し [ 適用 ] を選択します Note 特定のフィルタでは 属性値 ( 例 : アカウント ID) に適用する 等しい 条件または 等しくない 条件を使用する属性の場合 最大 50 まで値を指定できます 4. 指定された属性とその値 ( フィルタ条件 ) をフィルタとして保存するには [ 保存 ] の順に選択します フィルタの名前と説明を入力し [Auto-archive] ( 自動アーカイブ ) チェックボックスを使用して このフィルタに一致する検索結果を自動的にアーカイブするかどうかを指定します 次に [ 完了 ] を選択します 詳細については 自動アーカイブ (p. 4) を参照してください Important 検索結果が自動アーカイブ ( 上記ステップ 4 参照 ) されている場合は この検索後に発生した結果 ( アーカイブ完了後に生成された結果 ) はすべて アーカイブ済みの検索結果のリストに追加されます GuardDuty 結果の重要度 GuardDuty の結果ごとに重要度レベルと値が割り当てられます これにより 結果相互を優先順位付けする必要性が減り 結果が示すセキュリティ問題の可能性に対するレスポンスを決定できます 重大度の値は 0.1 ~ 8.9 の範囲内のいずれかです Note 値 0 と 9.0 から 10.0 が将来使用するために現在予約されています GuardDuty の結果で現在定義されている重要度レベルと値を次に示します 高 (GetFindings (p. 123) レスポンスの severity パラメータの値は の範囲になります ) 該当するリソース (EC2 インスタンス または IAM ユーザー認証情報のセット ) は侵害されており 承認されていない目的に活発に使用されています このセキュリティ問題は優先事項として対応し 直ちに修正措置を講じることをお勧めします たとえば EC2 インスタンスをクリーンアップまたは終了するか IAM 認証情報を更新します 中 (GetFindings (p. 123) レスポンスの severity パラメータの値は の範囲になります ) 不審なアクティビティを示します たとえば 大量のトラフィックが返されている先のリモートホストが Tor ネットワークの背後に隠れていたり アクティビティが通常確認されている動作から逸脱していたりします できるだけ早く 関連するリソースを調査することをお勧めします いくつかの修正手順を次に示します 未承認のユーザーがインストールした新しいソフトウェアでリソースの動作が変更されていないか確認してください たとえば 通常より高いトラフィックが許可されている場合や 新しいポートの通信が有効化されている場合などがあります 承認済ユーザーによって コントロールパネル設定が変更されていないか ( 例 : セキュリティグループ設定の変更 ) を確認します 該当するリソースでアンチウィルススキャンを実行し 未承認のソフトウェアを検出します 該当する IAM ロール ユーザー グループ または認証情報セットにアタッチされているアクセス許可を検証します 以下のアクセス許可を変更または更新する必要がある場合があります 低 (GetFindings (p. 123) レスポンスの severity パラメータの値は の範囲になります ) リソースが侵害される前にブロックした不審なアクティビティまたは悪意のあるアクティビティを示します 直ちに推奨されるアクションはありませんが 今後対応する上で参考にしてください 26

36 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果サンプルの生成 GuardDuty 結果サンプルの生成 結果サンプルを使用して GuardDuty が生成するさまざまな検索タイプを視覚化し 分析することができます 結果のサンプルを生成すると GuardDuty によって最新の結果リストにデータが入力され サポートされている検索タイプごとに 1 つの結果サンプルが強調表示されます GuardDuty の結果タイプの詳細については GuardDuty のアクティブな結果タイプ (p. 29) を参照してください サンプル結果を生成するには 次の手順を使用します 1. コンソール ( を開きます 2. ナビゲーションペインで [Settings] の [General] を選択します 3. [Settings] ページで [Sample findings] の [Generate sample findings] を選択します 4. ナビゲーションペインで [Findings] の [Current] を選択します サンプル結果が [Current findings] ページに表示されます 結果サンプルのタイトルは必ず [SAMPLE] から始まります 特定のサンプル結果を選択して 詳細を表示します PoC ( 概念実証 ) - 複数の一般的な GuardDuty 結果の自動生成 次のスクリプトを使用して いくつかの一般的な Amazon GuardDuty 検索結果を自動的に生成することができます guardduty-tester.template では AWS CloudFormation を使用して 踏み台ホスト ssh 接続できるテスター EC2 インスタンス および 2 つのターゲット EC2 インスタンスを持つ独立した環境を作成します 次に テスター EC2 インスタンス ターゲット Windows EC2 インスタンス ターゲット Linux EC2 インスタンス間のインタラクションを開始する guardduty_tester.sh を実行して GuardDuty が生成した結果を検出し通知する一般的な攻撃タイプの 5 つをシミュレートします 1. 前提条件として guardduty-tester.template と guardduty_tester.sh を実行するアカウントとリージョンで GuardDuty を有効にする必要があります GuardDuty の有効化の詳細については Amazon GuardDuty をセットアップする (p. 10) をご覧ください スクリプトを実行する各リージョンで 新規に生成するか既存の EC2 キーペアを使用する必要があります この EC2 キーペアは新しい CloudFormation スタックの作成時に guarddutytester.template スクリプトでパラメータとして使用されます EC2 キーペア生成の詳細については を参照してください 2. guardduty-tester.template を使用して新しい CloudFormation スタックを作成します スタック作成の詳細については を参照してください guardduty-tester.template を実行する前に 新しいスタックを識別するためのスタックの名前 スタックを実行するアベイラビリティーゾーン EC2 インスタンスの起動に使用するキーペアのパラメータ値を変更します 次に 対応するプライベートキーを使用して EC2 インスタンスで SSH 接続を行います guardduty-tester.template の実行と完了の所要時間は約 10 分です 環境を作成しテスター EC2 インスタンスに guardduty_tester.sh をコピーします 3. AWS CloudFormation コンソールで 新しく実行している CloudFormation スタックの横にあるチェックボックスを選択します 表示されている一連のタブで [Output] タブを選択します 踏み台ホストとテスター EC2 インスタンスに割り当てられている IP アドレスに注意します テスター EC2 インスタンスで SSH 接続を行うには 両方の IP アドレスが必要になります 4. 踏み台ホストからインスタンスにログインするため ~/.ssh/config ファイルで次のエントリを作成します 27

37 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の結果タイプの形式 Host bastion HostName Elastic IP Address of Bastion User ec2-user IdentityFile ~/.ssh/your-ssh-key.pem Host tester ForwardAgent yes HostName Local IP Address of RedTeam Instance User ec2-user IdentityFile ~/.ssh/your-ssh-key.pem ProxyCommand ssh bastion nc %h %p ServerAliveInterval 240 これで $ ssh テスターを呼び出しターゲット EC2 インスタンスにログインできます 踏み台ホストを介して EC2 インスタンスの設定や接続を行う場合の詳細情報については blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/ を参照してください 5. テスター EC2 インスタンスに接続したら guardduty_tester.sh を実行して テスターとターゲット EC2 インスタンス間のインタラクションの開始 攻撃のシミュレート GuardDuty の結果を生成します GuardDuty の結果タイプの形式 GuardDuty は AWS 環境内で不審な動作や予期しない動作を検出すると 結果を生成します 結果は GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です 結果の詳細 (p. 23) には 発生した結果 不審な動作に関与している AWS リソース このアクティビティの発生日時などの情報が含まれます 結果の詳細で最も役立つ情報の 1 つは 結果タイプです 結果タイプの目的は 潜在的なセキュリティ問題について簡潔でわかりやすい説明を提供することです たとえば GuardDuty の Recon:EC2/ PortProbeUnprotectedPort 結果タイプは AWS 環境の EC2 インスタンスに保護されていないポートがあり これを攻撃者が見つけようとしていることを迅速に知らせます GuardDuty では さまざまな結果タイプを次の形式で生成します ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.ThreatFamilyVariant!Artifact 形式の各部分について以下に説明します ThreatPurpose は 脅威または潜在的な攻撃の主な目的についての説明です 現行リリースの GuardDuty では ThreatPurpose を以下の値に設定できます Backdoor この値では AWS リソースが攻撃を受けていることを知らせます また ホームのコマンドアンドコントロール (C&C) サーバーに連絡し 悪意のあるアクティビティに対処する詳細な手順を受け取ることができます Behavior この値は 特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンが GuardDuty で検出されたことを示します Cryptocurrency この値は ビットコインなどの暗号通貨に関連付けられたソフトウェアが GuardDuty で検出されたことを示します Pentest AWS リソースの所有者や承認された担当者は オープンなセキュリティグループや制限が少なすぎるアクセスキーなどの脆弱性を見つけるために AWS アプリケーションに対して意図的にテストを実行する場合があります これらのペンテストは 攻撃者が気づく前に脆弱なリソースを特定してロックダウンする目的で実行されます ただし 承認済みペンテスターが使用する一部のツールは一般的なものであるため 不正なユーザーや攻撃者がこのテストに便乗して利用する場合があります GuardDuty では このようなアクティビティの真の意図は特定できませんが この Pentest 値により このようなアクティビティが GuardDuty で検出されたこと および既知のペンテストツールで 28

38 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty のアクティブな結果タイプ 生成されたアクティビティと類似していることを示します したがって これは攻撃の可能性があります Persistence ( 永続性 )- この値は AWS 環境の IAM ユーザーが確立されたベースラインとは異なる動作を行っていることを示します たとえば この IAM ユーザーにはネットワーク設定の更新履歴あるいは AWS ユーザーまたはリソースにアタッチされたポリシーやアクセス権限を更新した履歴がない場合などです Recon この値は 偵察攻撃が進行中であり ポートを調査したり ユーザーやデータベーステーブルをリストアップしたりするなど AWS 環境の脆弱性を探そうとしていることを示すます ResourceConsumption - この値は AWS 環境の IAM ユーザーが確立されたベースラインとは異なる動作を行っていることを示します たとえば この IAM ユーザーには EC2 インスタンスを起動した履歴がないなどの場合です Stealth この値は 攻撃のアクションや形跡を巧みに隠そうとしていることを示します たとえば 攻撃者が匿名化したプロキシサーバーを使用し アクティビティの真の意図をほぼ判断不能にしている場合があります Trojan この値は 悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示します この種のソフトウェアは合法的なプログラムを装う場合があり ユーザーが誤って実行することがあります 脆弱性を特定して自動的に実行されることもあります UnauthorizedAccess この値は 承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します ResourceTypeAffected この結果では 攻撃対象の候補として特定された AWS リソースを示します 現行リリースの GuardDuty では EC2 インスタンスと IAM ユーザー ( およびその認証情報 ) のみが 影響を受けるリソースとして GuardDuty の結果で識別できます ThreatFamilyName GuardDuty で検出された全体的な脅威または潜在的な悪意のあるアクティビティの説明です たとえば NetworkPortUnusual の値は GuardDuty の結果で識別された EC2 インスタンスに 同じ結果で識別された特定のリモートポートでの通信履歴がないことを示します ThreatFamilyVariant GuardDuty で検出された ThreatFamily の特定のバリアントを記述します 通常 攻撃者は攻撃の機能をわずかに変更して新しいバリアントを作成します Artifact 攻撃で使用されているツールが所有する特定のリソースを示します たとえば 結果タイプ CryptoCurrency:EC2/BitcoinTool.B!DNS の DNS は EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを示します GuardDuty のアクティブな結果タイプ Important 新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください 現在のリリースで GuardDuty は以下の脅威について結果タイプを生成します Backdoor Behavior CryptoCurrency PenTest 永続性 Recon ResourceConsumption Stealth Trojan UnauthorizedAccess 29

39 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Backdoor 結果タイプ GuardDuty の Backdoor 結果タイプ このセクションでは アクティブな脅威の結果タイプ Backdoor について説明します 新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は 結果が生成されるときのさまざまな基準に基づいて変更される可能性があります トピック Backdoor:EC2/XORDDOS (p. 30) Backdoor:EC2/Spambot (p. 30) Backdoor:EC2/C&CActivity.B!DNS (p. 30) Backdoor:EC2/XORDDOS デフォルトの重要度 : 高 結果の説明 EC2 インスタンスが通信しようとしている IP アドレスには XorDDos マルウェアが関連付けられています この結果では AWS 環境の EC2 インスタンスが通信しようとしている IP アドレスに XorDDos マルウェアが関連付けられていることを知らせます この EC2 インスタンスは侵害されている可能性があります XOR DDoS は Linux システムをハイジャックするトロイの木馬マルウェアです システムへのアクセスを得るため このマルウェアは Linux 上の Secure Shell (SSH) サービスへのパスワードを発見するためのブルートフォース攻撃を開始します SSH 認証情報を取得してログインに成功すると root 権限を使用して XOR DDoS をダウンロードしてインストールするスクリプトを実行します 次に このマルウェアはボットネットの一部として 他のターゲットに対する分散型サービス拒否 (DDoS) 攻撃を開始します 詳細については 侵害された EC2 インスタンスの修正 (p. 47) を参照してください Backdoor:EC2/Spambot デフォルトの重要度 : 中 結果の説明 EC2 インスタンスがポート 25 でリモートホストと通信して通常と異なる動作を示しています この結果では AWS 環境の EC2 インスタンスがポート 25 でリモートホストと通信していることを知らせます この EC2 インスタンスにはポート 25 での通信履歴が以前にないため この動作は通常と異なります 従来 ポート 25 はメールサーバーで SMTP 通信のために使用されています EC2 インスタンスが侵害されていて スパムを送信している可能性があります 詳細については 侵害された EC2 インスタンスの修正 (p. 47) を参照してください Backdoor:EC2/C&CActivity.B!DNS デフォルトの重要度 : 高 結果の説明 EC2 インスタンスは 既知のコマンドアンドコントロールサーバーに関連付けられるドメイン名をクエリしています 30

40 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Behavior 結果タイプ この結果では AWS 環境の EC2 インスタンスがアウトバウンド通信しているドメインが既知のコマンドアンドコントロール (C&C) サーバーに関連付けられているドメインをクエリしていることを知らせます EC2 インスタンスは侵害されている可能性があります C&C サーバーは ボットネットのメンバーにコマンドを発行するコンピュータです ボットネットは 一般的なタイプのマルウェアに感染して制御されている インターネットに接続されたデバイス (PC サーバー モバイルデバイス IoT デバイスなど ) のコレクションです 通常 ボットネットは マルウェアの配布や盗用された情報 ( クレジットカード番号など ) の収集に使用されます ボットネットの目的と構造によっては C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります 詳細については 侵害された EC2 インスタンスの修正 (p. 47) を参照してください Note この結果タイプを GuardDuty で生成する方法をテストするには テストドメイン guarddutyc2activityb.com に対して DNS リクエストを実行できます GuardDuty の Behavior 結果タイプ このセクションでは アクティブな脅威の結果タイプ Behavior について説明します 新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は 結果が生成されるときのさまざまな基準に基づいて変更される可能性があります トピック Behavior:EC2/NetworkPortUnusual (p. 31) Behavior:EC2/TrafficVolumeUnusual (p. 31) Behavior:EC2/NetworkPortUnusual デフォルトの重要度 : 中 結果の説明 EC2 インスタンスが通常と異なるポートでリモートホストと通信しています この結果では AWS 環境の EC2 インスタンスの動作が 確立されたベースラインから逸脱していることを知らせます この EC2 インスタンスには このリモートポートでの通信履歴がありません EC2 インスタンスは侵害されている可能性があります 詳細については 侵害された EC2 インスタンスの修正 (p. 47) を参照してください Behavior:EC2/TrafficVolumeUnusual デフォルトの重要度 : 中 結果の説明 EC2 インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成しています この結果では AWS 環境の EC2 インスタンスの動作が 確立されたベースラインから逸脱していることを知らせます この EC2 インスタンスでは このリモートホストに対してこれほど大量のトラフィックを送信した履歴がありません EC2 インスタンスは侵害されている可能性があります 詳細については 侵害された EC2 インスタンスの修正 (p. 47) を参照してください 31

41 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の CryptoCurrency 結果タイプ GuardDuty の CryptoCurrency 結果タイプ このセクションでは アクティブな脅威の結果タイプ CryptoCurrency について説明します 新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は 結果が生成されるときのさまざまな基準に基づいて変更される可能性があります トピック CryptoCurrency:EC2/BitcoinTool.B!DNS (p. 32) CryptoCurrency:EC2/BitcoinTool.B!DNS デフォルトの重要度 : 中 結果の説明 EC2 インスタンスは ビットコイン関連のアクティビティに関連付けられているドメイン名をクエリしています この結果によって AWS 環境の EC2 インスタンスで ビットコイン関連のアクティビティに関連付けられているドメインがクエリされていることが分かります ビットコインは 国際的な暗号通貨およびデジタル決済システムです ビットコインは ビットコインマイニングの報酬として作成されるほかに 他の通貨 製品 サービスと交換することができます この EC2 インスタンスを使用して暗号通貨を自己所有あるいは管理している または EC2 インスタンスがブロックチェーンアクティビティに参加していない限り EC2 インスタンスが侵害されている可能性があります 詳細については 侵害された EC2 インスタンスの修正 (p. 47) を参照してください GuardDuty の PenTest 結果タイプ このセクションでは アクティブな脅威の結果タイプ PenTest について説明します 新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は 結果が生成されるときのさまざまな基準に基づいて変更される可能性があります トピック PenTest:IAMUser/KaliLinux (p. 32) PenTest:IAMUser/KaliLinux デフォルトの重要度 : 中 結果の説明 API が Kali Linux EC2 インスタンスから呼び出されました この結果では Kali Linux が実行されているマシンで AWS アカウントの認証情報を使用して API コールが行われていることを知らせます 認証情報は侵害されている可能性があります Kali Linux は セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵 32