Amazon GuardDuty - Amazon Guard Duty ユーザーガイド

Size: px

Start display at page:

Download "Amazon GuardDuty - Amazon Guard Duty ユーザーガイド"

きよあつめいこ
7 years ago
Views:

1 Amazon GuardDuty Amazon Guard Duty ユーザーガイド

2 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty: Amazon Guard Duty ユーザーガイド Copyright 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.

3 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Table of Contents Amazon GuardDuty とは... 1 GuardDuty の料金表... 1 GuardDuty へのアクセス... 1 Amazon GuardDuty でデータソースを使用する方法... 2 AWS CloudTrail イベントログ... 2 VPC フローログ... 3 DNS ログ... 3 Amazon GuardDuty の用語と概念... 4 Amazon GuardDuty サービスの制限... 6 Amazon GuardDuty でサポートされているリージョン... 8 Amazon GuardDuty をセットアップする Amazon GuardDuty の有効化 Amazon GuardDuty 無料トライアルサービスにリンクされたロールの使用 GuardDuty のサービスにリンクされたロールのアクセス許可のサービスにリンクされたロールの作成 GuardDuty GuardDuty のサービスにリンクされたロールの編集 GuardDuty のサービスにリンクされたロールの削除 Amazon GuardDuty へのアクセスの管理 GuardDuty の有効化に必要なアクセス許可サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する GuardDuty での AWS 管理 ( 事前定義 ) ポリシーカスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 Amazon GuardDuty の結果 GuardDuty 結果の検索と分析 GuardDuty 結果のアーカイブエクスポートおよびフィードバックの提供結果のフィルタリングと自動アーカイブ GuardDuty 結果の重要度 GuardDuty 結果サンプルの生成 PoC ( 概念実証 ) - 複数の一般的な GuardDuty 結果の自動生成 GuardDuty の結果タイプの形式 GuardDuty のアクティブな結果タイプ GuardDuty の Backdoor 結果タイプ GuardDuty の Behavior 結果タイプ GuardDuty の CryptoCurrency 結果タイプ GuardDuty の PenTest 結果タイプ GuardDuty の永続性結果タイプ GuardDuty の Recon 検索タイプ GuardDuty の ResourceConsumption 結果タイプ GuardDuty の Stealth 結果タイプ GuardDuty の Trojan 検索タイプ GuardDuty の未許可結果タイプ GuardDuty のリタイアしている結果タイプ Behavior:IAMUser/InstanceLaunchUnusual CryptoCurrency:EC2/BitcoinTool.A GuardDuty によって検出されたセキュリティ問題の修復侵害された EC2 インスタンスの修正侵害された AWS 認証情報の修正信頼できる IP リストと脅威リストの使用信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 iii

4 Amazon GuardDuty Amazon Guard Duty ユーザーガイド信頼されている IP リストと脅威リストをアップロードするには信頼されている IP リストや脅威リストを有効化または無効化にする信頼されている IP リストと脅威リストを更新するには Amazon GuardDuty の AWS アカウントの管理 GuardDuty マスターアカウント GuardDuty メンバーアカウント GuardDuty コンソールでマスターアカウントとメンバーアカウントを指定する GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定複数のアカウントで同時に GuardDuty を有効にする Python スクリプトを使用して複数のアカウントで同時に GuardDuty を有効にする AWS CloudFormation StackSets を使用して複数のアカウントで同時に GuardDuty を有効にする.. 58 Amazon GuardDuty の停止または無効化を使用した API 呼び出しのログ作成内の情報例 : GuardDuty ログファイルエントリを使用した結果のモニタリング GuardDuty に関する CloudWatch イベントの通知頻度 CloudWatch イベントを使用したアーカイブされた GuardDuty 結果のモニタリング GuardDuty の CloudWatch イベントの形式のルールおよびターゲットの作成 Amazon GuardDuty API リファレンス AcceptInvitation リクエストの構文パスパラメータリクエストパラメータレスポンス要素エラー例 ArchiveFindings リクエストの構文パスパラメータリクエストパラメータレスポンス要素エラー例 CreateDetector リクエストの構文リクエストパラメータレスポンスの構文レスポンス要素エラー例 CreateFilter リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 CreateIPSet リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー iv

5 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 CreateMembers リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 CreateSampleFindings リクエストの構文パスパラメータリクエストパラメータレスポンス要素エラー例 CreateThreatIntelSet リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 DeclineInvitations リクエストの構文リクエストパラメータレスポンスの構文レスポンス要素エラー例 DeleteDetector リクエストの構文パスパラメータレスポンス要素エラー例 DeleteFilter リクエストの構文パスパラメータレスポンス要素エラー例 DeleteInvitations リクエストの構文リクエストパラメータレスポンスの構文レスポンス要素エラー例 DeleteIPSet リクエストの構文パスパラメータレスポンスの構文エラー例 DeleteMembers v

6 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 DeleteThreatIntelSet リクエストの構文パスパラメータレスポンスの構文エラー例 DisassociateFromMasterAccount リクエストの構文パスパラメータレスポンス要素エラー例 DisassociateMembers リクエストの構文リクエストパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 GetDetector リクエストの構文パスパラメータレスポンスの構文レスポンス要素エラー例 GetFilter リクエストの構文パスパラメータレスポンスの構文レスポンス要素エラー例 GetFindings リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 GetFindingsStatistics リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 vi

7 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GetInvitationsCount リクエストの構文レスポンスの構文レスポンス要素エラー例 GetIPSet リクエストの構文パスパラメータレスポンスの構文レスポンス要素エラー例 GetMasterAccount リクエストの構文パスパラメータレスポンスの構文レスポンス要素エラー例 GetMembers リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 GetThreatIntelSet リクエストの構文パスパラメータレスポンスの構文レスポンス要素エラー例 InviteMembers リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 ListDetectors リクエストの構文リクエストパラメータレスポンスの構文レスポンス要素エラー例 ListFilters リクエストの構文パスパラメータレスポンスの構文レスポンス要素エラー例 vii

8 Amazon GuardDuty Amazon Guard Duty ユーザーガイド ListFindings リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 ListInvitations リクエストの構文リクエストパラメータレスポンスの構文レスポンス要素エラー例 ListIPSets リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 ListMembers リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 ListThreatIntelSets リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 StartMonitoringMembers リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 StopMonitoringMembers リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 UnarchiveFindings リクエストの構文 viii

9 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータリクエストパラメータレスポンス要素エラー例 UpdateDetector リクエストの構文パスパラメータリクエストパラメータレスポンス要素エラー例 UpdateFilter リクエストの構文パスパラメータリクエストパラメータレスポンスの構文レスポンス要素エラー例 UpdateFindingsFeedback リクエストの構文リクエストパラメータリクエストパラメータレスポンス要素エラー例 UpdateIPSet リクエストの構文パスパラメータリクエストパラメータレスポンスの構文エラー例 UpdateThreatIntelSet リクエストの構文パスパラメータリクエストパラメータレスポンスの構文エラー例ドキュメント履歴以前の更新 AWS の用語集 ix

10 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の料金表 Amazon GuardDuty とは Amazon GuardDuty は次のデータソースを分析して処理する継続的なセキュリティモニタリングサービスです : VPC フローログ AWS CloudTrail イベントログ DNS ログ悪意のある IP やドメインのリストなどの脅威インテリジェンスフィードおよび機械学習を使用して AWS 環境内の予期しない潜在的に未許可なアクティビティや悪意のあるアクティビティを識別しますこのアクティビティには権限昇格や公開されている認証情報の使用悪意のある IP や URL ドメインとの通信などの問題も含まれますたとえば GuardDuty はマルウェアやマイニングビットコインに使われている侵害された EC2 インスタンスを検出できますまた AWS アカウントのアクセス動作をモニタリングして未許可のインフラストラクチャのデプロイ ( これまで使用されたことのないリージョンへのインスタンスのデプロイなど ) や異常な API コール ( パスワードポリシーがパスワードの強度が下がるものに変更されるなど ) など侵害の兆候を探します GuardDuty ではコンソールまたは Amazon CloudWatch イベントで表示することができるセキュリティの結果を生成して環境のステータスを通知しています GuardDuty の料金表 GuardDuty の料金の詳細については Amazon GuardDuty 料金表を参照してください GuardDuty へのアクセス次のいずれかの方法で GuardDuty を使用できます GuardDuty コンソールコンソールは GuardDuty にアクセスして使用するためのブラウザベースのインターフェイスです AWS SDK AWS にはさまざまなプログラミング言語およびプラットフォーム (Java Python Ruby.NET ios Android など ) のライブラリとサンプルコードで構成されたソフトウェア開発キット (SDK) が用意されています SDK は GuardDuty へのアクセス権限をプログラムによって作成するのに役立ちます AWS SDK のダウンロードやインストールなどの詳細についてはアマゾンウェブサービスのツールを参照してください GuardDuty HTTPS API サービスに HTTPS リクエストを直接発行できる GuardDuty HTTPS API を使用してプログラムによりとにアクセスできます詳細については Amazon GuardDuty API リファレンス (p. 67) を参照してください 1

11 Amazon GuardDuty Amazon Guard Duty ユーザーガイド AWS CloudTrail イベントログ Amazon GuardDuty でデータソースを使用する方法 AWS 環境で許可されず予期されないアクティビティを検出するために GuardDuty は AWS CloudTrail イベントログ VPC フローログおよび DNS ログを分析して処理しますこのようなデータソースからのログは Amazon S3 バケットに保存されます GuardDuty は HTTPS プロトコルを使用してこれらにアクセスしますこれらのデータソースから GuardDuty への通信中ログデータはすべて暗号化されます GuardDuty はこれらのログのさまざまなフィールドを抽出してプロファイリングと異常の検出を行った後ログを破棄します次のセクションでは GuardDuty でサポートされている各データソースを使用する方法の詳細を説明しますトピック AWS CloudTrail イベントログ (p. 2) VPC フローログ (p. 3) DNS ログ (p. 3) AWS CloudTrail イベントログ AWS CloudTrail はアカウントの AWS API コールの履歴を提供します履歴には AWS マネジメントコンソール AWS SDK コマンドラインツール高レベルの AWS サービスを使用した API コールが含まれます CloudTrail ではをサポートするサービス用に API を呼び出したユーザーとアカウント呼び出し元のソース IP アドレスおよび呼び出しの発生日時を特定することもできます詳細については AWS CloudTrail とはを参照してください管理イベントあるいはデータイベント ( またはその両方 ) のログを記録するように CloudTrail 証跡を設定できます管理イベントでは AWS アカウントのリソースで実行される管理オペレーションについての洞察が得られますたとえばセキュリティの設定 (IAM AttachRolePolicy API オペレーション ) デバイスの登録 (Amazon EC2 CreateDefaultVpc API オペレーション ) ルーティングデータのルールの設定 (Amazon EC2 CreateSubnet API オペレーション ) ログ記録の設定 (AWS CloudTrail CreateTrail API オペレーション ) などですデータイベントではリソース上またはリソース内で実行されたリソースオペレーションについての洞察が得られますたとえば Amazon S3 のオブジェクトレベルの API アクティビティ (GetObject DeleteObject および PutObject の API オペレーション ) AWS Lambda 関数の実行アクティビティ ( 呼び出し API) などです詳細については証跡のデータイベントと管理イベントのログ記録を参照してください現在のところ GuardDuty は CloudTrail 管理イベントのみを分析します CloudTrail で設定したログデータイベントがある場合データに基づいた分析と CloudTrail 自体が配信するログでは違いが生じます GuardDuty で CloudTrail をデータソースとして使用する場合のもう一つの重要な点は CloudTrail のグローバルイベントの取扱いと処理ですほとんどのサービスの場合イベントはアクションが発生したリージョンで記録されます AWS IAM AWS STS Amazon CloudFront や Route 53 などのグローバルサービスの場合イベントはグローバルサービスが含まれた任意の証跡に配信され発生した場所は米国東部 ( バージニア北部 ) リージョンであるとログに記録されます詳細についてはグローバルサービスイベントについてを参照してください GuardDuty は CloudTrail がすべてのリージョンに送信するグローバルイベントを含むリージョンに届くすべてのイベントを処理しますこれにより GuardDuty は各リージョンでユーザーとロールプロファイルを維持し悪意のある認証情報をリージョン間で確実に検出できます 2

12 Amazon GuardDuty Amazon Guard Duty ユーザーガイド VPC フローログ Important GuardDuty はサポートされているすべての AWS リージョンで有効にすることが強く推奨されていますこのように設定することでお客様が能動的に使用していないリージョンでも許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できますまた GuardDuty ではグローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます GuardDuty がサポートされているすべてのリージョンで有効になっていない場合グローバルサービスに関連するアクティビティを検出する機能は低下します VPC フローログ VPC フローログは Amazon EC2 のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャします詳細については VPC フローログを参照してください Important GuardDuty を有効にするとただちに VPC フローログのデータの分析が開始されますフローログの単独ストリームおよび重複ストリームの VPC フローログ機能から直接 VPC フローログイベントを使用しますこのプロセスによる既存のフローログ設定への影響はありません GuardDuty はフローログを管理しませんまたアカウントによるフローログへのアクセスを可能にすることはありませんフローログのアクセスと保持期間を管理するには VPC フローログ機能を設定する必要がありますフローログへの GuardDuty アクセスには追加料金はかかりませんただし保持するフローログを有効にするかアカウントで使用した場合は既存の料金表が適用されます詳細についてはフローログの使用を参照してください DNS ログ EC2 インスタンスで AWS DNS リゾルバーを使用している場合 ( デフォルト設定 ) GuardDuty は内部の AWS DNS リゾルバーを介してリクエストと応答の DNS ログにアクセスして処理することができますサードパーティの DNS リゾルバー ( 例 : OpenDNS または GoogleDNS) を使用している場合または独自の DNS リゾルバーを設定している場合は GuardDuty でこのデータソースからデータにアクセスしたり処理したりすることはできません 3

13 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty の用語と概念 Amazon GuardDuty の使用を開始するにあたりその主要コンセプトを確認しておくとメリットがありますアカウントリソースを含む標準のアマゾンウェブサービス () アカウントアカウントを使用して AWS にサインインし GuardDuty を有効にできます他のアカウントを招待して GuardDuty を有効にしのアカウントに関連付けることもできます招待が受け入れられるとアカウントは GuardDuty のマスターアカウントとして指定されこれに追加されたアカウントはメンバーアカウントになりますこれによりマスターアカウントの代わりに GuardDuty の結果を表示および管理することができますマスターアカウントのユーザーは自分のアカウントおよびすべてのメンバーアカウントの GuardDuty を設定できるだけでなく GuardDuty の結果を表示および管理できます GuardDuty に最大 1000 のメンバーアカウントを登録できますメンバーアカウントのユーザーは自分のアカウントの GuardDuty を設定できるだけでなく GuardDuty の結果を表示および管理できます (GuardDuty 管理コンソールまたは GuardDuty API を使用 ) メンバーアカウントのユーザーは他のメンバーアカウントの結果を表示または管理することはできません AWS アカウントを GuardDuty のマスターアカウントとメンバーアカウントに同時に設定することはできません AWS アカウントで承諾できるメンバーシップの招待は 1 つのみですメンバーシップの招待の承諾はオプションです詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してください自動アーカイブ自動アーカイブルールを使用すると特定の属性の組み合わせを作成して結果数を抑えることができますたとえば特定の VPC のインスタンス特定の AMI を実行するインスタンス特定の EC2 タグがあるインスタンスなどのみでを自動アーカイブするためにフィルタを使ってルールを定義できますこのルールによりポートスキャンの検索結果は条件を満たすインスタンスから自動的にアーカイブされますただし暗号化通貨のマイニングなど他の悪意のある行為を行っているインスタンスが GuardDuty によって検出された場合にはアラートが出されます GuardDuty マスターアカウントで定義された自動アーカイブルールは GuardDuty メンバーアカウントに適用されます GuardDuty メンバーアカウントは自動アーカイブルールを変更できません自動アーカイブルールでは GuardDuty は依然としてすべての結果を生成します自動アーカイブルールはすべてのアクティビティの完全で不変な履歴を維持しながら結果の数を抑えますデータソース結果データのセットのオリジンまたは場所です AWS 環境で許可されず予期されないアクティビティを検出するために GuardDuty は AWS CloudTrail イベントログ VPC フローログおよび DNS ログを分析して処理します詳細については Amazon GuardDuty でデータソースを使用する方法 (p. 2) を参照してください GuardDuty によって発見された潜在的なセキュリティの問題詳細については Amazon GuardDuty の結果 (p. 23) を参照してください 4

14 Amazon GuardDuty Amazon Guard Duty ユーザーガイド結果はセキュリティ問題に関する詳細な説明と合わせて GuardDuty コンソールに表示されます GetFindings (p. 123) および ListFindings (p. 167) HTTPS API オペレーションを呼び出して生成された結果を取得することもできますイベントを使用しての結果を表示することもできます GuardDuty は結果を HTTPS プロトコル経由で Amazon CloudWatch に送信します詳細についてはを使用した結果のモニタリング (p. 64) を参照してください信頼できる IP リスト高い安全性で AWS 環境と通信することを目的としてホワイトリストに登録されている IP アドレスのリスト GuardDuty では信頼されている IP リストに基づく結果は生成されません詳細については信頼できる IP リストと脅威リストの使用 (p. 49) を参照してください脅威リスト既知の悪意のある IP アドレスのリスト GuardDuty は脅威リストに基づいて結果を生成します詳細については信頼できる IP リストと脅威リストの使用 (p. 49) を参照してください 5

15 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty サービスの制限各リージョンの AWS アカウントごとの Amazon GuardDuty の制限は以下のとおりですリソースデフォルトの制限コメントディテクター 1 各リージョンの AWS アカウントごとに作成およびアクティブ化できるディテクターリソースの最大数これはハード制限ですディテクターの制限の引き上げをリクエストすることはできません GuardDuty フィルタ 100 各リージョンの AWS アカウントごとに保存できるフィルタの最大数これはハード制限ですフィルターの制限の引き上げをリクエストすることはできません信頼できる IP セット 1 各リージョンの AWS アカウントごとにアップロードおよびアクティブ化できる信頼できる IP セットの最大数これはハード制限です信頼できる IP セットの制限の引き上げをリクエストすることはできません脅威インテリジェンスセット 6 各リージョンの AWS アカウントごとにアップロードおよびアクティブ化できる脅威インテリジェンスセットの最大数これはハード制限です脅威インテリジェンスセットの制限の引き上げをリクエストすることはできません 6

16 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリソースデフォルトの制限コメント GuardDuty メンバーアカウント 1,000 各リージョンの AWS アカウント ( マスターアカウント ) ごとに追加できるメンバーアカウントの最大数これはハード制限ですメンバーアカウントの制限の引き上げをリクエストすることはできません GuardDuty 結果の保持時間 90 日間 GuardDuty で生成された結果の最大保存日数これはハード制限です結果の保持日数の制限の引き上げをリクエストすることはできません 7

17 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty でサポートされているリージョン現在 Amazon GuardDuty は次の AWS リージョンでサポートされていますアジアパシフィック ( ムンバイ ) アジアパシフィック ( ソウル ) アジアパシフィック ( シンガポール ) アジアパシフィック ( シドニー ) アジアパシフィック ( 東京 ) カナダ ( 中部 ) 欧州 ( フランクフルト ) 欧州 ( アイルランド ) 欧州 ( ロンドン ) EU ( パリ ) 米国東部 ( バージニア北部 ) 米国東部 ( オハイオ ) 米国西部 ( 北カリフォルニア ) 米国西部 ( オレゴン ) 南米 ( サンパウロ ) AWS GovCloud ( 米国 ) Important 次のリストは他のサポートされている AWS リージョンと比較して AWS GovCloud ( 米国 ) リージョンで GuardDuty を使用する場合の違いを示しています詳細については AWS Gov Cloud ( 米国 ) ユーザーガイドの Amazon GuardDuty トピックを参照してくださいでを使用してリソースを設定することはサポートされていませんサポートがないための StackSet 機能を使用して同時に複数のアカウントでを有効にすることはできませんこの制限を回避するには Amazon GuardDuty の AWS アカウントの管理 (p. 53) で説明されている Python スクリプトを使用しますリージョン間のデータ転送はサポートされていません以下の DNS 関連の結果タイプは AWS GovCloud (US) では生成されません Trojan:EC2/BlackholeTraffic!DNS Trojan:EC2/DriveBySourceTraffic!DNS Trojan:EC2/DropPoint!DNS Backdoor:EC2/C&CActivity.B!DNS CryptoCurrency:EC2/BitcoinTool.B!DNS Trojan:EC2/DGADomainRequest.B Trojan:EC2/DNSDataExfiltration Trojan:EC2/DGADomainRequest.C!DNS Trojan:EC2/PhishingDomainRequest!DNS 8

18 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Important GuardDuty はサポートされているすべての AWS リージョンで有効にすることが強く推奨されていますこのように設定することでお客様が能動的に使用していないリージョンでも許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できますまた GuardDuty では IAM などのグローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます GuardDuty がサポートされているすべてのリージョンで有効になっていない場合グローバルサービスに関連するアクティビティを検出する機能は低下します 9

19 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty の有効化 Amazon GuardDuty をセットアップする Amazon GuardDuty を有効にするには AWS アカウントが必要ですアカウントをお持ちでない場合は次に説明する手順にしたがってアカウントを作成してください AWS にサインアップするには 1. を開き [AWS アカウントの作成 ] を選択します Note AWS アカウントのルートユーザー認証情報を使用してすでに AWS マネジメントコンソールにサインインしている場合は [Sign in to a different account ( 別のアカウントにサインインする )] を選択します IAM 認証情報を使用してすでにコンソールにサインインしている場合は [Sign-in using root account credentials ( ルートアカウントの資格情報を使ってサインイン )] を選択します [ 新しい AWS アカウントの作成 ] を選択します 2. オンラインの手順に従いますサインアップ手順の一環として通話呼び出しを受け取り電話のキーパッドを用いて確認コードを入力することが求められますトピック Amazon GuardDutyの有効化 (p. 10) Amazon GuardDuty 無料トライアル (p. 12) Amazon GuardDuty のサービスにリンクされたロールの使用 (p. 12) Amazon GuardDuty の有効化 GuardDuty を使用するには最初に有効にする必要があります GuardDuty を有効にする手順は以下のとおりです 1. GuardDuty を有効にするために使用する IAM アイデンティティ ( ユーザーロールグループ ) には必須のアクセス許可が必要です GuardDuty を有効にするために必要なアクセス許可を付与するには次のポリシーを IAM ユーザーグループまたはロールにアタッチします Note 以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ 10

20 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty の有効化, "guardduty:*" ], "Resource": "*" "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com" ] 2. ステップ 1 の IAM アイデンティティの認証情報を使用して GuardDuty コンソールにサインインします最初に GuardDuty コンソールを開いたときに [Get Started] [Enable GuardDuty] の順に選択します GuardDuty の有効化については以下の点に注意してください GuardDuty にはサービスにリンクされたロールとして AWSServiceRoleForAmazonGuardDuty が割り当てられますこのサービスにリンクされたロールには AWS CloudTrail VPC フローログおよび DNS ログのイベントを GuardDuty で直接使用および分析しセキュリティの結果を生成するために必要なアクセス権限と信頼ポリシーが含まれています AWSServiceRoleForAmazonGuardDuty の詳細を表示するには [Welcome to GuardDuty] ページの [View service role permissions] を選択してください詳細についてはサービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 (p. 16) を参照してくださいサービスにリンクされたロールの詳細についてはサービスにリンクされたロールの使用を参照してください GuardDuty を有効にすると直ちに AWS CloudTrail VPC フローログおよび DNS ログからの独立したデータのストリームのプルおよび分析を開始しセキュリティ結果を生成します GuardDuty はこのデータを調査のためにのみ使用するため GuardDuty を使用して AWS CloudTrail VPC フローログおよび DNS ログを管理したりイベントやログをお客様が利用することはできませんこれらのサービスを GuardDuty に関係なく有効にしている場合はそれぞれのコンソールまたは API を使用して引き続きこれらのデータソースの設定を構成するオプションを使用します GuardDuty が統合するデータソースに関する詳細については AWS CloudTrail とはおよびフローログを使用するを参照してください Important GuardDuty はサポートされているすべての AWS リージョンで有効にすることが強く推奨されていますこのように設定することでお客様が能動的に使用していないリージョンでも許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できますまた GuardDuty では IAM などのグローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます GuardDuty がサポートされているすべてのリージョンで有効になっていない場合グローバルサービスに関連するアクティビティを検出する機能は低下します GuardDuty は無料またはわずかな追加料金でアクティブなワークロードをデプロイしていないリージョンをモニタリングできます GuardDuty はいつでも無効化して AWS CloudTrail イベント VPC フローログ DNS ログの処理や分析を停止できます詳細については Amazon GuardDuty の停止または無効化 (p. 61) を参照してください 11

21 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty 無料トライアル Amazon GuardDuty 無料トライアル初めて GuardDuty を有効にすると AWS アカウントは 30 日 GuardDuty 無料トライアルで自動的に登録されます GuardDuty の無料トライアルの詳細については GuardDuty コンソールの [Free trial] ページを参照 ( ナビゲーションペインの [Free trial]/[details] を選択 ) してください詳細には無料トライアルのタイムライン上における現在の位置と無料トライアル終了後の GuardDuty の日次見積コストが表示されますこの見積りは無料トライアル期間中に GuardDuty で毎日処理および分析したログに基づきます Important この推定日次コストにはを有効化したすべての AWS アカウントおよびリージョンにおけるの使用に対する課金は表示されません推定日次コストは現在サインインしているアカウントおよびリージョンにおけるの使用状況のみに基づきます無料トライアルの終了まで GuardDuty の使用に対して課金されることはありません GuardDuty の料金の詳細については Amazon GuardDuty 料金表を参照してください Amazon GuardDuty のサービスにリンクされたロールの使用 Amazon GuardDuty は AWS Identity and Access Management (IAM) サービスにリンクされたロール ) を使用しますサービスにリンクされたロールはに直接リンクされた一意のタイプのロールです IAMGuardDuty サービスにリンクされたロールは GuardDuty による事前定義済みのロールでありユーザーに代わって GuardDuty から AWS の他のサービスを呼び出すために必要なすべてのアクセス権限を備えていますサービスにリンクされたロールを使用すると必要なアクセス許可を手動で追加する必要がなくなるため GuardDuty の設定が簡単になります GuardDuty はこのサービスにリンクされたロールのアクセス許可を定義し特にアクセス許可が定義されている場合を除き GuardDuty のみがそのロールを引き受けます定義されるアクセス権限には信頼ポリシーやアクセス許可ポリシーなどがありそのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません GuardDuty は GuardDuty が利用できるすべてのリージョンでサービスにリンクされたロールの使用をサポートします詳細については Amazon GuardDuty でサポートされているリージョン (p. 8) を参照してください GuardDuty サービスにリンクされたロールの削除はそれが有効になっているすべてのリージョンで GuardDuty を無効にした後でのみ行うことができますアクセスに必要なアクセス許可を誤って削除してしまうことがなくなり GuardDuty リソースは保護されますサービスにリンクされたロールをサポートする他のサービスについては IAM ユーザーガイドの IAM と連携する AWS サービスでサービスにリンクされたロール列がはいになっているサービスを確認してくださいサービスにリンクされたロールに関するドキュメントをサービスで表示するには [ はい ] リンクを選択します GuardDuty のサービスにリンクされたロールのアクセス許可 GuardDuty ではサービスにリンクされたロールとして AWSServiceRoleForAmazonGuardDuty を使用します allows Amazon GuardDuty to consume and analyze events directly from AWS CloudTrail, VPC Flow Logs, and DNS logs and generate security findings 12

22 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty のサービスにリンクされたロールのアクセス許可 AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールはロールを引き受ける上で次のサービスを信頼します guardduty.amazonaws.com ロールのアクセス権限ポリシーは指定したリソースに対して以下のアクションを実行することを GuardDuty に許可しますアクション : ec2:describeinstances アクション : ec2:describeimages リソース : arn:aws:iam::*:role/aws-service-role/guardduty.amazonaws.com/ AWSServiceRoleForAmazonGuardDuty IAM エンティティ ( ユーザーグループロールなど ) がサービスにリンクされたロールを作成編集削除できるようにするにはアクセス権限を設定する必要があります AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを適切に作成するには GuardDuty を使用する IAM アイデンティティに必要なアクセス権限が付与されている必要があります必要なアクセス許可を付与するには次のポリシーをこの IAM ユーザーグループまたはロールにアタッチします Note 以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*", "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com", "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" ] 13

23 Amazon GuardDuty Amazon Guard Duty ユーザーガイドのサービスにリンクされたロールの作成 GuardDuty のサービスにリンクされたロールの作成 GuardDuty GuardDuty を初めて有効にするか以前に有効にしていなかったサポート対象リージョンで GuardDuty を有効にすると AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールが自動的に作成されます AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは IAM コンソール IAM CLI または IAM API を使用して手動で作成することもできます Important マスター GuardDuty アカウント用に作成されたサービスにリンクされたロールはメンバーの GuardDuty アカウントには適用されません手動によるロールの作成の詳細については IAM ユーザーガイドのサービスにリンクされたロールを作成するを参照してください GuardDuty のサービスにリンクされたロールの編集 GuardDuty では AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを編集することはできませんサービスにリンクされたロールを作成すると多くのエンティティによってロールが参照される可能性があるためロール名を変更することはできませんただし IAM を使用したロールの説明の編集はできます詳細については IAM ユーザーガイドのサービスにリンクされたロールの編集を参照してください GuardDuty のサービスにリンクされたロールの削除サービスにリンクされたロールが必要な機能またはサービスが不要になった場合にはそのロールを削除することをお勧めしますそうすることで使用していないエンティティがアクティブにモニタリングされたりメンテナンスされたりすることがなくなります Important AWSServiceRoleForAmazonGuardDuty を削除するためには有効になっているすべてのリージョンで最初に GuardDuty を無効にする必要がありますサービスにリンクされたロールを削除しようとしたときに GuardDuty サービスが無効になっていない場合削除は失敗します詳細については Amazon GuardDuty の停止または無効化 (p. 61) を参照してください GuardDuty を無効にすると AWSServiceRoleForAmazonGuardDuty は自動的に削除されません後で GuardDuty を再度有効にする場合既存の AWSServiceRoleForAmazonGuardDuty を使用して起動されます IAM を使用してサービスにリンクされたロールを手動で削除するには IAM コンソール IAM CLI または IAM API を使用して AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを削除します詳細についてはサービスにリンクされたロールの削除を参照してください IAM ユーザーガイド 14

24 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の有効化に必要なアクセス許可 Amazon GuardDuty へのアクセスの管理トピック GuardDuty の有効化に必要なアクセス許可 (p. 15) サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 (p. 16) IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する (p. 17) GuardDuty の有効化に必要なアクセス許可このセクションではコンソールまたはプログラム ( API または AWS CLI のコマンド ) からを最初に有効にするために必要な IAM アイデンティティ ( ユーザーグループロール ) 別のアクセス許可について説明します GuardDuty を有効にするために必要なアクセス許可を付与するには次のポリシーを IAM ユーザーグループまたはロールにアタッチします Note 以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*", "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com", "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], 15

25 Amazon GuardDuty Amazon Guard Duty ユーザーガイドサービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" ] サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任このセクションでは GuardDuty サービス自体が動作するためとユーザーの代わりにオペレーション ( 結果の生成など ) を実行するために必要なアクセス許可について説明しますコンソールまたはプログラム (API オペレーションまたは AWS CLI コマンド ) を使用してを有効にすると AWSServiceRoleForAmazonGuardDuty というサービスにリンクされたロールが自動的に割り当てられますサービスにリンクされたロールは AWS のサービス ( この場合は GuardDuty) に直接リンクされた一意なタイプの IAM ロールですサービスにリンクされたロールはサービスによって事前に定義されユーザーに代わってサービスが AWS の他のサービスを呼び出すために必要なアクセス権限をすべて含んでいますこのリンクされたサービス ( この場合は GuardDuty) でもサービスにリンクされたロールを作成変更削除する方法を定義しますサービスにリンクされたロールの詳細についてはサービスにリンクされたロールの使用を参照してくださいを有効にするとサービスにリンクされたロールとしてが自動的に作成されますこれには VPC フローログおよび DNS ログのイベントをで直接使用および分析しセキュリティの結果を生成するために必要なアクセス許可と信頼ポリシーが含まれていますサービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty を編集することはできません IAM コンソールでこのサービスにリンクされたロールのアクセス権限を表示したりこのロール自体を削除したりできますサービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty を削除するにはまずその AWS アカウントのすべてのリージョンで GuardDuty を無効 (p. 61) にしておく必要があります AWSServiceRoleForAmazonGuardDuty にアタッチされたアクセス許可を表示するには GuardDuty コンソールの [Setting/General] タブで [View service role permissions] ボタンを選択しますサービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty にアタッチされているアクセス権限ポリシードキュメントは次のとおりです "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "ec2:describeinstances", "ec2:describeimages" ], "Resource": "*" ] サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty にアタッチされている信頼ポリシーは次のとおりです 16

26 Amazon GuardDuty Amazon Guard Duty ユーザーガイド IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する "Version": " ", "Statement": [ "Effect": "Allow", "Principal": "Service": "guardduty.amazonaws.com", "Action": "sts:assumerole" ] IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任するこのセクションでは GuardDuty へのアクセス権をさまざまな IAM アイデンティティ ( ユーザーグループロール ) に委任する方法について説明しますデフォルトでは GuardDuty リソース ( ディテクター信頼された IP リスト脅威リスト結果メンバーマスターアカウントおよび呼び出し ) へのアクセスはリソースが作成された AWS アカウントの所有者に限定されます所有者の場合は GuardDuty へのフルアクセスまたは制限付きのアクセス権をアカウントのさまざまな IAM アイデンティティに付与できます IAM アクセスポリシーの作成の詳細については AWS Identity and Access Management (IAM) を参照してくださいトピック GuardDuty での AWS 管理 ( 事前定義 ) ポリシー (p. 17) カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 (p. 18) カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与 (p. 19) カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否 (p. 19) カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 (p. 20) GuardDuty での AWS 管理 ( 事前定義 ) ポリシー AWS は AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユースケースに対応しますこれらの管理ポリシーは一般的ユースケースに必要なアクセス権限を付与することでどの権限が必要なのかをユーザーが調査する必要をなくすことができます詳細については IAM ユーザーガイドの AWS 管理ポリシーを参照してくださいアカウントのユーザーにアタッチ可能な以下の AWS 管理ポリシーは GuardDuty に固有のものです AmazonGuardDutyFullAccess は GuardDuty のすべての機能にアクセスできますただし信頼されている IP リストおよび脅威リストを GuardDuty で操作する場合 ID のアクセスはこの管理ポリシーによって制限されます具体的には AmazonGuardDutyFullAccess 管理ポリシーがアタッチされている ID はアップロードされた信頼されている IP リストと脅威リストの名前変更および無効化のみを実行できますさまざまな ID に信頼されている IP リストと脅威リストの操作 ( 名前変更および無効化に加えてリストのアップロード有効化削除場所の更新が含まれます ) を行うためのフルアクセスを付与するには次のアクションが IAM ユーザーグループまたはロールにアタッチされたアクセス権ポリシーに存在することを確認してください 17

27 Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" AmazonGuardDutyReadOnlyAccess は GuardDuty への読み取り専用アクセスを提供しますカスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与以下のカスタムポリシーを使用して IAM ユーザーロールまたはグループに GuardDuty コンソールと GuardDuty のすべてのオペレーションへのフルアクセスを付与できます Note 以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*", "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com", "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" ] 18

28 Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与次のポリシーを使用して IAM ユーザーロールまたはグループに GuardDuty への読み取り専用アクセス権を付与できます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:listmembers", "guardduty:getmembers", "guardduty:listinvitations", "guardduty:listdetectors", "guardduty:getdetector", "guardduty:listfindings", "guardduty:getfindings", "guardduty:listipsets", "guardduty:getipset", "guardduty:listthreatintelsets", "guardduty:getthreatintelset", "guardduty:getmasteraccount", "guardduty:getinvitationscount", "guardduty:getfindingsstatistics" ], "Resource": "*" ] カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否次のポリシーを使用し IAM ユーザーロールまたはグループに対して GuardDuty の結果へのアクセスを拒否できますユーザーは結果やその詳細は表示できませんがその他すべての GuardDuty のオペレーションにはアクセスできます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:createdetector", "guardduty:deletedetector", "guardduty:updatedetector", "guardduty:getdetector", "guardduty:listdetectors", "guardduty:createipset", "guardduty:deleteipset", "guardduty:updateipset", "guardduty:getipset", 19

29 , Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 "guardduty:listipsets", "guardduty:createthreatintelset", "guardduty:deletethreatintelset", "guardduty:updatethreatintelset", "guardduty:getthreatintelset", "guardduty:listthreatintelsets", "guardduty:archivefindings", "guardduty:unarchivefindings", "guardduty:createsamplefindings", "guardduty:createmembers", "guardduty:invitemembers", "guardduty:getmembers", "guardduty:deletemembers", "guardduty:disassociatemembers", "guardduty:startmonitoringmembers", "guardduty:stopmonitoringmembers", "guardduty:listmembers", "guardduty:getmasteraccount", "guardduty:disassociatefrommasteraccount", "guardduty:acceptinvitation", "guardduty:listinvitations", "guardduty:getinvitationscount", "guardduty:declineinvitations", "guardduty:deleteinvitations" ], "Resource": "*" "Effect": "Allow", "Action": [ "iam:createservicelinkedrole" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty", "Condition": "StringLike": "iam:awsservicename": "guardduty.amazonaws.com", "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" ] カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限ディテクター ID に基づいて GuardDuty に対するユーザーのアクセスを定義するには次のオペレーションを除くすべての GuardDuty オペレーションをカスタム IAM ポリシー内で使用できます guardduty:createdetector guardduty:declineinvitations guardduty:deleteinvitations 20

30 Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 guardduty:getinvitationscount guardduty:listdetectors guardduty:listinvitations IAM ポリシーの以下のオペレーションを使用し IPSet ID および ThreatIntelSet ID に基づいて GuardDuty に対するユーザーのアクセス権を定義できます guardduty:deleteipset guardduty:deletethreatintelset guardduty:getipset guardduty:getthreatintelset guardduty:updateipset guardduty:updatethreatintelset 以下の例では前述のオペレーションのいくつかを使用してポリシーを作成する方法を示しますこのポリシーではユーザーはリージョンでディテクター ID としてを使用しオペレーションを実行できます "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:updatedetector", ], "Resource": "arn:aws:guardduty:us-east-1: :detector/ " ] このポリシーではユーザーはリージョンでディテクター ID として IPSet ID としてを使用しオペレーションを実行できます Note GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス許可がそのユーザーにあることを確認します詳細については信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 (p. 50) を参照してください "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:updateipset", ], "Resource": "arn:aws:guardduty:us-east-1: :detector/ / ipset/000000" ] このポリシーではユーザーはリージョンで任意のディテクター ID と IPSet ID としてを使用しオペレーションを実行できます 21

31 Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 Note GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス許可がそのユーザーにあることを確認します詳細については信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 (p. 50) を参照してください "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:updateipset", ], "Resource": "arn:aws:guardduty:us-east-1: :detector/*/ ipset/000000" ] このポリシーではユーザーはリージョンでディテクター ID としてと任意の IPSet ID を使用しオペレーションを実行できます Note GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス許可がそのユーザーにあることを確認します詳細については信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 (p. 50) を参照してください *" "Version": " ", "Statement": [ "Effect": "Allow", "Action": [ "guardduty:updateipset", ], "Resource": "arn:aws:guardduty:us-east-1: :detector/ /ipset/ ] 22

32 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果の検索と分析 Amazon GuardDuty の結果環境で潜在的に悪意のある予期しないアクティビティを検出するとによって結果が生成されます GuardDuty の結果は GuardDuty コンソールの [Findings] ページ GuardDuty の CLI や API オペレーションを使用して表示および管理できます GuardDuty の結果は Amazon CloudWatch イベントを使用して表示することもできます詳細についてはを使用した結果のモニタリング (p. 64) を参照してくださいこのトピックには次の情報を説明していますトピック GuardDuty 結果の検索と分析 (p. 23) GuardDuty 結果のアーカイブエクスポートおよびフィードバックの提供 (p. 25) 結果のフィルタリングと自動アーカイブ (p. 25) GuardDuty 結果の重要度 (p. 26) GuardDuty 結果サンプルの生成 (p. 27) PoC ( 概念実証 ) - 複数の一般的な GuardDuty 結果の自動生成 (p. 27) GuardDuty の結果タイプの形式 (p. 28) GuardDuty のアクティブな結果タイプ (p. 29) GuardDuty のリタイアしている結果タイプ (p. 46) GuardDuty によって検出されたセキュリティ問題の修復 (p. 47) GuardDuty 結果の検索と分析 GuardDuty の結果を表示および分析するには次の手順を使用します 1. GuardDuty コンソール ( を開き [Findings] を選択します 2. 特定の結果を選択して詳細を表示します詳細ペインが表示され次の情報を確認できます結果の概要セクション次の情報が含まれます検索タイプセキュリティ上の潜在的な問題の簡潔で読みやすい説明詳細については GuardDuty の結果タイプの形式 (p. 28) を参照してください重大度結果には重大度 ( 高中低 ) が割り当てられています詳細については GuardDuty 結果の重要度 (p. 26) を参照してくださいリージョン結果が作成された AWS リージョン Note サポートされるリージョンの詳細については Amazon GuardDuty でサポートされているリージョン (p. 8) を参照してくださいカウントアカウントで GuardDuty を有効にした後でで結果が生成された回数アカウント ID この結果の生成をに求めるアクティビティを実行したアカウントの ID リソース ID この結果の生成をに求めるアクティビティを実行したリソースの ID 脅威リスト名 - この結果の生成を GuardDuty に求めるアクティビティに関する IP アドレスまたはドメイン名が含まれている脅威リストの名前最終アクセスこの結果の生成を GuardDuty に求めるアクティビティが発生した時間 23

33 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果の検索と分析 Note GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンで表示されます一方 JSON エクスポートおよび CLI 出力では UTC でタイムスタンプが表示されます結果の [Resource affected] セクション次の情報が含まれますリソースロール該当のリソースは攻撃対象となる可能性があるためこの値は通常 Target に設定されますリソースタイプ該当するリソースのタイプこの値は AccessKey または Instance のいずれかです現在サポートされている結果タイプは EC2 インスタンスまたは AWS 認証情報のいずれかに対する悪意のあるアクティビティの可能性を示します詳細については GuardDuty によって検出されたセキュリティ問題の修復 (p. 47) を参照してくださいインスタンス ID 結果の生成を GuardDuty に求めるアクティビティを行った EC2 インスタンスの ID ポート GuardDuty に結果の生成を求めるアクティビティ中に使用された接続のポート番号アクセスキー ID 結果の生成をに求めるアクティビティを行ったユーザーのアクセスキー ID プリンシパル ID 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーのプリンシパル ID ユーザー型結果の生成を GuardDuty に求めるアクティビティを行ったユーザーのタイプ詳細については CloudTrail useridentity 要素を参照してくださいユーザー名結果の生成を GuardDuty に求めるアクティビティを行ったユーザーの名前結果の [Action] セクション次のような情報が含まれますアクションタイプ結果アクティビティのタイプ次のいずれかの値を指定できます : NETWORK_CONNECTION AWS_API_CALL PORT_PROBE または DNS_REQUEST NETWORK_CONNECTION はトラフィックが識別済み EC2 インスタンスとリモートホスト間で交わされたことを示します AWS_API_CALL は AWS API が呼び出されたことを示します DNS_REQUEST は識別済みの EC2 インスタンスがドメイン名を照会したことを示します PORT_PROBE はリモートホストが複数の開かれているポートで識別済みの EC2 インスタンスを調査したことを示します API 呼び出されたため GuardDuty にこの結果の生成を求める API オペレーションの名前 Note これらのオペレーションは CloudTrail によってキャプチャした API 以外のイベントを含めることもできます詳細については CloudTrail によってキャプチャされる API 以外のイベントを参照してくださいサービス名この結果を生成した AWS のサービス (GuardDuty) の名前接続方向結果の生成を GuardDuty に求めるアクティビティで確認されたネットワーク接続方向値は INBOUND OUTBOUND および UNKNOWN です INBOUND はリモートホストがお客様のアカウントの識別済み EC2 インスタンスのローカルポートへの接続を開始したことを示します OUTBOUND は識別済み EC2 インスタンスがリモートホストへの接続を開始したことを示します UNKNOWN は GuardDuty が接続の方向を判別できなかったことを示しますプロトコル結果の生成を GuardDuty に求めるアクティビティで確認されたネットワーク接続プロトコル結果の [Actor] セクション次のような情報が含まれます場所結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスの位置情報組織名結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスの ISP 組織情報 IP アドレス結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスポート結果の生成を GuardDuty に求めるアクティビティが行われたポート番号ドメイン結果の生成を GuardDuty に求めるアクティビティが行われたドメイン 24 結果の [Additional information] セクション次のような情報が含まれます

34 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果のアーカイブエクスポートおよびフィードバックの提供脅威リスト名この結果の生成を GuardDuty に求めるアクティビティに関する IP アドレスまたはドメイン名が含まれている脅威リストの名前サンプル結果サンプルかどうかを示します異常履歴で確認されていないアクティビティの詳細これらには通常とは異なる ( 以前に確認されていない ) ユーザー場所時間などが含まれます異常プロトコル GuardDuty に結果の生成を求めるアクティビティが行われたネットワーク接続プロトコル GuardDuty 結果のアーカイブエクスポートおよびフィードバックの提供以下の手順で結果をアーカイブするか最新のものとしてマークし GuardDuty の結果にフィードバックを提供します 1. 検索結果をアーカイブまたはエクスポートするには検索結果のリストから検索結果を選択し [ アクション ] メニューを選択します次に [Archive] ( アーカイブ ) または [ エクスポート ] をクリックします結果をエクスポートすると完全な JSON ドキュメントが表示されます Note 現時点の GuardDuty では GuardDuty のメンバーアカウントのユーザーが結果をアーカイブすることはできません Note GuardDuty 結果の信頼度が 0 に設定されている場合のみ [ 信頼度 ] フィールドが完全な結果の JSON に表示されます 0 に設定された [ 信頼度 ] フィールドがあることはこの GuardDuty 結果が誤検出であることを示します 2. 結果を有用または無用とマークしてフィードバックを提供するには結果のなかから選んでその後上向きの親指ボタンまたは下向きの親指ボタンを選択します 3. アーカイブされたまたは現在の結果を表示するには結果のリストの上にあるフィルタアイコンを選択し [Archived ( アーカイブ )] または [Current ( 現在 )] チェックボックスをオンにします Important 上記の手順を使用して検索結果を手動でアーカイブする場合はこの検索後に発生した結果 ( アーカイブ完了後に生成された結果 ) はすべて現在の検索結果のリストに追加されます現在のリストにこの結果を表示しない場合は自動アーカイブすることができます詳細については結果のフィルタリングと自動アーカイブ (p. 25) を参照してください結果のフィルタリングと自動アーカイブ以下の手順を使用して GuardDuty 結果の日付フィールドのフィルタを作成します 1. GuardDuty 結果の [Add filter criteria ( フィルタ条件の追加 )] バーを選択します 2. 展開された属性のリストでフィルタの条件として指定する属性を選択しますたとえばアカウント ID またはアクションの種類です特定のフィルタの条件として 1 つの属性または最大 50 の属性を指定できます 25

35 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果の重要度フィルタ条件として指定できる属性の詳細なリストについては CreateFilter (p. 75) の filtercriteria プロパティの詳細を参照してください 3. 表示されたテキストフィールドで選択された各属性の値を指定し [ 適用 ] を選択します Note 特定のフィルタでは属性値 ( 例 : アカウント ID) に適用する等しい条件または等しくない条件を使用する属性の場合最大 50 まで値を指定できます 4. 指定された属性とその値 ( フィルタ条件 ) をフィルタとして保存するには [ 保存 ] の順に選択しますフィルタの名前と説明を入力し [Auto-archive] ( 自動アーカイブ ) チェックボックスを使用してこのフィルタに一致する検索結果を自動的にアーカイブするかどうかを指定します次に [ 完了 ] を選択します詳細については自動アーカイブ (p. 4) を参照してください Important 検索結果が自動アーカイブ ( 上記ステップ 4 参照 ) されている場合はこの検索後に発生した結果 ( アーカイブ完了後に生成された結果 ) はすべてアーカイブ済みの検索結果のリストに追加されます GuardDuty 結果の重要度 GuardDuty の結果ごとに重要度レベルと値が割り当てられますこれにより結果相互を優先順位付けする必要性が減り結果が示すセキュリティ問題の可能性に対するレスポンスを決定できます重大度の値は 0.1 ~ 8.9 の範囲内のいずれかです Note 値 0 と 9.0 から 10.0 が将来使用するために現在予約されています GuardDuty の結果で現在定義されている重要度レベルと値を次に示します高 (GetFindings (p. 123) レスポンスの severity パラメータの値はの範囲になります ) 該当するリソース (EC2 インスタンスまたは IAM ユーザー認証情報のセット ) は侵害されており承認されていない目的に活発に使用されていますこのセキュリティ問題は優先事項として対応し直ちに修正措置を講じることをお勧めしますたとえば EC2 インスタンスをクリーンアップまたは終了するか IAM 認証情報を更新します中 (GetFindings (p. 123) レスポンスの severity パラメータの値はの範囲になります ) 不審なアクティビティを示しますたとえば大量のトラフィックが返されている先のリモートホストが Tor ネットワークの背後に隠れていたりアクティビティが通常確認されている動作から逸脱していたりしますできるだけ早く関連するリソースを調査することをお勧めしますいくつかの修正手順を次に示します未承認のユーザーがインストールした新しいソフトウェアでリソースの動作が変更されていないか確認してくださいたとえば通常より高いトラフィックが許可されている場合や新しいポートの通信が有効化されている場合などがあります承認済ユーザーによってコントロールパネル設定が変更されていないか ( 例 : セキュリティグループ設定の変更 ) を確認します該当するリソースでアンチウィルススキャンを実行し未承認のソフトウェアを検出します該当する IAM ロールユーザーグループまたは認証情報セットにアタッチされているアクセス許可を検証します以下のアクセス許可を変更または更新する必要がある場合があります低 (GetFindings (p. 123) レスポンスの severity パラメータの値はの範囲になります ) リソースが侵害される前にブロックした不審なアクティビティまたは悪意のあるアクティビティを示します直ちに推奨されるアクションはありませんが今後対応する上で参考にしてください 26

36 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty 結果サンプルの生成 GuardDuty 結果サンプルの生成結果サンプルを使用して GuardDuty が生成するさまざまな検索タイプを視覚化し分析することができます結果のサンプルを生成すると GuardDuty によって最新の結果リストにデータが入力されサポートされている検索タイプごとに 1 つの結果サンプルが強調表示されます GuardDuty の結果タイプの詳細については GuardDuty のアクティブな結果タイプ (p. 29) を参照してくださいサンプル結果を生成するには次の手順を使用します 1. コンソール ( を開きます 2. ナビゲーションペインで [Settings] の [General] を選択します 3. [Settings] ページで [Sample findings] の [Generate sample findings] を選択します 4. ナビゲーションペインで [Findings] の [Current] を選択しますサンプル結果が [Current findings] ページに表示されます結果サンプルのタイトルは必ず [SAMPLE] から始まります特定のサンプル結果を選択して詳細を表示します PoC ( 概念実証 ) - 複数の一般的な GuardDuty 結果の自動生成次のスクリプトを使用していくつかの一般的な Amazon GuardDuty 検索結果を自動的に生成することができます guardduty-tester.template では AWS CloudFormation を使用して踏み台ホスト ssh 接続できるテスター EC2 インスタンスおよび 2 つのターゲット EC2 インスタンスを持つ独立した環境を作成します次にテスター EC2 インスタンスターゲット Windows EC2 インスタンスターゲット Linux EC2 インスタンス間のインタラクションを開始する guardduty_tester.sh を実行して GuardDuty が生成した結果を検出し通知する一般的な攻撃タイプの 5 つをシミュレートします 1. 前提条件として guardduty-tester.template と guardduty_tester.sh を実行するアカウントとリージョンで GuardDuty を有効にする必要があります GuardDuty の有効化の詳細については Amazon GuardDuty をセットアップする (p. 10) をご覧くださいスクリプトを実行する各リージョンで新規に生成するか既存の EC2 キーペアを使用する必要がありますこの EC2 キーペアは新しい CloudFormation スタックの作成時に guarddutytester.template スクリプトでパラメータとして使用されます EC2 キーペア生成の詳細についてはを参照してください 2. guardduty-tester.template を使用して新しい CloudFormation スタックを作成しますスタック作成の詳細についてはを参照してください guardduty-tester.template を実行する前に新しいスタックを識別するためのスタックの名前スタックを実行するアベイラビリティーゾーン EC2 インスタンスの起動に使用するキーペアのパラメータ値を変更します次に対応するプライベートキーを使用して EC2 インスタンスで SSH 接続を行います guardduty-tester.template の実行と完了の所要時間は約 10 分です環境を作成しテスター EC2 インスタンスに guardduty_tester.sh をコピーします 3. AWS CloudFormation コンソールで新しく実行している CloudFormation スタックの横にあるチェックボックスを選択します表示されている一連のタブで [Output] タブを選択します踏み台ホストとテスター EC2 インスタンスに割り当てられている IP アドレスに注意しますテスター EC2 インスタンスで SSH 接続を行うには両方の IP アドレスが必要になります 4. 踏み台ホストからインスタンスにログインするため ~/.ssh/config ファイルで次のエントリを作成します 27

37 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の結果タイプの形式 Host bastion HostName Elastic IP Address of Bastion User ec2-user IdentityFile ~/.ssh/your-ssh-key.pem Host tester ForwardAgent yes HostName Local IP Address of RedTeam Instance User ec2-user IdentityFile ~/.ssh/your-ssh-key.pem ProxyCommand ssh bastion nc %h %p ServerAliveInterval 240 これで $ ssh テスターを呼び出しターゲット EC2 インスタンスにログインできます踏み台ホストを介して EC2 インスタンスの設定や接続を行う場合の詳細情報については blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/ を参照してください 5. テスター EC2 インスタンスに接続したら guardduty_tester.sh を実行してテスターとターゲット EC2 インスタンス間のインタラクションの開始攻撃のシミュレート GuardDuty の結果を生成します GuardDuty の結果タイプの形式 GuardDuty は AWS 環境内で不審な動作や予期しない動作を検出すると結果を生成します結果は GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です結果の詳細 (p. 23) には発生した結果不審な動作に関与している AWS リソースこのアクティビティの発生日時などの情報が含まれます結果の詳細で最も役立つ情報の 1 つは結果タイプです結果タイプの目的は潜在的なセキュリティ問題について簡潔でわかりやすい説明を提供することですたとえば GuardDuty の Recon:EC2/ PortProbeUnprotectedPort 結果タイプは AWS 環境の EC2 インスタンスに保護されていないポートがありこれを攻撃者が見つけようとしていることを迅速に知らせます GuardDuty ではさまざまな結果タイプを次の形式で生成します ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.ThreatFamilyVariant!Artifact 形式の各部分について以下に説明します ThreatPurpose は脅威または潜在的な攻撃の主な目的についての説明です現行リリースの GuardDuty では ThreatPurpose を以下の値に設定できます Backdoor この値では AWS リソースが攻撃を受けていることを知らせますまたホームのコマンドアンドコントロール (C&C) サーバーに連絡し悪意のあるアクティビティに対処する詳細な手順を受け取ることができます Behavior この値は特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンが GuardDuty で検出されたことを示します Cryptocurrency この値はビットコインなどの暗号通貨に関連付けられたソフトウェアが GuardDuty で検出されたことを示します Pentest AWS リソースの所有者や承認された担当者はオープンなセキュリティグループや制限が少なすぎるアクセスキーなどの脆弱性を見つけるために AWS アプリケーションに対して意図的にテストを実行する場合がありますこれらのペンテストは攻撃者が気づく前に脆弱なリソースを特定してロックダウンする目的で実行されますただし承認済みペンテスターが使用する一部のツールは一般的なものであるため不正なユーザーや攻撃者がこのテストに便乗して利用する場合があります GuardDuty ではこのようなアクティビティの真の意図は特定できませんがこの Pentest 値によりこのようなアクティビティが GuardDuty で検出されたことおよび既知のペンテストツールで 28

38 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty のアクティブな結果タイプ生成されたアクティビティと類似していることを示しますしたがってこれは攻撃の可能性があります Persistence ( 永続性 )- この値は AWS 環境の IAM ユーザーが確立されたベースラインとは異なる動作を行っていることを示しますたとえばこの IAM ユーザーにはネットワーク設定の更新履歴あるいは AWS ユーザーまたはリソースにアタッチされたポリシーやアクセス権限を更新した履歴がない場合などです Recon この値は偵察攻撃が進行中でありポートを調査したりユーザーやデータベーステーブルをリストアップしたりするなど AWS 環境の脆弱性を探そうとしていることを示すます ResourceConsumption - この値は AWS 環境の IAM ユーザーが確立されたベースラインとは異なる動作を行っていることを示しますたとえばこの IAM ユーザーには EC2 インスタンスを起動した履歴がないなどの場合です Stealth この値は攻撃のアクションや形跡を巧みに隠そうとしていることを示しますたとえば攻撃者が匿名化したプロキシサーバーを使用しアクティビティの真の意図をほぼ判断不能にしている場合があります Trojan この値は悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示しますこの種のソフトウェアは合法的なプログラムを装う場合がありユーザーが誤って実行することがあります脆弱性を特定して自動的に実行されることもあります UnauthorizedAccess この値は承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します ResourceTypeAffected この結果では攻撃対象の候補として特定された AWS リソースを示します現行リリースの GuardDuty では EC2 インスタンスと IAM ユーザー ( およびその認証情報 ) のみが影響を受けるリソースとして GuardDuty の結果で識別できます ThreatFamilyName GuardDuty で検出された全体的な脅威または潜在的な悪意のあるアクティビティの説明ですたとえば NetworkPortUnusual の値は GuardDuty の結果で識別された EC2 インスタンスに同じ結果で識別された特定のリモートポートでの通信履歴がないことを示します ThreatFamilyVariant GuardDuty で検出された ThreatFamily の特定のバリアントを記述します通常攻撃者は攻撃の機能をわずかに変更して新しいバリアントを作成します Artifact 攻撃で使用されているツールが所有する特定のリソースを示しますたとえば結果タイプ CryptoCurrency:EC2/BitcoinTool.B!DNS の DNS は EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを示します GuardDuty のアクティブな結果タイプ Important 新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください現在のリリースで GuardDuty は以下の脅威について結果タイプを生成します Backdoor Behavior CryptoCurrency PenTest 永続性 Recon ResourceConsumption Stealth Trojan UnauthorizedAccess 29

39 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Backdoor 結果タイプ GuardDuty の Backdoor 結果タイプこのセクションではアクティブな脅威の結果タイプ Backdoor について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック Backdoor:EC2/XORDDOS (p. 30) Backdoor:EC2/Spambot (p. 30) Backdoor:EC2/C&CActivity.B!DNS (p. 30) Backdoor:EC2/XORDDOS デフォルトの重要度 : 高結果の説明 EC2 インスタンスが通信しようとしている IP アドレスには XorDDos マルウェアが関連付けられていますこの結果では AWS 環境の EC2 インスタンスが通信しようとしている IP アドレスに XorDDos マルウェアが関連付けられていることを知らせますこの EC2 インスタンスは侵害されている可能性があります XOR DDoS は Linux システムをハイジャックするトロイの木馬マルウェアですシステムへのアクセスを得るためこのマルウェアは Linux 上の Secure Shell (SSH) サービスへのパスワードを発見するためのブルートフォース攻撃を開始します SSH 認証情報を取得してログインに成功すると root 権限を使用して XOR DDoS をダウンロードしてインストールするスクリプトを実行します次にこのマルウェアはボットネットの一部として他のターゲットに対する分散型サービス拒否 (DDoS) 攻撃を開始します詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Backdoor:EC2/Spambot デフォルトの重要度 : 中結果の説明 EC2 インスタンスがポート 25 でリモートホストと通信して通常と異なる動作を示していますこの結果では AWS 環境の EC2 インスタンスがポート 25 でリモートホストと通信していることを知らせますこの EC2 インスタンスにはポート 25 での通信履歴が以前にないためこの動作は通常と異なります従来ポート 25 はメールサーバーで SMTP 通信のために使用されています EC2 インスタンスが侵害されていてスパムを送信している可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Backdoor:EC2/C&CActivity.B!DNS デフォルトの重要度 : 高結果の説明 EC2 インスタンスは既知のコマンドアンドコントロールサーバーに関連付けられるドメイン名をクエリしています 30

40 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Behavior 結果タイプこの結果では AWS 環境の EC2 インスタンスがアウトバウンド通信しているドメインが既知のコマンドアンドコントロール (C&C) サーバーに関連付けられているドメインをクエリしていることを知らせます EC2 インスタンスは侵害されている可能性があります C&C サーバーはボットネットのメンバーにコマンドを発行するコンピュータですボットネットは一般的なタイプのマルウェアに感染して制御されているインターネットに接続されたデバイス (PC サーバーモバイルデバイス IoT デバイスなど ) のコレクションです通常ボットネットはマルウェアの配布や盗用された情報 ( クレジットカード番号など ) の収集に使用されますボットネットの目的と構造によっては C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Note この結果タイプを GuardDuty で生成する方法をテストするにはテストドメイン guarddutyc2activityb.com に対して DNS リクエストを実行できます GuardDuty の Behavior 結果タイプこのセクションではアクティブな脅威の結果タイプ Behavior について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック Behavior:EC2/NetworkPortUnusual (p. 31) Behavior:EC2/TrafficVolumeUnusual (p. 31) Behavior:EC2/NetworkPortUnusual デフォルトの重要度 : 中結果の説明 EC2 インスタンスが通常と異なるポートでリモートホストと通信していますこの結果では AWS 環境の EC2 インスタンスの動作が確立されたベースラインから逸脱していることを知らせますこの EC2 インスタンスにはこのリモートポートでの通信履歴がありません EC2 インスタンスは侵害されている可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Behavior:EC2/TrafficVolumeUnusual デフォルトの重要度 : 中結果の説明 EC2 インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成していますこの結果では AWS 環境の EC2 インスタンスの動作が確立されたベースラインから逸脱していることを知らせますこの EC2 インスタンスではこのリモートホストに対してこれほど大量のトラフィックを送信した履歴がありません EC2 インスタンスは侵害されている可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください 31

41 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の CryptoCurrency 結果タイプ GuardDuty の CryptoCurrency 結果タイプこのセクションではアクティブな脅威の結果タイプ CryptoCurrency について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック CryptoCurrency:EC2/BitcoinTool.B!DNS (p. 32) CryptoCurrency:EC2/BitcoinTool.B!DNS デフォルトの重要度 : 中結果の説明 EC2 インスタンスはビットコイン関連のアクティビティに関連付けられているドメイン名をクエリしていますこの結果によって AWS 環境の EC2 インスタンスでビットコイン関連のアクティビティに関連付けられているドメインがクエリされていることが分かりますビットコインは国際的な暗号通貨およびデジタル決済システムですビットコインはビットコインマイニングの報酬として作成されるほかに他の通貨製品サービスと交換することができますこの EC2 インスタンスを使用して暗号通貨を自己所有あるいは管理しているまたは EC2 インスタンスがブロックチェーンアクティビティに参加していない限り EC2 インスタンスが侵害されている可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください GuardDuty の PenTest 結果タイプこのセクションではアクティブな脅威の結果タイプ PenTest について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック PenTest:IAMUser/KaliLinux (p. 32) PenTest:IAMUser/KaliLinux デフォルトの重要度 : 中結果の説明 API が Kali Linux EC2 インスタンスから呼び出されましたこの結果では Kali Linux が実行されているマシンで AWS アカウントの認証情報を使用して API コールが行われていることを知らせます認証情報は侵害されている可能性があります Kali Linux はセキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵 32

42 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の永続性結果タイプ入テストツールですこのツールを攻撃者が利用し EC2 設定の脆弱性を見つけて AWS 環境への未承認のアクセスを取得する場合があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください GuardDuty の永続性結果タイプこのセクションではアクティブな脅威の結果タイプ Persistence について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック Persistence:IAMUser/NetworkPermissions (p. 33) Persistence:IAMUser/ResourcePermissions (p. 33) Persistence:IAMUser/UserPermissions (p. 34) Persistence:IAMUser/NetworkPermissions デフォルトの重要度 : 中結果の説明 IAM ユーザーが通常 AWS アカウントのセキュリティグループルート ACL のネットワークアクセス許可を変更するために使用される API を呼び出したこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこの API 呼び出しの履歴はありません認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果はネットワーク構成設定が不審な状況下で変更された場合にトリガーされますたとえば AWS 環境内のある IAM ユーザーがいままで行ったことのない CreateSecurityGroup API の呼び出しを行った場合などです攻撃者はよくセキュリティグループの変更を試みさまざまなポートで特定のインバウンドトラフィックを許可させて彼らが EC2 インスタンスに埋め込んだボットにアクセスする能力を向上させようとします Persistence:IAMUser/ResourcePermissions デフォルトの重要度 : 中結果の説明 IAM ユーザーが通常 AWS アカウントのさまざまなリソースのセキュリティアクセスポリシーを変更するために使用される API を呼び出したこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこの API 呼び出しの履歴はありません認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果は AWS リソースにアタッチされたポリシーまたはアクセス権限の変更が検出された場合にトリガーされますたとえば AWS 環境内のある IAM ユーザーがいままで行ったことのない PutBucketPolicy API の呼び出しを行った場合などです Amazon S3 など一部のサービスではリソース 33

43 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Recon 検索タイプに対する IAM プリンシパルアクセスを 1 つ以上付与するリソースにアタッチされたアクセス権限をサポートします盗まれた認証情報が使用されると攻撃者はリソースにアタッチされたポリシーを変更し自身にそのリソースに対する今後のアクセスを付与できます Persistence:IAMUser/UserPermissions デフォルトの重要度 : 中結果の説明 IAM ユーザーが通常 AWS アカウントの IAM ユーザーグループポリシーを追加変更削除するために使用される API を呼び出したこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこの API 呼び出しの履歴はありません認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果は AWS 環境のユーザー関連アクセス権限に対する不審な変更によってトリガーされますたとえば AWS 環境内のある IAM ユーザーがいままで行ったことのない AttachUserPolicy API の呼び出しを行った場合などです攻撃者は発見された後であってもアカウントにアクセスする能力を最大化するために盗まれた認証情報を使用して新規ユーザーの作成既存ユーザーに対するアクセスポリシーの追加アクセスキーの作成などを行うことができますアカウントの所有者が特定の IAM ユーザーまたはパスワードが盗まれたことに気づいてアカウントから削除したとしても不正に作成した管理者 IAM ユーザーによって作成された他のユーザーを削除せずその AWS アカウントに攻撃者がアクセスすることが可能なままになっている場合があります GuardDuty の Recon 検索タイプこのセクションではアクティブな脅威の結果タイプ Recon について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック Recon:EC2/PortProbeUnprotectedPort (p. 34) Recon:IAMUser/TorIPCaller (p. 35) Recon:IAMUser/MaliciousIPCaller.Custom (p. 35) Recon:IAMUser/MaliciousIPCaller (p. 35) Recon:EC2/Portscan (p. 36) Recon:IAMUser/NetworkPermissions (p. 36) Recon:IAMUser/ResourcePermissions (p. 36) Recon:IAMUser/UserPermissions (p. 37) Recon:EC2/PortProbeUnprotectedPort デフォルトの重要度 : 低結果の説明 EC2 インスタンスの保護されていないポートを既知の悪意のあるホストが探しています 34

44 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Recon 検索タイプこの結果では AWS 環境の EC2 インスタンスにセキュリティグループアクセスコントロールリスト (ACL) またはホストのファイアウォール (Linux IPChains など ) でブロックされていないポートがありこれをインターネットの既知のスキャナーが巧みに見つけようとしていることを知らせます保護されていないポートとして 22 または 3389 が特定されこの EC2 インスタンスの接続に通常 SSH/ RDP を使用しているためどちらのポートに対するアクセスもブロックできない場合これらのポートへのアクセスを社内ネットワーク IP アドレス空間の IP アドレスにのみ許可することで公開を制限できます Linux でポート 22 へのアクセスを制限するには UserGuide/authorizing-access-to-an-instance.html を参照してください Windows でポート 3389 へのアクセスを制限するにはを参照してください詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Recon:IAMUser/TorIPCaller デフォルトの重要度 : 中結果の説明 API が Tor 出口ノードの IP アドレスから呼び出されましたこの結果では AWS リソースをリストアップまたは記述できる API オペレーションが Tor 出口ノードの IP アドレスから呼び出されたことを知らせます Tor は匿名通信を有効化するソフトウェアです通信を暗号化し一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます最後の Tor ノードは出口ノードと呼ばれますこれは偵察攻撃であり匿名ユーザーが悪意のある目的で情報の収集や AWS リソースへのアクセスを試行している可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください Recon:IAMUser/MaliciousIPCaller.Custom デフォルトの重要度 : 中結果の説明 API がカスタム脅威リストにある IP アドレスから呼び出されましたこの結果では AWS リソースをリストアップまたは記述できる API オペレーションがアップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせます GuardDuty で脅威リストは既知の悪意のある IP アドレスで構成されます GuardDuty はアップロードされた脅威リストに基づいて結果を生成しますこれは偵察攻撃であり匿名ユーザーが悪意のある目的で情報の収集や AWS リソースへのアクセスを試行している可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください Recon:IAMUser/MaliciousIPCaller デフォルトの重要度 : 中結果の説明 API が既知の悪意のある IP アドレスから呼び出されましたこの結果では AWS リソースをリストアップまたは記述できる API オペレーションが脅威リスト内の IP アドレスから呼び出されたことを知らせます GuardDuty で脅威リストは既知の悪意のある IP アドレスで構成されます GuardDuty はカスタムまたは内部の脅威リストに基づいて結果を生成しますこれは偵察攻撃であり匿名ユーザーが悪意のある目的で情報の収集や AWS リソースへのアクセスを試行 35

45 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Recon 検索タイプしている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください Recon:EC2/Portscan デフォルトの重要度 : 中結果の説明 EC2 インスタンスがリモートホストにアウトバウンドポートスキャンを実行していますこの結果では AWS 環境の EC2 インスタンスが短時間内に複数のポートに接続しようとしておりポートスキャン攻撃を行っている可能性があることを知らせますポートスキャン攻撃の目的は開いているポートを見つけマシンで実行されているサービスを発見してそのオペレーティングシステムを特定することです EC2 インスタンスは侵害されている可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Recon:IAMUser/NetworkPermissions デフォルトの重要度 : 中結果の説明 IAM ユーザーが通常 AWS アカウントの既存のセキュリティグループ ACL ルートのネットワークアクセス許可を検出するために使用される API を呼び出したこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこの API 呼び出しの履歴はありません認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果は AWS 環境のネットワーク構成設定が不審な状況下で調査された場合にトリガーされますたとえば AWS 環境内のある IAM ユーザーがいままで行ったことのない DescribeSecurityGroups API の呼び出しを行った場合などです攻撃者は盗まれた認証情報を使用してネットワークアクセス権限の変更やネットワーク設定の既存の穴を利用するといった次の段階の攻撃を実行する前にこのようなネットワーク構成設定の偵察行動を行うことがあります Recon:IAMUser/ResourcePermissions デフォルトの重要度 : 中結果の説明 IAM ユーザーが通常 AWS アカウントのさまざまなリソースに関連付けられたアクセス権限を検出するために使用される API を呼び出したこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこの API 呼び出しの履歴はありません認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果は AWS アカウントのリソースアクセス許可が不審な状況下で調査された場合にトリガーされますたとえば IAM ユーザーがいままで行ったことのない DescribeInstances API の呼び出しを行った場合などです攻撃者は盗まれた認証情報を使用して重要な情報を見つけたり手に入れた認証情報の能力を確認するためにこのような AWS リソースの偵察行動を行うことがあります 36

46 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の ResourceConsumption 結果タイプ Recon:IAMUser/UserPermissions デフォルトの重要度 : 中結果の説明 IAM ユーザーが通常 AWS アカウントのユーザーグループポリシーアクセス権限を検出するために使用される API を呼び出したこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこの API 呼び出しの履歴はありません認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果は AWS 環境のユーザーアクセス権限が不審な状況下で調査された場合にトリガーされますたとえば IAM ユーザーがいままで行ったことのない ListInstanceProfilesForRole API の呼び出しを行った場合などです攻撃者は盗まれた認証情報を使用して手に入れた認証情報の能力を確認するためや侵入拡大に対して防御が薄くより権限の強い認証情報を見つけるためにこのような IAM ユーザーやロールの偵察行動を行うことがあります GuardDuty の ResourceConsumption 結果タイプこのセクションではアクティブな脅威の結果タイプ ResourceConsumption について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック ResourceConsumption:IAMUser/ComputeResources (p. 37) ResourceConsumption:IAMUser/ComputeResources デフォルトの重要度 : 中結果の説明 IAM ユーザーが通常 EC2 インスタンスなどのコンピューティングリソースを起動するために使用される API を呼び出したこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこの API 呼び出しの履歴はありません認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果は AWS 環境の EC2 インスタンスが不審な状況下で起動された場合にトリガーされますたとえば IAM ユーザーがいままで行ったことのない RunInstances API の呼び出しを行った場合などですこれは攻撃者が盗まれた認証情報を使用してコンピューティング時間を盗難 ( 暗号通貨マイニングやパスワードのクラッキングなど ) している可能性を示しますまたは攻撃者がお客様の AWS 環境の EC2 インスタンスおよび認証情報を使用してアカウントへのアクセスを維持している可能性を示している場合もあります 37

47 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Stealth 結果タイプ GuardDuty の Stealth 結果タイプこのセクションではアクティブな脅威の結果タイプ Stealth について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック Stealth:IAMUser/PasswordPolicyChange (p. 38) Stealth:IAMUser/CloudTrailLoggingDisabled (p. 38) Stealth:IAMUser/LoggingConfigurationModified (p. 38) Stealth:IAMUser/PasswordPolicyChange デフォルトの重要度 : 低結果の説明アカウントのパスワードポリシーが弱化されています AWS アカウントのパスワードポリシーが弱化されていますたとえばアカウントの削除必要な文字数を減らすような更新記号や数字を不要とする更新パスワードの有効期限を延長するような更新が行われていますこの結果は AWS アカウントのパスワードポリシーを更新または削除しようとしてもトリガーされます AWS アカウントのパスワードポリシーでは IAM ユーザーに設定できるパスワードの種類を規定するルールを定義しますパスワードポリシーが弱化されると覚えやすいパスワードや推測しやすいパスワードの作成が可能になりセキュリティ上のリスクが生じます詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください Stealth:IAMUser/CloudTrailLoggingDisabled デフォルトの重要度 : 低結果の説明 AWS CloudTrail の証跡が無効化されていますこの結果では AWS 環境内での CloudTrail の証跡が無効化されたことを知らせます攻撃者が追跡対象となるログ記録を無効化しアクティビティの形跡を消すことで悪意のある目的で AWS リソースにアクセスしようとしている可能性がありますこの結果は証跡情報の削除または更新が成功することによってトリガーされる場合がありますまた GuardDuty に関連付けられた証跡からログを保存する S3 バケットが適切に削除された場合にもトリガーされます詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください Stealth:IAMUser/LoggingConfigurationModified デフォルトの重要度 : 中結果の説明 IAM ユーザーが通常 AWS アカウントの CloudTrail ログ記録の停止既存ログの削除その他アクティビティの痕跡を消去するために使用される API を呼び出した 38

48 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Trojan 検索タイプこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこの API 呼び出しの履歴はありません認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果は AWS アカウントのログ記録設定が不審な状況下で変更された場合にトリガーされますたとえば IAM ユーザーがいままで行ったことのない StopLogging API の呼び出しを行った場合などですこれは攻撃者が自身のアクティビティの痕跡を消去することで自身の行動を隠そうとしていることを示す場合があります GuardDuty の Trojan 検索タイプこのセクションではアクティブな脅威の結果タイプ Trojan について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック Trojan:EC2/BlackholeTraffic (p. 39) Trojan:EC2/DropPoint (p. 40) Trojan:EC2/BlackholeTraffic!DNS (p. 40) Trojan:EC2/DriveBySourceTraffic!DNS (p. 40) Trojan:EC2/DropPoint!DNS (p. 40) Trojan:EC2/DGADomainRequest.B (p. 41) Trojan:EC2/DGADomainRequest.C!DNS (p. 41) Trojan:EC2/DNSDataExfiltration (p. 42) Trojan:EC2/PhishingDomainRequest!DNS (p. 42) Trojan:EC2/BlackholeTraffic デフォルトの重要度 : 中結果の説明 EC2 インスタンスはブラックホールと呼ばれるリモートホストの IP アドレスに通信しようとしていますこの結果では AWS 環境の EC2 インスタンスがブラックホール ( あるいはシンクホール ) の IP アドレスと通信しようとしているためこのインスタンスが侵害されている可能性があることを知らせますブラックホールは送受信トラフィックが密かに破棄されるネットワークの場所を指し目的の受取人にデータが届いていないことは送信元に知らされませんブラックホール IP アドレスは稼働していないホストマシンやホストが割り当てられていないアドレスを指定します詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください 39

49 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Trojan 検索タイプ Trojan:EC2/DropPoint デフォルトの重要度 : 中結果の説明 EC2 インスタンスはマルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしていますこの結果により AWS 環境の EC2 インスタンスでマルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしていることが分かります EC2 インスタンスは侵害されている可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Trojan:EC2/BlackholeTraffic!DNS デフォルトの重要度 : 中結果の説明 EC2 インスタンスはブラックホール IP アドレスにリダイレクトされるドメイン名へのクエリを実行していますこの結果では AWS 環境の EC2 インスタンスがブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしているため侵害されている可能性があることが分かりますブラックホールは送受信トラフィックが密かに破棄されるネットワークの場所を指し目的の受取人にデータが届いていないことは送信元に知らされません詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Trojan:EC2/DriveBySourceTraffic!DNS デフォルトの重要度 : 高結果の説明 EC2 インスタンスは Drive By Download 攻撃の既知のソースであるリモートホストのドメイン名をクエリしていますこの結果によると Drive By Download 攻撃の既知のソースであるリモートホストのドメイン名をクエリしているため AWS 環境の EC2 インスタンスが侵害されている可能性があることが分かりますこれらはインターネットから意図せずにダウンロードされるコンピュータソフトウェアでありウイルススパイウェアマルウェアの自動インストールをトリガーする場合があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Trojan:EC2/DropPoint!DNS デフォルトの重要度 : 高結果の説明 EC2 インスタンスはマルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名をクエリしていますこの結果により AWS 環境の EC2 インスタンスでマルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名がクエリされていることが分かり 40

50 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の Trojan 検索タイプます EC2 インスタンスは侵害されている可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Trojan:EC2/DGADomainRequest.B デフォルトの重要度 : 高結果の説明 EC2 インスタンスでアルゴリズムを使用して生成されたドメインがクエリされていますこのようなドメインは一般的にマルウェアによって悪用されることが多く EC2 インスタンスが侵害されている場合がありますこの結果では AWS 環境の EC2 インスタンスがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせます EC2 インスタンスは侵害されている可能性があります Note この結果は高度なヒューリスティックを使用したドメイン名の分析に基づくため脅威インテリジェンスフィードでは検出されない新しい DGA ドメインを識別する可能性があります DGA は大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます C&C サーバーはボットネットのメンバーにコマンドを発行するコンピュータですボットネットは一般的なタイプのマルウェアに感染して制御されているインターネットに接続されたデバイス (PC サーバーモバイルデバイス IoT デバイスなど ) のコレクションですランデブーポイントの候補数が多いと感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするためボットネットを効果的にシャットダウンすることが困難となります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Trojan:EC2/DGADomainRequest.C!DNS デフォルトの重要度 : 高結果の説明 EC2 インスタンスでアルゴリズムを使用して生成されたドメインがクエリされていますこのようなドメインは一般的にマルウェアによって悪用されることが多く EC2 インスタンスが侵害されている場合がありますこの結果では AWS 環境の EC2 インスタンスがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせます EC2 インスタンスは侵害されている可能性があります Note この結果は GuardDuty の脅威インテリジェンスフィードで既知の DGA ドメインに基づいています DGA は大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます C&C サーバーはボットネットのメンバーにコマンドを発行するコンピュータですボットネットは一般的なタイプのマルウェアに感染して制御されているインターネットに接続されたデバイス (PC サーバーモバイルデバイス IoT デバイスなど ) のコレクションですランデブーポイントの候補数が多いと感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするためボットネットを効果的にシャットダウンすることが困難となります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください 41

51 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の未許可結果タイプ Trojan:EC2/DNSDataExfiltration デフォルトの重要度 : 高結果の説明 EC2 インスタンスが DNS クエリを通じてデータを密かに抽出しようとしていますこの結果では AWS 環境の EC2 インスタンスに DNS クエリを使用して送信データを転送するマルウェアがあることを知らせますその結果としてデータが密かに抽出されます EC2 インスタンスは侵害されている可能性があります通常 DNS トラフィックはファイアウォールでブロックされませんたとえば侵害された EC2 インスタンスのマルウェアはデータ ( クレジットカード番号など ) を DNS クエリ内にエンコードしそれを攻撃者が制御するリモート DNS サーバーに送信できます詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください Trojan:EC2/PhishingDomainRequest!DNS デフォルトの重要度 : 高結果の説明 EC2 インスタンスはフィッシング攻撃に関与するクエリ実行のドメインです EC2 インスタンスは侵害されている可能性がありますこの結果は AWS 環境の EC2 インスタンスがフィッシング攻撃に関与しているドメインをクエリしようとしていることを知らせますフィッシングドメインは個人を特定できる情報銀行やクレジットカードの詳細情報とパスワードなどユーザーが機密データを提供するように仕向ける正当な機関になりすました人物によってセットアップされています EC2 インスタンスがフィッシングウェブサイトに保管されている機密データを取得しようとしている可能性がありますまたは EC2 インスタンスがフィッシングウェブサイトをセットアップしようとしています EC2 インスタンスは侵害されている可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください GuardDuty の未許可結果タイプこのセクションではアクティブな脅威の結果タイプ Unauthorized について説明します新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください Important 結果タイプのデフォルトの重大度の値は結果が生成されるときのさまざまな基準に基づいて変更される可能性がありますトピック UnauthorizedAccess:IAMUser/TorIPCaller (p. 43) UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom (p. 43) UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B (p. 43) UnauthorizedAccess:IAMUser/MaliciousIPCaller (p. 44) UnauthorizedAccess:IAMUser/UnusualASNCaller (p. 44) UnauthorizedAccess:EC2/TorIPCaller (p. 44) UnauthorizedAccess:EC2/MaliciousIPCaller.Custom (p. 44) UnauthorizedAccess:EC2/SSHBruteForce (p. 45) 42

52 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の未許可結果タイプ UnauthorizedAccess:EC2/RDPBruteForce (p. 45) UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration (p. 45) UnauthorizedAccess:IAMUser/ConsoleLogin (p. 46) UnauthorizedAccess:IAMUser/TorIPCaller デフォルトの重要度 : 中結果の説明 API が Tor 出口ノードの IP アドレスから呼び出されましたこの結果では API オペレーション (EC2 インスタンスの起動新しい IAM ユーザーの作成 AWS 権限の変更などの試行 ) が Tor 出口ノードの IP アドレスから呼び出されたことを知らせます Tor は匿名通信を有効化するソフトウェアです通信を暗号化し一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます最後の Tor ノードは出口ノードと呼ばれますこれは攻撃者が真のアイデンティティを隠して AWS リソースへの未承認のアクセスを行っていることを示している場合があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom デフォルトの重要度 : 中結果の説明 API がカスタム脅威リストにある IP アドレスから呼び出されましたこの結果では API オペレーション (EC2 インスタンスの起動新しい IAM ユーザーの作成 AWS 権限の変更などの試行 ) がアップロードした脅威リストに含まれている IP アドレスから呼び出されたことを知らせます GuardDuty で脅威リストは既知の悪意のある IP アドレスで構成されます GuardDuty はアップロードされた脅威リストに基づいて結果を生成しますこれは攻撃者が真のアイデンティティを隠して AWS リソースへの未承認のアクセスを行っていることを示している場合があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B デフォルトの重要度 : 中結果の説明世界中でコンソールに対する複数の正常なログインが確認されましたこの結果では世界各地から同時に同じ IAM ユーザーによるコンソールへの複数の正常なログインが確認されたことを知らせますこのような通常と異なるリスクの高いアクセスロケーションパターンは AWS リソースへの未承認のアクセスの可能性を示しています詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください Note この結果はルート IAM ユーザーフェデレーティッドユーザーといった IAM ID のアクティビティによってのみトリガーされますこの結果は想定されたロールのアクティビティによってトリガーされるものではありません IAM ID の詳細については CloudTrail useridentity 要素を参照してください 43

53 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の未許可結果タイプ UnauthorizedAccess:IAMUser/MaliciousIPCaller デフォルトの重要度 : 中結果の説明 API が既知の悪意のある IP アドレスから呼び出されましたこの結果では API オペレーション (EC2 インスタンスの起動新しい IAM ユーザーの作成 AWS 権限の変更などの試行 ) が悪意のある既知の IP アドレスから呼び出されたことを知らせますこれは AWS リソースへの未承認のアクセスを示している可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください UnauthorizedAccess:IAMUser/UnusualASNCaller デフォルトの重要度 : 高結果の説明 API が通常とは異なるネットワークの IP アドレスから呼び出されましたこの結果は特定のアクティビティが通常とは異なるネットワークの IP アドレスから呼び出されたことを示していますこれは記述されたユーザーの AWS の使用履歴全体で一度も確認されていないネットワークですこのアクティビティにはコンソールログイン EC2 インスタンスの起動新しい IAM ユーザーの作成 AWS 権限の変更などが含まれますこれは AWS リソースへの未承認のアクセスを示している可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください UnauthorizedAccess:EC2/TorIPCaller デフォルトの重要度 : 中結果の説明 EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信していますこの結果は AWS 環境内の EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信していることを通知しています Tor は匿名通信を有効化するソフトウェアです通信を暗号化し一連のネットワークノード間のリレー中にランダムに通信をバウンスさせますこれは攻撃者が真のアイデンティティを隠して AWS リソースへの未承認のアクセスを行っていることを示している場合があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください UnauthorizedAccess:EC2/MaliciousIPCaller.Custom デフォルトの重要度 : 中結果の説明 EC2 インスタンスがカスタム脅威リスト内の IP アドレスとアウトバウンド通信していますこの結果では AWS 環境の EC2 インスタンスがユーザーがアップロードした脅威リストに含まれている IP アドレスと TCP プロトコルを使用してアウトバウンド通信していることを知らせます GuardDuty で脅威リストは既知の悪意のある IP アドレスで構成されます GuardDuty はアップロードされた脅威リストに基づいて結果を生成しますこれは AWS リソースへの未承認のアクセスを示している可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください 44

54 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の未許可結果タイプ UnauthorizedAccess:EC2/SSHBruteForce デフォルトの重要度 : 低結果の説明 EC2 インスタンスが SSH ブルートフォース攻撃に関与していますこの結果では AWS 環境の EC2 インスタンスが Linux ベースのシステムで SSH サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせますこれは AWS リソースへの未承認のアクセスを示している可能性があります Note この結果はポート 22 の GuardDuty モニタリングトラフィックでのみ生成されます SSH サービスが他のポートを使用するように設定されている場合にはこの結果は生成されません詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください UnauthorizedAccess:EC2/RDPBruteForce デフォルトの重要度 : 低結果の説明 EC2 インスタンスが RDP ブルートフォース攻撃に関与していますこの結果では AWS 環境の EC2 インスタンスが Windows ベースのシステムで RDP サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせますこれは AWS リソースへの未承認のアクセスを示している可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration デフォルトの重要度 : 高結果の説明インスタンス起動ロールを通じて EC2 インスタンス専用に作成された認証情報が外部 IP アドレスから使用されていますこの結果では AWS アカウントの EC2 インスタンスで作成された一時的な AWS 認証情報を使用して EC2 外のホストから AWS API オペレーションを実行しようとしている試行について知らせます EC2 インスタンスが侵害されていてこのインスタンスの一時的な認証情報が密かに AWS 外のリモートホストに抽出されている可能性があります AWS は一時的な認証情報を作成したエンティティ (AWS アプリケーション EC2 Lambda など ) 外にその認証情報を再配布することはお勧めしませんただし承認されたユーザーは EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます攻撃の可能性を排除してアクティビティが正当であることを確認するにはこれらの認証情報を割り当てる先の IAM ユーザーに問い合わせてみます詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果は一般的に AWS Direct Connect のシナリオでトリガーされます AWS Direct Connect のシナリオでは EC2 インスタンスからのすべてのトラフィックがオンプレミスネットワークにルートされ独自のファイアウォールから出力するので EC2 の外にある IP アドレスから発信されたように見えますご利用の AWS 実稼働環境において EC2 インスタンスで作成した一時的な AWS の認証情報を抽出する 45

55 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty のリタイアしている結果タイプことが一般的に行われている場合は有効化した信頼されている IP リストに対する結果の JSON にある service.action.awsapicallaction.remoteipdetails.ipaddressv4 フィールドのリストに含まれている IP アドレスを追加することでこの結果をホワイトリストに入れることができます ( 結果の完全な JSON を表示するにはコンソールで結果を選択し [Actions/Export] を選ぶか GetFindings (p. 123) API オペレーションを実行します ) GuardDuty の信頼できる IP リストはホワイトリストに登録済みで AWS インフラストラクチャやアプリケーションとの安全な通信に使用できる IP アドレスで構成されます GuardDuty は信頼できる IP リストの IP アドレスの結果は生成しません詳細については信頼できる IP リストと脅威リストの使用 (p. 49) を参照してください UnauthorizedAccess:IAMUser/ConsoleLogin デフォルトの重要度 : 中結果の説明 AWS アカウントの IAM ユーザーによる通常とは違うコンソールへのログインが確認されたこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこの特定の場所からこのクライアントアプリケーションを使用してログインしたアクティビティの履歴はありません IAM ユーザーの認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してくださいこの結果はコンソールへのログインが不審な状況下で検出された場合にトリガーされますたとえば IAM ユーザーがいままで行ったことのない ConsoleLogin API の呼び出しをこれまで使用したことのないクライアントまたは通常とは異なる場所から行った場合などですこれは盗まれた認証情報が AWS アカウントにアクセスするために使用されているか有効なユーザーが無効または安全ではない方法 ( たとえば許可された VPN 経由ではないなど ) でアカウントにアクセスしている可能性を示します GuardDuty のリタイアしている結果タイプ Important 新しく追加されたタイプやリタイアしているタイプを含む GuardDuty の結果タイプの重要な変更点については Amazon GuardDuty のドキュメント履歴 (p. 214) を参照してください現在のリリースの GuardDuty では以下の結果タイプがリタイアしています ( 今後生成されません ) GuardDuty のリタイアしている結果タイプを再アクティブ化することはできませんトピック Behavior:IAMUser/InstanceLaunchUnusual (p. 46) CryptoCurrency:EC2/BitcoinTool.A (p. 47) Behavior:IAMUser/InstanceLaunchUnusual 結果の説明 IAM ユーザーが起動した EC2 インスタンスのタイプが通常と異なりますこの結果では AWS 環境の特定の IAM ユーザーが確立されたベースラインとは異なる動作を示していることを知らせますこの IAM ユーザーにはこのタイプの EC2 インスタンスを起動した履歴がありません IAM ユーザーの認証情報は侵害されている可能性があります詳細については侵害された AWS 認証情報の修正 (p. 47) を参照してください 46

56 Amazon GuardDuty Amazon Guard Duty ユーザーガイド CryptoCurrency:EC2/BitcoinTool.A CryptoCurrency:EC2/BitcoinTool.A 結果の説明 EC2 インスタンスはビットコインマイニングプールと通信していますこの結果では AWS 環境の EC2 インスタンスがビットコインマイニングプールと通信していることを知らせます暗号通貨マイニングの分野でマイニングプールとはマイナー ( 採掘者 ) によるリソースの共同出資 ( プール ) でありネットワークで処理能力を共有しブロックの解決に貢献した度合いに応じて報酬の分配を受ける仕組みですこの EC2 インスタンスをビットコインマイニングに使用していない限り EC2 インスタンスは侵害されている可能性があります詳細については侵害された EC2 インスタンスの修正 (p. 47) を参照してください GuardDuty によって検出されたセキュリティ問題の修復 Amazon GuardDuty は潜在的なセキュリティ問題を示す結果 (p. 23) を生成しますこのリリースの GuardDuty におけるセキュリティ問題は AWS 環境の侵害された EC2 インスタンスまたは侵害された認証情報セットを示します以下のセクションではどちらのシナリオにおいても推奨される修正手順について説明しますトピック侵害された EC2 インスタンスの修正 (p. 47) 侵害された AWS 認証情報の修正 (p. 47) 侵害された EC2 インスタンスの修正 AWS 環境の侵害された EC2 インスタンスを修正するには以下の推奨手順に従いますマルウェアに侵害された可能性のあるインスタンスを調査し検出されたマルウェアを削除しますマルウェアの特定および削除に役立つパートナー製品については AWS Marketplace も参照してください EC2 インスタンス上の不正なアクティビティを特定し停止できない場合は侵害された EC2 インスタンスを削除し必要に応じて新しいインスタンスを作成することをお勧めします EC2 インスタンスを保護するための追加リソースを以下に示します Amazon EC2 のベストプラクティスのセキュリティおよびネットワークセクション Linux インスタンス用の Amazon EC2 セキュリティグループおよび Windows インスタンス用の Amazon EC2 セキュリティグループ EC2 インスタンス保護のヒント (Linux) および Windows EC2 インスタンスの保護 AWS セキュリティのベストプラクティス AWS 開発者フォーラムの詳細についてはを参照してくださいプレミアムサポートパッケージの受信者は one-one-one assistance をリクエストできます侵害された AWS 認証情報の修正 AWS 環境の侵害された認証情報を修正するには以下の推奨手順に従います認証情報の所有者を識別します 47

57 Amazon GuardDuty Amazon Guard Duty ユーザーガイド侵害された AWS 認証情報の修正 GuardDuty の結果により AWS 認証情報が侵害されている可能性に気づいたらアクセスキーまたはユーザー名を使用して該当する IAM ユーザーを特定できます Note ユーザーが各 AWS サービスの API を使用し AWS コマンドラインインターフェイス (AWS CLI) Tools for Windows PowerShell AWS SDK または直接 HTTP 呼び出しで AWS をプログラムで呼び出すにはユーザー独自のアクセスキーが必要ですこのニーズを満たすために IAM ユーザーのアクセスキー ( アクセスキー ID およびシークレットアクセスキー ) を作成修正表示および更新できます詳細については IAM ユーザーのアクセスキーの管理を参照してください侵害された可能性のある IAM ユーザーのアクセスキー ID またはユーザー名を確認するにはコンソールを開き分析する結果の詳細ペインを表示します詳細については GuardDuty 結果の検索と分析 (p. 23) を参照してくださいアクセスキー ID またはユーザー名を確認したら IAM コンソールを開き [Users] タブを選択して [Find users by username or access key] 検索フィールドにアクセスキー ID またはユーザー名を入力し該当するユーザーを特定します認証情報が IAM ユーザーによって正当に使用されたかどうかを確認します特定した IAM ユーザーに連絡しこのユーザーがの結果で特定されたアクセスキーとユーザー名を正しく使用しているかどうかを確認しますたとえばユーザーが以下のことを行なったかどうかを確認しますの結果に表示された API オペレーションの呼び出しの結果に表示された時刻における API オペレーションの呼び出しの結果に表示された IP アドレスからの API オペレーションの呼び出しアクティビティが AWS 認証情報の正当な使用を示していることを確認した場合このの結果は無視できますそうではない場合このアクティビティは該当するアクセスキー IAM ユーザーの ID とパスワードまたは AWS アカウント全体に対する侵害の結果を示している可能性があります問題の修正については My AWS account may be compromised の記事の情報を参考にしてください 48

58 Amazon GuardDuty Amazon Guard Duty ユーザーガイド信頼できる IP リストと脅威リストの使用 Amazon GuardDuty では VPC フローログ AWS CloudTrail のイベントログ DNS ログを分析および処理することで AWS 環境のセキュリティを監視しますこのモニタリングのスコープは GuardDuty でユーザー独自の信頼できる IP リストや脅威リストを使用するように設定することで拡張できます信頼できる IP リストはホワイトリストに登録済みで AWS インフラストラクチャやアプリケーションとの安全な通信に使用できる IP アドレスで構成されます GuardDuty は信頼できる IP リストの IP アドレスの結果は生成しませんどの時点でも信頼されている IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます脅威リストは既知の悪意のある IP アドレスのリストから構成されます GuardDuty は脅威リストに基づいて結果を生成しますどの時点でも脅威リストのアップロード数は各リージョンの AWS アカウントにつき最大 6 つに限られますマスター GuardDuty アカウントのユーザーは信頼されている IP リストと脅威リストをアップロードし管理することができますメンバーの GuardDuty アカウントのユーザーはリストをアップロードし管理することができませんマスターアカウントからアップロードされた信頼されている IP リストや脅威リストはそのメンバーアカウントの GuardDuty 機能に適用されますつまりメンバーアカウントの場合 GuardDuty はマスターアカウントの脅威リストで既知の悪意ある IP アドレスを含むアクティビティに基づく結果を生成しますがマスターの信頼される IP リストの IP アドレスに関連するアクティビティに基づく結果は生成しません詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してください Important GuardDuty では信頼できる IP リストおよび脅威リストの評価に必要なアクセス権限をに許可した際に自動的に割り当てられた同じサービスにリンクされたロール (p. 16) を使用します信頼できる IP リストと脅威リストを作成して GuardDuty にアップロードする際は以下の点に注意してください信頼できる IP リストと脅威リストで IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要がありますサンプルリストをプレーンテキスト形式で以下に示します /8 GuardDuty では脅威リスト内の非ルーティング IP アドレスや内部 ( またはプライベート ) IP アドレスの結果は生成されません GuardDuty は脅威リストに含まれているドメイン名が関与するアクティビティに基づく結果は生成されません GuardDuty では脅威リストの IP アドレスと CIDR 範囲が関与するアクティビティに基づく結果のみが生成されます信頼できる IP リストまたは脅威リストをホストするファイルの最大サイズは 35 MB です単一の信頼できる IP リストには最大 2000 の IP アドレスと CIDR 範囲を含めることができます単一の脅威リストには最大 250,000 の IP アドレスと CIDR 範囲を含めることができますトピック 49

59 Amazon GuardDuty Amazon Guard Duty ユーザーガイド信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 (p. 50) 信頼されている IP リストと脅威リストをアップロードするには (p. 50) 信頼されている IP リストや脅威リストを有効化または無効化にする (p. 51) 信頼されている IP リストと脅威リストを更新するには (p. 51) 信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 GuardDuty の信頼されている IP リストおよび脅威リストを操作するにはさまざまな IAM ID に適切なアクセス権限が必要です AmazonGuardDutyFullAccess 管理ポリシーがアタッチされている ID のみがアップロードされた信頼されている IP リストと脅威リストの名前を変更および無効化できますさまざまな ID に信頼されている IP リストと脅威リストの操作 ( 名前変更および無効化に加えてリストのアップロード有効化削除場所の更新が含まれます ) を行うためのフルアクセスを付与するには次のアクションが IAM ユーザーグループまたはロールにアタッチされたアクセス権ポリシーに存在することを確認してください "Effect": "Allow", "Action": [ "iam:putrolepolicy", "iam:deleterolepolicy" ], "Resource": "arn:aws:iam:: :role/aws-service-role/ guardduty.amazonaws.com/awsserviceroleforamazonguardduty" Important これらのアクションは AmazonGuardDutyFullAccess 管理ポリシーに含まれていません信頼されている IP リストと脅威リストをアップロードするには次の手順では信頼できる IP リストと脅威リストを GuardDuty コンソールでアップロードする方法を示します信頼できる IP リストと脅威リストをアップロードするには ( コンソール ) 1. コンソール ( を開きます 2. ナビゲーションペインで [Settings] の [Lists] を選択します 3. [List management] ページで [Add a trusted IP list] または [Add a threat list] を選択します 4. ] ダイアログボックスで以下の操作を実行します [List name] にリストの名前を入力します [Location] でリストの場所を指定しますこれは信頼できる IP リストまたは脅威リストとリストを含むファイルが保存されている S3 バケットです 50

60 Amazon GuardDuty Amazon Guard Duty ユーザーガイド信頼されている IP リストや脅威リストを有効化または無効化にする Note 次の形式で場所の URL を指定できます s3://mybucket/file.txt [Format] でリストのファイルタイプを選択します [I agree] チェックボックスをオンにします [Add list] を選択します信頼されている IP リストや脅威リストを有効化または無効化にする次の手順はアップロードが完了した後で GuardDuty の信頼されている IP リストや脅威リストを有効化または無効化にする方法を示しています GuardDuty は有効化になっている場合 AWS 環境のモニタリングでアップロードしたリストのみを含みます信頼されている IP リストと脅威リストを有効化にする ( コンソール ) 1. コンソール ( を開きます 2. ナビゲーションペインで [Settings] の [Lists] を選択します 3. [List management] ページで有効化したい信頼されている IP セットまたは脅威リストを探し [Active] の列にあるラジオボタンを選択します信頼されている IP リストや脅威リストを無効化にする (API または CLI) 現時点の GuardDuty ではコンソールを使用して信頼されている IP リストや脅威リストを無効化にすることはできません UpdateIPSet (p. 207) と UpdateThreatIntelSet (p. 210) API または update-ip-set と update-threatintel-set CLI コマンドを実行することで信頼されている IP リストまたは脅威リストを無効化にすることができますたとえば次のコマンドを実行できます aws guardduty update-ip-set --detector-id <detector-id> --ip-set-id <ip-set-id> --noactivate <detector-id> と <ip-set-id> を有効なディテクター ID と信頼されている IP リスト ID に必ず置き換えてください信頼されている IP リストと脅威リストを更新するには GuardDuty にすでにアップロードされて有効な信頼されている IP リストあるいは脅威リストを変更する場合 ( たとえばリストの名前を変更するまたは IP アドレスを追加するなど ) GuardDuty のセキュリティ 51

61 Amazon GuardDuty Amazon Guard Duty ユーザーガイド信頼されている IP リストと脅威リストを更新するにはモニタリングスコープで最新バージョンのリストを使用するようにこのリストを GuardDuty に更新する必要があります安全なリストまたは脅威リストを更新するには以下の手順を使用するかまたは UpdateIPSet (p. 207) あるいは UpdateThreatIntelSet (p. 210) API を実行します信頼されている IP リストと脅威リストを更新するには ( コンソール ) 1. コンソール ( を開きます 2. ナビゲーションペインで [Settings] の [Lists] を選択します 3. [ リスト管理 ] ページで更新する信頼されている IP セットまたは脅威リストを探し [ アクティブ ] の列にある鉛筆アイコンを選択します 4. [ 更新リスト ] ポップアップウィンドウで指定するリストの情報を確認し [ 同意します ] を選択して [ リストの更新 ] を選択します 5. [ リスト管理 ] ページで再度有効化したい信頼される IP セットまたは脅威リストを探し [ アクティブ ] の列にあるラジオボタンを選択します 52

62 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty マスターアカウント Amazon GuardDuty の AWS アカウントの管理他のアカウントを招待して GuardDuty を有効にし AWS アカウントに関連付けることができます招待が受け入れられるとアカウントは GuardDuty のマスターアカウントとして指定され関連付けられたアカウントはメンバーアカウントになりますこれによりこれらのアカウントの代わりに GuardDuty の結果を表示および管理できます GuardDuty では最大 1000 のメンバーアカウントをマスターアカウント ( 各リージョン ) に登録できます AWS アカウントを同時に GuardDuty のマスターアカウントとメンバーアカウントにすることはできません AWS アカウントで承諾できる GuardDuty のメンバーシップの招待は 1 つのみですメンバーシップの招待の承諾はオプションです以下のセクションでは GuardDuty コンソール CLI および API を使用してマスターアカウントおよびメンバーアカウントを作成する方法について説明します AWS CloudFormation を使用してマスターおよびメンバーのアカウントを作成することもできます詳細については AWS::GuardDuty::Master および AWS::GuardDuty::Member を参照してください Note GuardDuty メンバーアカウントの作成時にクロスリージョンデータ転送が発生することがありますメンバーアカウントの E メールアドレスを確認するために GuardDuty では AWS の米国東部 ( バージニア北部 ) リージョンでのみ動作する AWS 以外のアカウント情報検証サービスを使用しますトピック GuardDuty マスターアカウント (p. 53) GuardDuty メンバーアカウント (p. 54) GuardDuty コンソールでマスターアカウントとメンバーアカウントを指定する (p. 55) GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定 (p. 56) 複数のアカウントで同時に GuardDuty を有効にする (p. 58) GuardDuty マスターアカウントマスターアカウントのユーザーは自分のアカウントおよびすべてのメンバーアカウントの GuardDuty を設定できるだけでなく GuardDuty の結果を表示および管理できますマスターアカウントのユーザーが GuardDuty を設定する方法は以下のとおりですマスターアカウントのユーザーは自身のアカウントでサンプル結果を生成できますマスターアカウントのユーザーはメンバーのアカウントでサンプル結果を生成できませんマスターアカウントのユーザーは自分のアカウントとすべてのメンバーアカウントで結果をアーカイブすることができますマスターアカウントのユーザーは信頼できる IP リストと脅威リストを自分のアカウントでアップロードして管理できます 53

63 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty メンバーアカウント Important マスターアカウントからアップロードしたあるいはマスターアカウントにアップロードした信頼されている IP リストや脅威リストはそのメンバーアカウントの GuardDuty 機能に適用されますつまりメンバーアカウントの場合 GuardDuty はマスターアカウントの脅威リストで既知の悪意ある IP アドレスを含むアクティビティに基づく結果を生成しますがマスターの信頼される IP リストの IP アドレスに関連するアクティビティに基づく結果は生成しませんマスターアカウントのユーザーは各自の ( マスター ) アカウントで GuardDuty を停止できますまたマスターアカウントのユーザーはメンバーアカウントで GuardDuty を停止することもできます Note マスターアカウントのユーザーがマスターアカウントで GuardDuty を停止した場合この停止はメンバーアカウントに自動的に適用されません GuardDuty メンバーアカウントを停止するにはマスターアカウントのユーザーがこのメンバーアカウントを選択しコンソールを介して GuardDuty を停止するか StopMonitoringMembers (p. 191) API を実行してこのアカウント ID を指定しますまたマスターアカウントのユーザーはコンソールからあるいは API を実行してメンバーアカウントでを再度有効化できますマスターアカウントのユーザーは各自の ( マスター ) アカウントで GuardDuty を無効化できますただしマスターアカウントで GuardDuty を無効化する前にすべてのメンバーアカウントを削除する必要がありますマスターアカウントのユーザーはメンバーアカウントの GuardDuty を無効にすることはできません GuardDuty メンバーアカウントメンバーアカウントのユーザーは自分のアカウントの GuardDuty を設定し GuardDuty の結果を表示および管理できますメンバーアカウントのユーザーはマスターアカウントまたは他のメンバーアカウントの GuardDuty の設定結果の表示や管理を行うことはできませんメンバーアカウントのユーザーが GuardDuty を設定する方法は以下のとおりですメンバーアカウントのユーザーは自身のメンバーアカウントでサンプル結果を生成できますメンバーアカウントのユーザーはマスターアカウントや他のメンバーのアカウントでサンプル結果を生成できませんメンバーアカウントのユーザーが自分のアカウントマスターアカウント他のメンバーアカウントで結果をアーカイブすることはできませんメンバーアカウントのユーザーが信頼されている IP リストや脅威リストをアップロードして管理することはできませんマスターアカウントからアップロードされた信頼されている IP リストや脅威リストはそのメンバーアカウントの GuardDuty 機能に適用されますつまりメンバーアカウントの場合 GuardDuty はマスターアカウントの脅威リストで既知の悪意ある IP アドレスを含むアクティビティに基づく結果を生成しますがマスターの信頼される IP リストの IP アドレスに関連するアクティビティに基づく結果は生成しません Note GuardDuty アカウントが GuardDuty メンバーアカウントになるとその信頼されている IP リストと脅威リスト (GuardDuty メンバーアカウントになる前にアップロード済み ) は無効になります GuardDuty メンバーアカウントと GuardDuty マスターアカウントの関連付けが解除されるとその信頼されている IP リストと脅威リスト (GuardDuty メンバーアカウントになる前にアップロード済み ) は再び有効になります GuardDuty メンバーアカウントではなくなるとそのアカウントのユーザーはアカウントで信頼されている IP リストと脅威リストをアップロードし管理することができます 54

64 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty コンソールでマスターアカウントとメンバーアカウントを指定するメンバーアカウントのユーザーは各自のアカウントで GuardDuty を停止できますメンバーアカウントのユーザーはマスターアカウントや他のメンバーアカウントの GuardDuty を停止できませんメンバーアカウントのユーザーは各自のアカウントで GuardDuty を無効化止できますメンバーアカウントのユーザーはマスターアカウントや他のメンバーアカウントの GuardDuty を無効化できません GuardDuty コンソールでマスターアカウントとメンバーアカウントを指定する GuardDuty では自分のアカウントに別の AWS アカウントを追加して関連付けた場合や別のアカウントが招待を受け入れてメンバーアカウントになることを承諾した場合自分のアカウントがマスターアカウントになります自分のアカウントがマスターアカウントでない場合は別のアカウントからの招待を受け入れることができます招待を受け入れると自分のアカウントはメンバーアカウントになりますアカウントの追加アカウントの招待または別のアカウントからの招待の受け入れの手順は以下のとおりですステップ 1 - アカウントを追加するステップ 2: アカウントを招待するステップ 3 - 招待を受け入れるステップ 1 - アカウントを追加する 1. コンソール ( を開きます 2. ナビゲーションペインで [Settings] の [Accounts] を選択します 3. [Add accounts] を選択します 4. [Add member] アカウントページで [Enter accounts] に追加するアカウントの AWS アカウント ID と E メールアドレスを入力します次に [Add account] を選択します Important このステップで指定する E メールアドレスは GuardDuty メンバーアカウントとして追加する AWS アカウントに関連付けられた E メールアドレスと同じにする必要があります複数のアカウントを追加するには ID と E メールアドレスを一度に 1 つずつ指定します [Upload list (.csv)] を選択してアカウントを一括追加することもできますこの機能は一部のアカウントを招待して GuardDuty をすぐに有効にし他のアカウントについては遅延させる場合に便利です Important.csv リストでは 1 行に 1 つのアカウントを表示する必要があります.csv リスト内のアカウントごとにアカウント ID と E メールアドレスをカンマ区切りで指定する必要があります以下の例のように.csv ファイルの 1 行目にヘッダー ( 例 : Account ID ) が含まれている必要があります Account ID, 後続の各行には追加するアカウントの有効なアカウント ID および有効な E メールアドレスを含む必要がありますアカウント ID と E メールアドレスはカンマで区切ります Account ID, ,[email protected] 55

65 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定 5. アカウントの追加が完了したら [Done] を選択します追加したアカウントが [Accounts] ページに一覧表示されますこのリストに追加された各アカウントの [Status] 列には [Invite] リンクがありますステップ 2: アカウントを招待する 1. コンソール ( を開きます 2. ナビゲーションペインで [Settings] の [Accounts] を選択します 3. アカウントを招待して GuardDuty を有効にするには追加したアカウントのリストで [Status] 列に表示される [Invite] リンクを選択します 4. [Invitation to GuardDuty] ダイアログボックスに招待メッセージ ( オプション ) を入力し [Send notification] を選択します招待したアカウントの [Status] 列の値が [Pending] に変わりますステップ 3 - 招待を受け入れる 1. コンソール ( を開きます 2. 以下のいずれかを行います GuardDuty が有効になっていない場合は [Enable GuardDuty] ページで [Enable GuardDuty] を選択します次に [Accept] ウィジェットおよび [Accept invitation] ボタンを使用してメンバーシップ招待を承諾します Important メンバーシップ招待を承諾する前に GuardDuty を有効にする必要がありますが既に有効になっている場合は [Accept] ウィジェットおよび [Accept invitationguardduty] ボタンを使用してメンバーシップ招待を承諾します招待を承諾するとアカウントが GuardDuty メンバーアカウントになります招待の送信元のアカウントは GuardDuty のマスターアカウントになりますマスターアカウントのユーザーはメンバーアカウントの [Status] 列の値が [Monitored] に変わったことを確認できますこれでマスターアカウントのユーザーはメンバーアカウントの GuardDuty の結果を表示して管理できます GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定 API オペレーションを使用してマスターおよびメンバーの GuardDuty アカウントを指定することもできますでマスターアカウントおよびメンバーアカウントを指定するために特定の API オペレーションを実行する際の必要な順序は以下のとおりです GuardDuty マスターアカウントとして指定する AWS アカウントの認証情報を使用して次の手順を実行します 1. が有効になっている AWS アカウント ( マスターアカウントにするアカウント ) の認証情報を使用して API オペレーションを実行します現在の AWS アカウントのディテクター ID および GuardDuty メンバーにするアカウントのアカウント詳細 ( アカウント ID および E メールアドレス ) を指定する必要があります ( この API オペレーションで 1 つ以上のメンバーを作成できます ) 56

66 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定 AWS コマンドラインツールを使用してこの操作を行うこともできます次の CLI コマンドを実行できます ( 独自の有効なディテクター ID アカウント ID E メールを必ず使用してください : aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountdetails AccountId= , [email protected] 2. が有効になっている AWS アカウント ( マスターアカウントにするアカウント ) の認証情報を使用して API オペレーションを実行します現在の AWS アカウントのディテクター ID および GuardDuty メンバーにするアカウントのアカウント ID ( この API オペレーションで 1 つ以上のメンバーを招待できます ) を指定する必要があります Note message リクエストパラメータを使用してオプションの招待メッセージを指定することもできます AWS コマンドラインツールを使用してこの操作を行うこともできます次の CLI コマンドを実行できます ( 独自の有効なディテクター ID とアカウント ID を必ず使用してください : aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids GuardDuty メンバーアカウントとして指定する各 AWS アカウントの認証情報を使用して次の手順を実行します 1. メンバーアカウントに招待された AWS アカウントごとに API オペレーションを実行して招待を受け入れます GuardDuty サービスを使用してディテクターリソースを有効にするかどうかを指定する必要があります GuardDuty が動作するためにはディテクターを作成して有効にする必要があります招待を受け入れる前にまず GuardDuty を有効にする必要があります AWS コマンドラインツールを使用してこの操作を行うこともできます以下の CLI コマンドを実行できます aws guardduty create-detector --enable 2. メンバーの正体を受け入れる AWS アカウントごとにアカウントの認証情報を使用して AcceptInvitation (p. 68) API オペレーションを実行しますこの AWS アカウント ( メンバーアカウント ) のディテクター ID 受け入れる招待を送信した AWS アカウントのマスター ID ( この値は招待メール内または ListInvitations (p. 174) API オペレーションを実行して取得できますこれは accountid レスポンスパラメータの値です ) および受信した招待の招待 ID を指定する必要があります AWS コマンドラインツールを使用してこの操作を行うこともできます次の CLI コマンドを実行できます ( 有効なディテクター ID マスターアカウント ID 招待 ID を必ず使用してください : aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 -- master-id invitation-id 84b d17d1872b34c4daadcf5 57

67 Amazon GuardDuty Amazon Guard Duty ユーザーガイド複数のアカウントで同時に GuardDuty を有効にする複数のアカウントで同時に GuardDuty を有効にする以下のいずれかの方法を使用して複数のアカウントで同時に GuardDuty を有効にします Python スクリプトを使用して複数のアカウントで同時に GuardDuty を有効にする enableguardduty.py と disableguardduty.py を実行できますこれはからダウンロードできます enableguardduty.py は GuardDuty を有効にしマスターアカウントから招待を送信してすべてのメンバーアカウントで招待を受け入れます結果はすべてのメンバーアカウントのセキュリティ結果を含むマスター GuardDuty アカウントです GuardDuty はリージョン別に分離されているので各メンバーアカウントの結果はマスターアカウントで対応リージョンにロールアップされますたとえば GuardDuty マスターアカウントの us-east-1 リージョンには関連付けているすべてのメンバーアカウントからの useast-1 結果すべてのセキュリティ結果が含まれていますスクリプトは StackSets サービスを考慮してモデル化されているため GuardDuty を有効にしたい各アカウントで AWSCloudFormationStackSetExecutionRole という IAM ロールを必要としますこのロールは GuardDuty へのアクセス権を持つ StackSets を提供しますすでに StackSets を使用している場合はスクリプトが既存のロールを活用できますその他の場合は AWSCloudFormation/latest/UserGuide/stacksets-prereqs.html の手順を使用し GuardDuty を有効にしたい各アカウントで AWSCloudFormationStackSetExecutionRole をセットアップします管理者権限を持つロールがある新しい Amazon Linux インスタンスを起動しますこのインスタンスにログインし次のコマンドを実行します sudo yum install git python sudo pip install boto3 aws configure git clone cd amazon-guardduty-multiaccount-scripts sudo chmod +x disableguardduty.py enableguardduty.py Note プロンプトが表示されたら us-east-1 または任意のデフォルトのリージョンに設定しますスクリプトには GuardDuty マスターアカウントのアカウント ID のパラメータが 1 つあります enableguardduty.py または disableguardduty.py を実行する前にどちらかのスクリプトのグローバル変数を更新して AWS アカウントとマッピングしますアカウントと関連付けている E メールアドレスのリストを作成できますマスター GuardDuty アカウントを指定しメンバーアカウントに送信した招待メッセージをカスタマイズ ( オプション ) できます AWS CloudFormation StackSets を使用して複数のアカウントで同時に GuardDuty を有効にする AWS CloudFormation スタックセットを使用すると 1 つの AWS CloudFormation テンプレートを使用して複数のリージョンにまたがる AWS アカウントにスタックを作成できます各スタックに含まれるリソースはすべてスタックセットの AWS CloudFormation テンプレートで定義されますスタックセッ 58

68 Amazon GuardDuty Amazon Guard Duty ユーザーガイド AWS CloudFormation StackSets を使用して複数のアカウントで同時に GuardDuty を有効にするトを作成する際使用するテンプレートに加えそのテンプレートで必要なパラメータや機能を指定します [Enable Amazon GuardDuty (Amazon GuardDuty を有効にする )] テンプレートを使用すると複数のアカウントで GuardDuty を同時に有効にできます Important 以下の手順を実行する前に AWS アカウント内でのスタックセットオペレーションのアクセス権限を付与する前提条件のステップを完了してください詳細については前提条件 : スタックセットオペレーションのアクセス権限の付与を参照してください 1. で AWS CloudFormation コンソールを開きます 2. ページ上部で [StackSets] を選択し [Create stack set] を選択します 3. [Select template] ウィザードの [Select template] ページで [Select a sample template from the following templates] を選択します 4. [Enable Amazon GuardDuty (Amazon GuardDuty を有効にする )] サンプルテンプレートを選択し [Next ( 次へ )] を選択します 5. ウィザードの [Specify details] ページで次の情報を入力しますスタックセットの名前を指定しますスタックセット名はアルファベット文字で始まり文字数字ハイフンのみを含める必要がありますオプション : GuardDuty マスターアカウント ID を指定します Important マスターアカウント ID を指定した場合このスタックセットは指定された各アカウントで GuardDuty ディレクターを作成しこのマスターアカウントにより指定された各アカウントに送信される GuardDuty メンバーシップ招待を受け入れますこの値を指定した場合このスタックセットを作成する前に [Enable Amazon GuardDuty (Amazon GuardDuty を有効にする )] スタックセットテンプレートが適用されるすべてのリージョン内のすべてのアカウントにこのマスター GuardDuty アカウントからの招待が既にあることが必要で既に作成されたディテクターがあってはいけませんつまりこのスタックセットを使用して複数のメンバーアカウントとリージョンで GuardDuty を同時に有効にしすべてのメンバーのマスター GuardDuty アカウントとして特定のアカウントを指定する場合にのみこの値を指定しますマスターアカウント ID を指定しない場合このスタックセットは指定された各アカウントでのみ GuardDuty ディテクターを作成できますつまりこのスタックセットを使用して関連性のない ( メンバー / マスターの関係がない ) 複数のアカウントで同時に GuardDuty を有効にする場合はこの値を指定しないでください 6. [Set deployment options] ページでスタックセットのスタックをデプロイしたいアカウントおよびリージョンを提供してください AWS CloudFormation はリージョンのデプロイ失敗が指定された障害耐性を超えない限り最初のリージョン内の指定されたアカウントにスタックをデプロイし次のリージョンに移行しそれが繰り返されます Note 前のページでマスターアカウント ID を指定した場合このスタックセットは [Specify accounts] セクションにリストされた各アカウントで GuardDuty ディレクターを作成しマスターアカウントによりこれらの各アカウントに送信される GuardDuty メンバーシップ招待を受け入れますしたがって GuardDuty マスターアカウントを指定した場合このマスターアカウント ID を [Specify accounts] セクションに含めずメンバーとしてこの GuardDuty マスターアカウントに指定するアカウントのみを含めてください 7. [Options] ページの [Tags] セクションではスタック内のリソースのキーと値のペアを指定してタグを追加できます [Permissions] セクションで StackSets がターゲットアカウントを管理するために使用できる IAM ロールを選択します管理者とすべてのターゲットアカウントの IAM サービスロールをセットアップ 59

69 Amazon GuardDuty Amazon Guard Duty ユーザーガイド AWS CloudFormation StackSets を使用して複数のアカウントで同時に GuardDuty を有効にするする詳しい手順についてはスタックセットオペレーションの基本アクセス権限の設定を参照してください 8. [Review] ページで設定とスタックセットのプロパティを確認しますスタックセットを作成する準備ができたら [Create] を選択します詳細については Working with AWS CloudFormation StackSets を参照してください 60

70 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty の停止または無効化 GuardDuty コンソールを使用して GuardDuty を停止または無効化できます GuardDuty を停止すると AWS 環境のセキュリティは監視されなくなり新しい結果は生成されません既存の結果は変更されず GuardDuty の停止によって影響を受けることはありません GuardDuty は後で再度有効にすることができます Important サービスの停止中は GuardDuty の使用に対して課金されることはありません GuardDuty を無効にすると既存の結果と GuardDuty の設定は失われ復旧できなくなります既存の結果を保存する場合は GuardDuty を無効にする前にそれらをエクスポートする必要があります GuardDuty を停止または無効化するには ( コンソール ) 1. コンソール ( を開きます 2. ナビゲーションペインで [Settings] の [General] を選択します 3. [Suspend GuardDuty] または [Disable GuardDuty] を選択します次に [Save settings] を選択します 61

71 Amazon GuardDuty Amazon Guard Duty ユーザーガイド内の情報を使用した API 呼び出しのログ作成 Amazon GuardDuty は AWS CloudTrail と統合されていますこのサービスは内でユーザーやロールまたはのサービスによって実行されたアクションを記録するサービスです CloudTrail はコンソールからのコールや API へのコード呼び出しを含むの API コールをイベントとしてキャプチャします証跡を作成する場合はのイベントなど Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます証跡を設定しない場合でも CloudTrail コンソールの [Event history ( イベント履歴 )] で最新のイベントを表示できます CloudTrail によって収集された情報を使用してリクエストの作成元の IP アドレスリクエストの実行者リクエストの実行日時などの詳細を調べて GuardDuty に対してどのようなリクエストが行われたかを判断できます CloudTrail の詳細 ( 設定して有効にする方法など ) については AWS CloudTrail User Guide を参照してください内の情報 CloudTrail はアカウント作成時に AWS アカウントで有効になります GuardDuty でサポートされるイベントアクティビティが発生するとそのアクティビティは CloudTrail イベントとして AWS のサービスの他のイベントとともに [Event history ( イベント履歴 )] に記録されます最近のイベントは AWS アカウントで表示検索ダウンロードできます詳細については CloudTrail イベント履歴でのイベントの表示を参照してくださいのイベントなどアカウントのイベントの継続的な記録については証跡を作成します証跡により CloudTrail はログファイルを Amazon S3 バケットに配信できますデフォルトではコンソールで証跡を作成するときに証跡がすべてのリージョンに適用されます証跡では AWS パーティションのすべてのリージョンからのイベントがログに記録され指定した Amazon S3 バケットにログファイルが配信されますさらにより詳細な分析と CloudTrail ログで収集されたデータに基づいた行動のためにその他の AWS サービスを設定できます詳細については以下のトピックを参照してください証跡を作成するための概要 CloudTrail でサポートされるサービスと統合 CloudTrail の Amazon SNS 通知の設定複数のリージョンから CloudTrail ログファイルを受け取ると複数のアカウントから CloudTrail ログファイルを受け取る GuardDuty アクションはすべて CloudTrail によって記録されますまたこれらのアクションは Amazon GuardDuty API リファレンス (p. 67) で説明されています各イベントまたはログエントリにはリクエストの生成者に関する情報が含まれますこの ID 情報は以下のことを確認するのに役立ちますリクエストがルートと IAM ユーザー認証情報のどちらを使用して送信されたかリクエストがロールとフェデレーティッドユーザーのどちらの一時的なセキュリティ認証情報を使用して送信されたかリクエストが別の AWS サービスによって送信されたかどうか詳細については CloudTrail useridentity 要素を参照してください 62

72 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 : GuardDuty ログファイルエントリ例 : GuardDuty ログファイルエントリ証跡は指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です CloudTrail ログファイルには 1 つ以上のログエントリが含まれますイベントは任意の送信元からの単一のリクエストを表しリクエストされたアクションアクションの日時リクエストのパラメータなどに関する情報が含まれます CloudTrail ログファイルはパブリック API 呼び出しの順序付けられたスタックトレースではないため特定の順序では表示されません以下の例はアクションのログエントリを示しています "eventversion": "1.05", "useridentity": "type": "AssumedRole", "principalid": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam:: :user/alice", "accountid": " ", "accesskeyid": "AKIAI44QH8DHBEXAMPLE", "sessioncontext": "attributes": "mfaauthenticated": "false", "creationdate": " T22:54:20Z", "sessionissuer": "type": "Role", "principalid": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam:: :user/alice", "accountid": " ", "username": "Alice", "eventtime": " T22:57:56Z", "eventsource": "guardduty.amazonaws.com", "eventname": "CreateThreatIntelSet", "awsregion": "us-west-2", "sourceipaddress": " ", "useragent": "console.amazonaws.com", "requestparameters": "detectorid": "5ab04b1110c865eecf516eee2435ede7", "name": "Example", "format": "TXT", "activate": false, "location": " "responseelements": "threatintelsetid": "1ab c99d859bf d24", "requestid": "5f6bf e8-a9fc-5b37d2684c5c", "eventid": "81337b11-e5c8-4f91-b141-deb405625bc9", "readonly": false, "eventtype": "AwsApiCall", "recipientaccountid": " " このイベント情報からはで脅威リストを作成するリクエストが行われたことを判断できますまたこのリクエストは Alice という IAM ユーザーによって 2018 年 6 月 14 日に行われたことも確認できます 63

73 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty に関する CloudWatch イベントの通知頻度を使用した結果のモニタリング Amazon GuardDuty は結果が変更されると Amazon CloudWatch Events に基づいて通知を送信できますこのような変更には新しく生成された結果や既存の結果の後続のすべての発生を含みます GuardDuty の検索結果にはそれぞれ結果 ID が割り当てられます GuardDuty によって一意の結果 ID を持つ各結果に対して CloudWatch イベントが作成されます既存の結果の後続の発生はすべて常に元の結果の ID と同一の結果 ID が割り当てられます CloudWatch イベントに基づいて GuardDuty の結果について通知を受け取るには CloudWatch イベントルールおよび GuardDuty のターゲットを作成する必要がありますこのルールでは CloudWatch は GuardDuty が生成するすべての結果のイベントをルールで指定されたターゲットに送信できます詳細についてはのルールおよびターゲットの作成 (p. 65) を参照してくださいトピック GuardDuty に関する CloudWatch イベントの通知頻度 (p. 64) CloudWatch イベントを使用したアーカイブされた GuardDuty 結果のモニタリング (p. 64) GuardDuty の CloudWatch イベントの形式 (p. 65) のルールおよびターゲットの作成 (p. 65) GuardDuty に関する CloudWatch イベントの通知頻度一意の結果 ID を持つ新しく生成された結果の通知 GuardDuty は CloudWatch イベントに基づいて結果の 5 分以内に通知を送信しますこのイベント ( およびこの通知 ) にはこの結果が一意の ID を伴って生成されてから最初の 5 分に発生したこの結果のそれ以降のすべての発生も含まれています Important 新しく生成される結果に関して送信される通知のデフォルトの頻度 (5 分 ) をカスタマイズすることはできませんその後の結果の発生に関する通知デフォルトでは一意の結果 ID を持つ結果ごとに GuardDuty は 6 時間間隔で行われる特定の結果のその後の発生を単一のイベントに集約しますその後 GuardDuty はこのイベントに基づいてこれらの後続の発生に関する通知を送信しますつまりデフォルトでは既存の結果の後続の発生は GuardDuty によって CloudWatch イベントに基づいて 6 時間ごとに通知が送信されます Important その後の結果の発生に関する通知のデフォルトの頻度はカスタマイズできます有効な値は 15 分 1 時間またはデフォルトの 6 時間ですこの値を更新するには CreateDetector (p. 73) または UpdateDetector (p. 196) API オペレーションを使用します GuardDuty コンソールからこの値を更新することもできます [ 設定 ] を選択し [CloudWatch イベント ] で [ 更新された結果 ] プルダウンメニューからいずれかの値を選択します CloudWatch イベントを使用したアーカイブされた GuardDuty 結果のモニタリング手動でアーカイブされた結果の場合これらのうち最初の結果とそれ以降に発生したすべての結果 ( アーカイブ完了後に生成された結果 ) は前述のとおり頻度ごとに CloudWatch イベントに送信されます 64

74 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GuardDuty の CloudWatch イベントの形式自動アーカイブされた結果の場合これらのうち最初の結果とそれ以降に発生したすべての結果 ( アーカイブ完了後に生成された結果 ) は CloudWatch イベントイベントに送信されません GuardDuty の CloudWatch イベントの形式のイベントには次の形式があります "version": "0", "id": "cd2d702e-ab31-411b ce56b1bc7", "detail-type": "GuardDuty Finding", "source": "aws.guardduty", "account": " ", "time": " T00:00:00Z", "region": "us-east-1", "resources": [], "detail": COMPLETE_GUARDDUTY_FINDING_JSON COMPLETE_GUARDDUTY_FINDING_JSON に含まれているすべてのパラメータの完全なリストについてはレスポンスの構文 (p. 125) を参照してくださいに表示されるパラメータは上記で説明した結果 ID ですのルールおよびターゲットの作成以下の手順は AWS CLI コマンドを使用してのルールおよびターゲットを作成する方法を示します具体的にはルールを作成して CloudWatch で GuardDuty が生成するすべての結果のイベントを送信しルールのターゲットとして AWS Lambda 関数を追加する方法について説明します Note Lambda 関数に加えて GuardDuty および CloudWatch ではターゲットタイプとして Amazon EC2 インスタンス Amazon Kinesis ストリーム Amazon ECS タスク AWS Step Functions ステートマシン run コマンドおよび組み込みターゲットをサポートしますのルールおよびターゲットは CloudWatch イベントコンソールで作成することもできますステップなどの詳細についてはイベントでトリガーする CloudWatch イベントイベントルールの作成を参照してください [Event Source] セクションの [Service name] で GuardDuty [Event Type] で GuardDuty Finding を選択しますルールおよびターゲットを作成するには 1. が生成するすべての結果のイベントをから送信するルールを作成するには次の CloudWatch CLI コマンドを実行します aws events put-rule --name Test --event-pattern "\"source\": [\"aws.guardduty\"]" Important で生成された結果のサブセットにのみイベントを送信するように指示できるようにルールをさらにカスタマイズできますこのサブセットはルールで指定されている結果の属性に基づきますたとえば次の CLI コマンドを使用して CloudWatch で重要度が 5 または 8 の GuardDuty 結果のイベントのみ送信できるようにルールを作成します 65

75 Amazon GuardDuty Amazon Guard Duty ユーザーガイドのルールおよびターゲットの作成 aws events put-rule --name Test --event-pattern "\"source\": [\"aws.guardduty\"],\"detail-type\":[\"guardduty Finding\"],\"detail \":\"severity\":[5,8]" そのために結果のソートに対応している GuardDuty 属性のいずれかを使用できます詳細については GetFindings (p. 123) を参照してください 2. ステップ 1 で作成したルールのターゲットとして Lambda 関数をアタッチするには次の CloudWatch CLI コマンドを実行します aws events put-targets --rule Test --targets Id=1,Arn=arn:aws:lambda:useast-1: :function:<your_function> Note 上記コマンド内の <your_function> をイベントの実際の関数に置き換えてください 3. ターゲットを呼び出す上で必要なアクセス許可を追加するには次の Lambda CLI コマンドを実行します aws lambda add-permission --function-name <your_function> --statement-id 1 --action 'lambda:invokefunction' --principal events.amazonaws.com Note 上記コマンド内の <your_function> をイベントの実際の関数に置き換えてください Note 上記の手順ではイベントをトリガーするルールのターゲットとして関数を使用しています他の AWS リソースをターゲットとして設定して CloudWatch イベントをトリガーすることもできます詳細については PutTargets を参照してください 66

76 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty API リファレンス Amazon GuardDuty では VPC フローログと AWS CloudTrail のイベントログを分析および処理することで AWS 環境のセキュリティを監視しますこのガイドでは GuardDuty の API オペレーションについて説明します Note すべての GuardDuty アクションが Amazon CloudTrail によりログに記録されます詳細については AWS CloudTrail を使用した Amazon GuardDuty API コールのログ記録を参照してくださいトピック AcceptInvitation (p. 68) ArchiveFindings (p. 71) CreateDetector (p. 73) CreateFilter (p. 75) CreateIPSet (p. 82) CreateMembers (p. 86) CreateSampleFindings (p. 89) CreateThreatIntelSet (p. 92) DeclineInvitations (p. 96) DeleteDetector (p. 98) DeleteFilter (p. 100) DeleteInvitations (p. 102) DeleteIPSet (p. 104) DeleteMembers (p. 107) DeleteThreatIntelSet (p. 110) DisassociateFromMasterAccount (p. 112) DisassociateMembers (p. 114) GetDetector (p. 117) GetFilter (p. 119) GetFindings (p. 123) GetFindingsStatistics (p. 141) GetInvitationsCount (p. 144) GetIPSet (p. 146) GetMasterAccount (p. 149) GetMembers (p. 151) GetThreatIntelSet (p. 155) InviteMembers (p. 158) ListDetectors (p. 162) ListFilters (p. 164) ListFindings (p. 167) 67

77 Amazon GuardDuty Amazon Guard Duty ユーザーガイド AcceptInvitation ListInvitations (p. 174) ListIPSets (p. 177) ListMembers (p. 180) ListThreatIntelSets (p. 184) StartMonitoringMembers (p. 188) StopMonitoringMembers (p. 191) UnarchiveFindings (p. 194) UpdateDetector (p. 196) UpdateFilter (p. 198) UpdateFindingsFeedback (p. 204) UpdateIPSet (p. 207) UpdateThreatIntelSet (p. 210) AcceptInvitation GuardDuty のマスターアカウントからモニタリングを受ける招待を承認しますリクエストの構文 POST 本文 : "detectorid": string", "masterid": "string", "invitationid": "string" パスパラメータ detectorid GuardDuty メンバーアカウントになるための招待を受け入れる AWS アカウントのディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます masterid 招待を受け入れる先の GuardDuty マスターアカウントのアカウント ID 型 : 文字列 68

78 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素必須 : はい invitationid GuardDuty マスターアカウントから AWS アカウントに送信された招待の ID 型 : 文字列必須 : はいレスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました現在のアカウントは別のマスターアカウントのメンバーであるため指定されたアカウント ID からの招待は受け入れられませんリクエストは却下されました現在のアカウントには作成済み招待済みまたは関連付けられたメンバーが存在するため招待は受け入れられませんリクエストは却下されました現在のアカウントは既にマスターアカウントのメンバーであるため招待を受け入れることはできません 69

79 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました現在のアカウントには指定されたマスターアカウント ID からの保留中の招待がないか既に別のマスターアカウントのメンバーになっていますリクエストは却下されました指定したマスターアカウント ID の代わりに指定されたメンバーアカウント ID の指定されたハンドシェイクアカウント ID を GuardDuty で引き受けることはできません LimitExceededException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/a12abc34d567e8fa901bc2d34e56789f0/master HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 80 Authorization: AUTHPARAMS X-Amz-Date: T203032Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "masterid":" ", "invitationid":"84b d17d1872b34c4daadcf5" レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Thu, 25 Jan :30:33 GMT x-amzn-requestid: 97dfbc58-020e-11e8-92b f46e03 X-Amzn-Trace-Id: sampled=0;root=1-5a6a3e69-ddfaf64f3fc7013f95e3c3f8 X-Cache: Miss from cloudfront Via: 1.1 d a bbdea73f7680bd.cloudfront.net (CloudFront) X-Amz-Cf-Id: mnphsiizh4o75j28b4jsz6jaybkjux3ek9qu0ereynyt19f-zc9opg== Connection: Keep-alive 70

80 Amazon GuardDuty Amazon Guard Duty ユーザーガイド ArchiveFindings ArchiveFindings 結果 ID のリストで指定されている Amazon GuardDuty の結果をアーカイブします Important GuardDuty メンバーアカウントのユーザーがこの API を実行することはできません現時点の GuardDuty ではメンバーアカウントのユーザーが独自のアカウントマスターアカウント他のメンバーアカウントで結果をアーカイブすることはできませんリクエストの構文 POST 本文 : "findingids": [ "string" ] パスパラメータ detectorid 結果をアーカイブする対象の GuardDuty サービスを指定するディテクター ID 必須 : はい型 : 文字列リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます findingids アーカイブする結果の ID タイプ : 文字列の配列. 最小項目数は 0 です最大数は 50 項目です必須 : はいレスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返ります 71

81 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたリクエストされた結果 ID の数が範囲外です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/c6b0be64463ff852400d8ae5b /findings/archive HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 52 Authorization: AUTHPARAMS X-Amz-Date: T231008Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/

82 Amazon GuardDuty Amazon Guard Duty ユーザーガイド CreateDetector "findingids":[ "9cb0be64df8ba1df249c45eb8a0bf584" ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Fri, 09 Feb :10:09 GMT x-amzn-requestid: 5fc7b08b-0dee-11e8-b559-79ec310d4e06 X-Amzn-Trace-Id: sampled=0;root=1-5a7e2a51-442c3de edf3c048ca X-Cache: Miss from cloudfront Via: f2e50a0d2a5ee1d9c830bf417b2713.cloudfront.net (CloudFront) X-Amz-Cf-Id: uezj5jcfhxegfkotmb6wgt8a3um2jaxreh0qzat_jq-rmdr-hdt9pa== Connection: Keep-alive CreateDetector 1 つの Amazon GuardDuty ディテクターを作成しますディテクターは GuardDuty サービスを表すオブジェクトですディテクターを作成して GuardDuty を有効にする必要があります Important 現在 GuardDuty では各リージョンの AWS アカウントごとに 1 つのディテクターリソースのみをサポートしていますリクエストの構文 POST 本文 : "enable" : "boolean", "findingpublishingfrequency": "[FIFTEEN_MINUTES ONE_HOUR SIX_HOURS]" リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます enable ディテクターが有効であるかどうかを指定しますタイプ : ブール値必須 : はい 73

83 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文 findingpublishingfrequency それ以降の結果の発生に関して送信される通知の頻度を指定します詳細についてはを使用した結果のモニタリング (p. 64) を参照してくださいタイプ : Enum 必須 : いいえ有効な値 : FIFTEEN_MINUTES ONE_HOUR SIX_HOURS デフォルト値 : SIX_HOURS レスポンスの構文本文 : "detectorid": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます detectorid 作成したディテクターの一意の ID 型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効です AccessDeniedException 74

84 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました必要なアクセス許可 (iam:createservicelinkedrole) がありません LimitExceededException リクエストは却下されました現在のアカウントのディテクターは既に存在しています InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 0 Authorization: AUTHPARAMS X-Amz-Date: T215330Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 49 Date: Tue, 23 Jan :53:32 GMT x-amzn-requestid: da9e1c5b e c94ad5ec X-Amzn-Trace-Id: sampled=0;root=1-5a67aedc-76d97a5c367f2eac94d40825 X-Cache: Miss from cloudfront Via: df71188a92655a7dcd1bb cloudfront.net (CloudFront) X-Amz-Cf-Id: kygx5j6wkw7fnez8ee602vqpr3jcuqqbhyymdptwg9jv3u0ybcdanq== Connection: Keep-alive "detectorid":"12abc34d567e8fa901bc2d34e56789f0" CreateFilter 指定された検索基準を使用して GuardDuty 検索結果フィルタを作成しますリクエストの構文 POST 75

85 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ本文 : "name": "string", "description": "string", "findingcriteria": "criterion": [ "<field>": "gt": "integer", "gte": "integer", "lt": "integer", "lte": "integer", "eq": [ "string" ], "neq": [ "string" ] ] "action": "[NOOP ARCHIVE]", "rank": "integer" パスパラメータ detectorid 結果をフィルタリングする対象の GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます name フィルタの名前型 : 文字列必須 : はい説明フィルタの説明型 : 文字列必須 : いいえ findingcriteria 結果のクエリのフィルタに使用する条件を表します型 : FindingCriteria 76

86 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ必須 : はい結果をクエリするには次の属性しか使用できません JSON フィールド名 accountid リージョン信頼度 id resource.accesskeydetails.accesskeyid resource.accesskeydetails.principalid resource.accesskeydetails.username resource.accesskeydetails.usertype コンソールフィールド名アカウント ID リージョン Confidence 結果 ID アクセスキー ID プリンシパル ID ユーザー名ユーザー型 resource.instancedetails.iaminstanceprofile.id IAM インスタンスプロファイル ID resource.instancedetails.imageid resource.instancedetails.instanceid インスタンスイメージ ID インスタンス ID resource.instancedetails.networkinterfaces.ipv6addresses IPv6 アドレス resource.instancedetails.networkinterfaces.privateipaddresses.privateipaddress プライベート IPv4 アドレス resource.instancedetails.networkinterfaces.publicdnsname Public DNS name resource.instancedetails.networkinterfaces.publicip パブリック IP resource.instancedetails.networkinterfaces.securitygroups.groupid セキュリティグループ ID resource.instancedetails.networkinterfaces.securitygroups.groupname セキュリティグループ名 resource.instancedetails.networkinterfaces.subnetid サブネット ID resource.instancedetails.networkinterfaces.vpcid resource.instancedetails.tags.key resource.instancedetails.tags.value resource.resourcetype service.action.actiontype service.action.awsapicallaction.api service.action.awsapicallaction.callertype VPC ID タグキータグ値リソースタイプアクションの種類 API 呼び出し API 発信者タイプ service.action.awsapicallaction.remoteipdetails.city.cityname API 発信者の都市 service.action.awsapicallaction.remoteipdetails.country.countryname API 発信者の国 service.action.awsapicallaction.remoteipdetails.ipaddressv4 API 発信者の IPv4 アドレス service.action.awsapicallaction.remoteipdetails.organization.asn API 発信者の ASN ID 77

87 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ JSON フィールド名コンソールフィールド名 service.action.awsapicallaction.remoteipdetails.organization.asnorg API 発信者の ASN 名 service.action.awsapicallaction.servicename service.action.dnsrequestaction.domain service.action.networkconnectionaction.blocked API 発信者のサービス名 DNS リクエストドメインブロック済みのネットワーク接続 service.action.networkconnectionaction.connectiondirection ネットワーク接続の方向 service.action.networkconnectionaction.localportdetails.port ネットワーク接続のローカルポート service.action.networkconnectionaction.protocol ネットワーク接続プロトコル service.action.networkconnectionaction.remoteipdetails.city.cityname ネットワーク接続の都市 service.action.networkconnectionaction.remoteipdetails.country.countryname ネットワーク接続の国 service.action.networkconnectionaction.remoteipdetails.ipaddressv4 ネットワーク接続のリモート IPv4 アドレス service.action.networkconnectionaction.remoteipdetails.organization.asn ネットワーク接続のリモート IP ASN ID service.action.networkconnectionaction.remoteipdetails.organization.asnorg ネットワーク接続のリモート IP ASN 名 service.action.networkconnectionaction.remoteportdetails.port ネットワーク接続のリモートポート service.additionalinfo.threatlistname service.archived 脅威リスト名 Note この属性を TRUE に設定するとアーカイブされた結果のみが表示されます FALSE に設定するとアーカイブされていない結果のみが表示されますこの属性が設定されていない場合既存のすべての結果が表示されます service.resourcerole severity type updatedat リソースロール重要度検索タイプ更新時刻タイプ : ISO 8601 文字列形式 : YYYY-MM- DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます Gt 結果のクエリ時に単一のフィールドに適用するより大きい条件を表します必須 : いいえ Gte 結果のクエリ時に単一のフィールドに適用する以上条件を表します 78

88 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文 Lt 必須 : いいえ結果のクエリ時に単一のフィールドに適用するより小さい条件を表します Lte 必須 : いいえ結果のクエリ時に単一のフィールドに適用する以下条件を表します Eq 必須 : いいえ結果のクエリ時に単一のフィールドに適用する等しい条件を表します必須 : いいえ Neq 結果のクエリ時に単一のフィールドに適用する等しくない条件を表します action 必須 : いいえ rank フィルタに一致する結果に適用されるアクションを指定しますタイプ : Enum 必須 : いいえ有効な値 : NOOP ARCHIVE デフォルト : NOOP 現在のフィルタのリストにおけるフィルタの位置を指定しますこのフィルタが結果に適用される順序も指定しますタイプ : 整数必須 : いいえ制限 : 最小値は 1 で最大値は現在のフィルタ総数の増分と等しくなりますデフォルト : 1 レスポンスの構文 "name": "string", レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返します 79

89 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラーサービスから以下のデータが JSON 形式で返されます name 正常に作成されたフィルタの名前型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (name) の値が無効ですリクエストは却下されましたパラメータ (description) の値が無効ですリクエストは却下されましたパラメータ (findingcriteria) の値が無効ですリクエストは却下されましたパラメータ (action) の値が無効ですリクエストは却下されましたパラメータ (rank) の値が無効です 80

90 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません LimitExceededException フィルタの制限を超えたためリクエストは拒否されます EntityAlreadyExistsException 指定された名前のフィルタがすでに存在するため要求は拒否されました InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 GET /detector/12abc34d567e8fa901bc2d34e56789f0 HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T220712Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ POST /detector/12abc34d567e8fa901bc2d34e56789f0/filter HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 179 Authorization: AUTHPARAMS X-Amz-Date: T205429Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "findingcriteria": "criterion": "resource.instancedetails.instanceid": "eq": [ "i-49113b93" ], "name": "ExampleFilter" 81

91 Amazon GuardDuty Amazon Guard Duty ユーザーガイド CreateIPSet レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 24 Date: Fri, 24 Aug :54:31 GMT x-amzn-requestid: e5cd1bbc-a7df-11e8-9be9-751fcb56efc9 x-amz-apigw-id: MJaFFEoJPHcFrrQ= X-Amzn-Trace-Id: Root=1-5b aa465aeb2b382d7254eb28b5;Sampled=0 X-Cache: Miss from cloudfront Via: eb066576c1b47cd896ab0019b9f25f.cloudfront.net (CloudFront) X-Amz-Cf-Id: BtfJWcoxlH6ZblhQncoPu7ozBJU7etV8RO8veE8l3vBYOUM22SsyrQ== Connection: keep-alive "name": "ExampleFilter" CreateIPSet IPSet ( ホワイトリストに登録されている信頼できる IP アドレスのリスト ) を作成し高い安全性で AWS 環境と安全に通信します Important GuardDuty メンバーアカウントのユーザーがこの API を実行することはできません現在 GuardDuty ではメンバーアカウントのユーザーが IPSet のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた IPSet はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してくださいリクエストの構文 POST 本文 : "name": "string", "location": "string", "format": "[TXT STIX OTX_CSV ALIEN_VAULT PROOF_POINT FIRE_EYE]", "activate": "boolean" パスパラメータ detectorid IPSet を作成する GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はい 82

92 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます name 形式 IPSet を識別するわかりやすい名前この名前はこの IPSet に含まれる IP アドレスを使用するアクティビティによってトリガーされているすべての結果に表示されます型 : 文字列必須 : はい IPSet を含むファイルの形式型 : 文字列有効な値 : TXT STIX OTX_CSV ALIEN_VAULT PROOF_POINT FIRE_EYE Note 信頼できる IP リストと脅威リストで IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要がありますサンプルリストをプレーンテキスト形式で以下に示します /8 詳細については信頼できる IP リストと脅威リストの使用 (p. 49) を参照してください必須 : はい location IPSet を含むファイルの URI 型 : 文字列必須 : はい activate GuardDuty でアップロード済みの IPSet の使用を開始するかどうかを指定します型 : ブール値必須 : はいレスポンスの構文 "ipsetid": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返します 83

93 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラーサービスから以下のデータが JSON 形式で返されます ipsetid 新しく作成された IPSet を指定する一意の ID 型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー詳細情報が返りますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (name) の値が無効ですリクエストは却下されましたパラメータ (location) の値が無効ですリクエストは却下されましたパラメータ (format) の値が無効ですリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されましたメンバーアカウントが IPSets や ThreatIntelSets を管理することはできません 84

94 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません NoSuchEntityException リクエストは却下されましたロールが見つかりませんでした BadRequestException リクエストは却下されましたこのサービスでサービスロールを引き受けることはできません AccessDeniedException リクエストは却下されました必要なアクセス許可 (iam:putrolepolicy) がありません BadRequestException リクエストは却下されました指定したサービスロールはサービスにリンクされたロールではありません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0/ipset HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 125 Authorization: AUTHPARAMS X-Amz-Date: T000824Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "format":"txt", "activate":true, "location":" "name":"exampleipset" 85

95 Amazon GuardDuty Amazon Guard Duty ユーザーガイド CreateMembers レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 46 Date: Wed, 24 Jan :08:34 GMT x-amzn-requestid: b2890dcb-009a-11e8-b847-0dd5f510dc2a X-Amzn-Trace-Id: sampled=0;root=1-5a67ce79-a478009a74d2b2b17cba97f3 X-Cache: Miss from cloudfront Via: c5dcf9c391508cdebbbfdcf304912f.cloudfront.net (CloudFront) X-Amz-Cf-Id: F6a_zK56EOZU_GODJVrzv94U9bH9ckLWXa0bCeHSbdaivK-WkTb77Q== Connection: Keep-alive "ipsetid":"0cb0141ab9fbde177613ab e90" CreateMembers が有効になっている現在の AWS アカウント (GuardDuty のマスターアカウントになるアカウント ) に対するメンバーアカウントを作成しますリクエストの構文 POST 本文 : "accountdetails": [ "accountid": "string", " ": "string" ] パスパラメータ detectorid メンバーアカウントを作成する GuardDuty アカウントのディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます 86

96 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文 accountdetails GuardDuty マスターアカウントに関連付けるアカウントのアカウント ID と E メールアドレスのペアのリストタイプ : 文字列の配列. 最小項目数は 1 です最大項目数は 50 です必須 : はい accountid AWS アカウント ID 型 : 文字列必須 : はい AWS アカウントの E メールアドレス型 : 文字列必須 : はいレスポンスの構文 "unprocessedaccounts": [ "accountid": "string", "result": "string" ] レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます unprocessedaccounts 処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリストタイプ : 文字列の配列 accountid 処理できなかった AWS アカウントの ID 型 : 文字列 result AWS アカウントを処理できなかった理由型 : 文字列 87

97 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラーエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました現在のアカウントは既に別のマスターアカウントのメンバーになっているためメンバーを作成できません HTTP ステータスコード : 200 リクエストは却下されましたアカウントをそのメンバーにすることはできません HTTP ステータスコード : 200 リクエストは却下されました指定されたアカウント ID は既に現在のアカウントのメンバーか関連付けられたメンバーです HTTP ステータスコード : 200 LimitExceededException リクエストは却下されました現在のアカウントはメンバーの最大許容数を超過できないためこれ以上メンバーを作成できません HTTP ステータスコード : 200 リクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 88

98 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0/member HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 84 Authorization: AUTHPARAMS X-Amz-Date: T193018Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "accountdetails":[ " ":"[email protected]", "accountid":" " ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 26 Date: Thu, 25 Jan :30:19 GMT x-amzn-requestid: 2ddb e8-a10a-75feffd08476 X-Amzn-Trace-Id: sampled=0;root=1-5a6a304b-0bc475fb7f9beaf25dc8a6a4 X-Cache: Miss from cloudfront Via: 1.1 3a9dca02f1ba6ecd49fee9a3ca7fcb81.cloudfront.net (CloudFront) X-Amz-Cf-Id: nujl7jylnffsx25gf6wgrctyrwmys-sclglzh2qizfzxznx53yyytw== Connection: Keep-alive "unprocessedaccounts":[ ] CreateSampleFindings Amazon GuardDuty 結果タイプのリストで指定されたタイプのサンプル結果を生成します findingtypes に NULL を指定するとオペレーションですべてのサポートされている GuardDuty 結果タイプのサンプル結果が生成されますリクエストの構文 POST 本文 : 89

99 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ "findingtypes": [ "findingtype": "string", ] パスパラメータ detectorid サンプル結果を作成する GuardDuty サービスの ID 必須 : はい型 : 文字列リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます findingtypes 作成するサンプル結果のタイプを指定する GuardDuty 結果タイプのリスト必須 : はいタイプ : 文字列の配列制約 : 最小長は 0 です最大長は 50 です findingtype GuardDuty 結果のタイプ型 : 文字列レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていません 90

100 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました指定した結果タイプは無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/c6b0be64463ff852400d8ae5b /findings/create HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 0 Authorization: AUTHPARAMS X-Amz-Date: T225730Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Fri, 09 Feb :57:32 GMT x-amzn-requestid: 9c2bd04f-0dec-11e8-9ce5-1d60637acb70 X-Amzn-Trace-Id: sampled=0;root=1-5a7e275b-e03cf47efbf2e2aea8199ebf X-Cache: Miss from cloudfront Via: a f49942e72a6ed75f783f.cloudfront.net (CloudFront) X-Amz-Cf-Id: eat7we8tgokifz9tq6uecgqqzi17otimucrsr6grcjblmhejwszspq== Connection: Keep-alive 91

101 Amazon GuardDuty Amazon Guard Duty ユーザーガイド CreateThreatIntelSet CreateThreatIntelSet ThreatIntelSet を作成します ThreatIntelSet は既知の悪意のある IP アドレスで構成されます GuardDuty は ThreatIntelSet に基づいて結果を生成します Important GuardDuty メンバーアカウントのユーザーがこの API を実行することはできません現在 GuardDuty ではメンバーアカウントのユーザーが ThreatIntelSets のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた ThreatIntelSets はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してくださいリクエストの構文 POST 本文 : "name": "string", "location": "string", "format": "[TXT STIX OTX_CSV ALIEN_VAULT PROOF_POINT FIRE_EYE]", "activate": "boolean" パスパラメータ detectorid ThreatIntelSet を作成する GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます name 形式分かりやすい ThreatIntelSet 名ですこの ThreatIntelSet に含まれる IP アドレスを使用するアクティビティによって生成されるすべての結果に表示される名前型 : 文字列必須 : はい ThreatIntelSet を含むファイルの形式 Type: String. 有効な値 : TXT STIX OTX_CSV ALIEN_VAULT PROOF_POINT FIRE_EYE 92

102 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文 Note 信頼できる IP リストと脅威リストで IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要がありますサンプルリストをプレーンテキスト形式で以下に示します /8 詳細については信頼できる IP リストと脅威リストの使用 (p. 49) を参照してください必須 : はい location ThreatIntelSet を含むファイルの URI 型 : 文字列必須 : はい activate GuardDuty で作成された ThreatIntelSet の使用を開始するかどうかを指定します型 : ブール値必須 : はいレスポンスの構文 "threatintelsetid": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます threatintelsetid 新しく作成した ThreatIntelSet を指定する一意の ID 型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されています 93

103 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラーリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (name) の値が無効ですリクエストは却下されましたパラメータ (location) の値が無効ですリクエストは却下されましたパラメータ (format) の値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません NoSuchEntityException リクエストは却下されましたロールが見つかりませんでしたリクエストは却下されましたメンバーアカウントが IPSets や ThreatIntelSets を管理することはできません BadRequestException 94

104 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されましたこのサービスでサービスロールを引き受けることはできません AccessDeniedException リクエストは却下されました必要なアクセス許可 (iam:putrolepolicy) がありません BadRequestException リクエストは却下されました指定したサービスロールはサービスにリンクされたロールではありません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0/threatintelset HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 142 Authorization: AUTHPARAMS X-Amz-Date: T194824Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "format":"txt", "activate":true, "location":" "name":"threatintelset" レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 55 Date: Wed, 24 Jan :48:36 GMT x-amzn-requestid: 8af4b f-11e8-8f6b-e37a19b6d996 X-Amzn-Trace-Id: sampled=0;root=1-5a68e30a-ffc9e16710a559d X-Cache: Miss from cloudfront Via: 1.1 7f3f42df8af148df1f9f1ee ad.cloudfront.net (CloudFront) X-Amz-Cf-Id: KPy-b4jZhTp_ahwtcYga-g7K_Urr1QFGL3lIEnZSR6KpfAQ1vxTE3A== Connection: Keep-alive "threatintelsetid":"8cb094db7082fd0db d215dba" 95

105 Amazon GuardDuty Amazon Guard Duty ユーザーガイド DeclineInvitations DeclineInvitations アカウント ID で指定された AWS アカウント ( 招待元 ) から現在の AWS アカウント ( 招待先 ) に送信された招待を拒否しますリクエストの構文 POST 本文 : "accountids": [ "accountid": "string" ] リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます accountids GuardDuty への招待を拒否する対象のアカウントを指定するアカウント ID のリストタイプ : 文字列の配列必須 : はい accountid AWS アカウント ID 型 : 文字列レスポンスの構文 "unprocessedaccounts": [ "accountid": "string", "result": "string" ] レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます 96

106 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラー unprocessedaccounts 処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリストタイプ : 文字列の配列 accountid 処理できなかった AWS アカウントの ID 型 : 文字列 result AWS アカウントを処理できなかった理由型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効です InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /invitation/decline HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 32 Authorization: AUTHPARAMS X-Amz-Date: T212220Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "accountids":[ " " ] 97

107 Amazon GuardDuty Amazon Guard Duty ユーザーガイド DeleteDetector レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 26 Date: Fri, 09 Feb :22:22 GMT x-amzn-requestid: 50d4524e-0ddf-11e ef6b d X-Amzn-Trace-Id: sampled=0;root=1-5a7e110d-59812fd97e6d69b6d X-Cache: Miss from cloudfront Via: fbcc8fa3dbc202089a58be1b399e76.cloudfront.net (CloudFront) X-Amz-Cf-Id: tc1muaei2g-yoimgpezlgclmdvwmujxijf6lrmofvjjqcgoejpdvbq== Connection: Keep-alive "unprocessedaccounts":[ ] DeleteDetector ディテクター ID で指定された Amazon GuardDuty ディテクターを削除しますリクエストの構文 DELETE 本文 : detectorid : "string" パスパラメータ detectorid 削除するディテクターを指定する一意の ID 型 : 文字列必須 : はいレスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返ります 98

108 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました現在のアカウントでメンバーを招待しているか関連付けている限りディテクターを削除できません NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 DELETE /detector/12abc34d567e8fa901bc2d34e56789f0 HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 0 Authorization: AUTHPARAMS X-Amz-Date: T232121Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 99

109 Amazon GuardDuty Amazon Guard Duty ユーザーガイド DeleteFilter HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Tue, 23 Jan :21:22 GMT x-amzn-requestid: 1fe65a9d e bf20881d099 X-Amzn-Trace-Id: sampled=0;root=1-5a67c f70fa2c7ec0c02de331 X-Cache: Miss from cloudfront Via: da68adc4ace0e aef6c5.cloudfront.net (CloudFront) X-Amz-Cf-Id: 4DHXuXpYnaCtVtK0oZlEy41MbwZkEF2KKjT-m0lMqA8vgghBNIEcGA== Connection: Keep-alive DeleteFilter フィルタ名で指定されたフィルタを削除しますリクエストの構文 DELETE 本文 : detectorid : "string" パスパラメータ detectorid フィルタを削除するディテクターを指定する一意の ID 型 : 文字列必須 : はい filtername フィルタの名前型 : 文字列必須 : はいレスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されています 100

110 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (name) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません NoSuchEntityException リクエストは却下されました入力 (name) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 DELETE /detector/12abc34d567e8fa901bc2d34e56789f0/filter/examplefilter HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 0 Authorization: AUTHPARAMS X-Amz-Date: T212338Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 101

111 Amazon GuardDuty Amazon Guard Duty ユーザーガイド DeleteInvitations HTTP/ OK Content-Type: application/json Content-Length: 162 Date: Fri, 24 Aug :23:39 GMT x-amzn-requestid: f a7e3-11e8-a743-e1fe1b7e2a7b x-amz-apigw-id: MJeWVEqovHcFmUw= X-Amzn-Trace-Id: Root=1-5b80775b-f058eea4b4c412bcfe33c3d1;Sampled=0 X-Cache: Miss from cloudfront Via: 1.1 6a1e4dd9fa29c61c4b71a53d6bf94267.cloudfront.net (CloudFront) X-Amz-Cf-Id: jxyk5-8osnmjxzgdecyjsrmt8mvqydvhle6jd1y70kajju5u7emcuq== Connection: keep-alive DeleteInvitations アカウント ID で指定された AWS アカウント ( 招待元 ) から現在の AWS アカウント ( 招待先 ) に送信された招待を削除しますリクエストの構文 POST 本文 : "accountids": [ "accountid": "string" ] リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます accountids GuardDuty への招待を削除する対象のアカウントを指定するアカウント ID のリストタイプ : 文字列の配列必須 : はい accountid AWS アカウント ID 型 : 文字列レスポンスの構文 102

112 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 "unprocessedaccounts": [ "accountid": "string", "result": "string" ] レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます unprocessedaccounts 処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリストタイプ : 文字列の配列 accountid 処理できなかった AWS アカウントの ID 型 : 文字列 result AWS アカウントを処理できなかった理由型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました現在のアカウントがまだ特定のマスターアカウント ID に関連付けられているかまだ招待を拒否していないため招待を削除できません HTTP ステータスコード : 200 リクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効です 103

113 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /invitation/delete HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 32 Authorization: AUTHPARAMS X-Amz-Date: T212908Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "accountids":[ " " ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 26 Date: Fri, 09 Feb :29:09 GMT x-amzn-requestid: 43a71a1a-0de0-11e8-8dbe-7f113b66b9c1 X-Amzn-Trace-Id: sampled=0;root=1-5a7e12a5-8e3f17ba0cdd7d2a87fe74e8 X-Cache: Miss from cloudfront Via: 1.1 a2a7227d0a99f50bffb8ba79de64ab0f.cloudfront.net (CloudFront) X-Amz-Cf-Id: acpqcnsnymk1zkcvkck5cgcyl-35rw5wzvzlwxrrvznbyv8oj9rcig== Connection: Keep-alive "unprocessedaccounts":[ ] DeleteIPSet IPSet ID で指定されている IPSet を削除します Important GuardDuty メンバーアカウントのユーザーがこの API を実行することはできません現在 GuardDuty ではメンバーアカウントのユーザーが IPSet のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた IPSet はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してください 104

114 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストの構文リクエストの構文 DELETE 本文 : detectoid : "string" ipsetid : "string" パスパラメータリクエストは以下のデータを JSON 形式で受け入れます detectorid IPSet を削除する対象の GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はい ipsetid 削除する IPSet を指定する一意の ID 型 : 文字列必須 : はいレスポンスの構文アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効です 105

115 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました指定された ipsetid は無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていませんリクエストは却下されましたメンバーアカウントが IPSets や ThreatIntelSets を管理することはできません NoSuchEntityException リクエストは却下されました指定された ipsetid は無効です AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 DELETE /detector/12abc34d567e8fa901bc2d34e56789f0/ipset/0cb0141ab9fbde177613ab e90 HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 0 Authorization: AUTHPARAMS X-Amz-Date: T003336Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 106

116 Amazon GuardDuty Amazon Guard Duty ユーザーガイド DeleteMembers Date: Wed, 24 Jan :33:38 GMT x-amzn-requestid: 37ff e-11e8-8cd0-dfa2161e90c7 X-Amzn-Trace-Id: sampled=0;root=1-5a67d461-8a28ae442fc2780e9f9db40f X-Cache: Miss from cloudfront Via: 1.1 2a7e9ec6f25ccbf79b1adfa129de8f9c.cloudfront.net (CloudFront) X-Amz-Cf-Id: emccnywbqt9fnohqd-lg11jgepay8yh1kpqw3oyfdm9bqfnlu6uuoa== Connection: Keep-alive DeleteMembers アカウント ID で指定された Amazon GuardDuty メンバーアカウントを削除しますリクエストの構文 POST 本文 : "accountids": [ "accountid": "string" ] パスパラメータ detectorid メンバーアカウントを削除する GuardDuty サービスのディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます accountids 削除する GuardDuty メンバーアカウントのアカウント ID のリストタイプ : 文字列の配列必須 : はい accountid AWS アカウント ID. 型 : 文字列 107

117 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文レスポンスの構文 "unprocessedaccounts": [ "accountid": "string", "result": "string" ] レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返ります unprocessedaccounts 処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリストタイプ : 文字列の配列 accountid 処理できなかった AWS アカウントの ID 型 : 文字列 result AWS アカウントを処理できなかった理由型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました現在のアカウントは指定されたメンバーアカウント ID にまだ関連付けられているためこの ID を削除できません HTTP ステータスコード : 200 リクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていません 108

118 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です NoSuchEntryException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/26b092acdf3e60c625b69013f7488f7b/member/delete HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 32 Authorization: AUTHPARAMS X-Amz-Date: T220100Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "accountids":[ " " ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 26 Date: Fri, 09 Feb :01:01 GMT x-amzn-requestid: b7409e55-0de4-11e8-aa1d-17f6b1e5e6f5 X-Amzn-Trace-Id: sampled=0;root=1-5a7e1a1d-8736f d404294b219 X-Cache: Miss from cloudfront Via: 1.1 b2532cb29a55e8fe8106a4a9a cloudfront.net (CloudFront) X-Amz-Cf-Id: yzc2ksbzimqugjoxpaamxskwpxmmlfoiosbehnamagrnwkxzaf50yq== Connection: Keep-alive "unprocessedaccounts":[ ] 109

119 Amazon GuardDuty Amazon Guard Duty ユーザーガイド DeleteThreatIntelSet DeleteThreatIntelSet ThreatIntelSet ID で指定された ThreatIntelSet を削除します Important GuardDuty メンバーアカウントのユーザーがこの API を実行することはできません現在 GuardDuty ではメンバーアカウントのユーザーが ThreatIntelSets のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた ThreatIntelSets はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してくださいリクエストの構文 DELETE 本文 : detectorid : "string" threatintelsetid : "string" パスパラメータリクエストは以下のデータを JSON 形式で受け入れます detectorid を削除する対象のサービスを指定するディテクター ID 型 : 文字列必須 : はい threatintelsetid 削除する ThreatIntelSet を指定する一意の ID 型 : 文字列必須 : はいレスポンスの構文アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されています 110

120 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました指定された threatintelsetid は無効ですリクエストは却下されましたメンバーアカウントが IPSets や ThreatIntelSets を管理することはできません NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません NoSuchEntityException リクエストは却下されました指定された threatintelsetid は無効です AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 111

121 Amazon GuardDuty Amazon Guard Duty ユーザーガイド DisassociateFromMasterAccount DELETE /detector/12abc34d567e8fa901bc2d34e56789f0/ threatintelset/8cb094db7082fd0db d215dba HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 0 Authorization: AUTHPARAMS X-Amz-Date: T212824Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Wed, 24 Jan :28:26 GMT x-amzn-requestid: 8330e d-11e8-b00e-f1d f X-Amzn-Trace-Id: sampled=0;root=1-5a68fa7a a8e7e769f64 X-Cache: Miss from cloudfront Via: ddca57b96353e9e4cd2660cf65d9da.cloudfront.net (CloudFront) X-Amz-Cf-Id: RntOBwBWFz8ljwXOrdnWfXXfJz12nRQHOiHngFq8fKrgW_b7K5iL4Q== Connection: Keep-alive DisassociateFromMasterAccount 現在の Amazon GuardDuty メンバーアカウントとそのマスターアカウントの関連付けを解除しますリクエストの構文 POST 本文 : detectorid : "string" パスパラメータリクエストは以下のデータを JSON 形式で受け入れます detectorid マスターアカウントとの関連付けを解除するメンバーアカウントのディテクター ID 型 : 文字列必須 : はいレスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返します 112

122 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラーエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました現在のアカウントはマスターアカウントに関連付けられていません NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0/master/disassociate HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 0 Authorization: AUTHPARAMS X-Amz-Date: T204326Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 113

123 Amazon GuardDuty Amazon Guard Duty ユーザーガイド DisassociateMembers HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Thu, 25 Jan :43:27 GMT x-amzn-requestid: 651fdfcb e8-acaf dc8498 X-Amzn-Trace-Id: sampled=0;root=1-5a6a416f-a0b7bcb94c74288c20bced1c X-Cache: Miss from cloudfront Via: d2657cebef b055567b4efeb.cloudfront.net (CloudFront) X-Amz-Cf-Id: impzmm9ilqij7_dde9wu6kznffhmgydmppycuzevrjbsnhhbnjxgta== Connection: Keep-alive DisassociateMembers アカウント ID で指定された Amazon GuardDuty のメンバーアカウントとそのマスターアカウントの関連付けを解除しますリクエストの構文 POST 本文 : "accountids": [ "accountid": "string" ] リクエストパラメータ detectorid マスターに関連付けたメンバーを解除する対象の GuardDuty アカウントの一意のディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます accountids マスターアカウントとの関連付けを解除する GuardDuty メンバーアカウントのアカウント ID のリストタイプ : 文字列の配列 114

124 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文必須 : はい accountid AWS アカウント ID. 型 : 文字列レスポンスの構文 "unprocessedaccounts": [ "accountid": "string", "result": "string" ] レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます unprocessedaccounts 処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリストタイプ : 文字列の配列 accountid 処理できなかった AWS アカウントの ID 型 : 文字列 result AWS アカウントを処理できなかった理由型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました現在のアカウントは指定されたメンバーアカウント ID にまだ関連付けられているためこの ID を削除できません HTTP ステータスコード : 200 リクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されています 115

125 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です NoSuchEntryException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/26b092acdf3e60c625b69013f7488f7b/member/disassociate HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 32 Authorization: AUTHPARAMS X-Amz-Date: T215810Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "accountids":[ " " ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 26 Date: Fri, 09 Feb :58:11 GMT x-amzn-requestid: 51eb275c-0de4-11e8-bd33-c5cd21578c63 X-Amzn-Trace-Id: sampled=0;root=1-5a7e dcdf14863bb877761c X-Cache: Miss from cloudfront Via: 1.1 e1fff2dee56e3b55796cc594a92413c0.cloudfront.net (CloudFront) X-Amz-Cf-Id: E-zJ6yx-omadkYphY1mJTcfyXKjSFJsh38MFTh-pIiNLWdjqo5tLNw== Connection: Keep-alive 116

126 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GetDetector "unprocessedaccounts":[ ] GetDetector ディテクター ID で指定された Amazon GuardDuty ディテクターのプロパティを返しますリクエストの構文 GET パスパラメータ detectorid 説明するディテクターの一意の ID 型 : 文字列必須 : はいレスポンスの構文 "servicerole": "string", "status": "string", "createdat": "string", "updatedat": "string", "findingpublishingfrequency": "enum" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますレスポンスは JSON 形式の以下のデータです servicerole アカウントのリソースへのアクセス権をに付与するサービスにリンクされたロール型 : 文字列 status ディテクターの現在のステータス Type: String. 有効な値 : ENABLED DISABLED 117

127 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラー createdat ディテクターの作成時刻タイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます updatedat ディテクターの最終更新時刻タイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます findingpublishingfrequency それ以降の結果の発生に関して送信される通知の頻度を指定します詳細についてはを使用した結果のモニタリング (p. 64) を参照してくださいエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー詳細情報が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません NoSuchEntityException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 118

128 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GetFilter GET /detector/12abc34d567e8fa901bc2d34e56789f0 HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T220712Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 220 Date: Tue, 23 Jan :07:13 GMT x-amzn-requestid: c3cfdfa e8-a4e2-07af7075b461 X-Amzn-Trace-Id: sampled=0;root=1-5a67b211-9b4ca2adcf4a8bc402a66eac X-Cache: Miss from cloudfront Via: 1.1 fe951a27fbed2178f4268c584d282a1d.cloudfront.net (CloudFront) X-Amz-Cf-Id: VcRcgzIE3MRFumWYKiXjXsoaY2GJSPSo7Q4eSDp7dNquhfxzrZgbgA== Connection: Keep-alive "status":"disabled", "createdat":" t21:53:32.815z", "updatedat":" t21:53:32.815z", "servicerole":"arn:aws:iam:: :role/aws-service-role/guardduty.amazonaws.com/ AWSServiceRoleForAmazonGuardDuty" GetFilter フィルタ名で指定されたフィルタの詳細を返しますリクエストの構文 GET パスパラメータ detectorid 指定されたフィルタの詳細を表示する GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はい filtername 詳細の取得元となるフィルタの名前型 : 文字列必須 : はい 119

129 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文レスポンスの構文 "name": "string", "description": "string", "findingcriteria": [ "criterion": "<field>": "gt": "integer", "gte": "integer", "lt": "integer", "lte": "integer", "eq": [ "string" ], "neq": [ "string" ] ], "action": "[NOOP ARCHIVE]", "rank": "integer" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されますフィルター返されたフィルタの詳細 name フィルタの名前型 : 文字列説明フィルタの説明型 : 文字列 findingcriteria 結果のクエリのフィルタに使用する条件を表します型 : FindingCriteria 必須 : いいえ結果をクエリするには次の属性しか使用できません accountid id リージョン resource.instancedetails.instanceid 120

130 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 resource.resourcetype service.archived Note この属性を TRUE に設定するとアーカイブされた結果のみが表示されます FALSE に設定するとアーカイブされていない結果のみが表示されますこの属性が設定されていない場合既存のすべての結果が表示されます service.action.networkconnectionaction.blocked service.action.networkconnectionaction.connectiondirection service.action.networkconnectionaction.localportdetails.port service.action.networkconnectionaction.protocol service.action.networkconnectionaction.remoteipdetails.ipaddressv4 service.action.networkconnectionaction.remoteportdetails.port service.action.actiontype service.additionalinfo.threatlistname severity type updatedat Gt タイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます Gte 結果のクエリ時に単一のフィールドに適用するより大きい条件を表します必須 : いいえ結果のクエリ時に単一のフィールドに適用する以上条件を表します Lt 必須 : いいえ結果のクエリ時に単一のフィールドに適用するより小さい条件を表します Lte 必須 : いいえ結果のクエリ時に単一のフィールドに適用する以下条件を表します Eq 必須 : いいえ結果のクエリ時に単一のフィールドに適用する等しい条件を表します必須 : いいえ Neq 結果のクエリ時に単一のフィールドに適用する等しくない条件を表します rank 必須 : いいえ現在のフィルタのリストにおけるフィルタの位置を指定しますこのフィルタが結果に適用される順序も指定します 121

131 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラー action タイプ : 整数フィルタに一致する結果に適用されるアクションを指定しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (name) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません NoSuchEntityException リクエストは却下されました入力 (name) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 122

132 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GetFindings GET /detector/12abc34d567e8fa901bc2d34e56789f0/filter/examplefilter HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T212338Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 162 Date: Fri, 24 Aug :23:39 GMT x-amzn-requestid: f a7e3-11e8-a743-e1fe1b7e2a7b x-amz-apigw-id: MJeWVEqovHcFmUw= X-Amzn-Trace-Id: Root=1-5b80775b-f058eea4b4c412bcfe33c3d1;Sampled=0 X-Cache: Miss from cloudfront Via: 1.1 6a1e4dd9fa29c61c4b71a53d6bf94267.cloudfront.net (CloudFront) X-Amz-Cf-Id: jxyk5-8osnmjxzgdecyjsrmt8mvqydvhle6jd1y70kajju5u7emcuq== Connection: keep-alive "name": "ExampleFilter", "description": null, "findingcriteria": "criterion": "resource.instancedetails.instanceid": "eq": [ "i-49113b93" ], "rank": 1, "action": "NOOP" GetFindings 結果 ID で指定する Amazon GuardDuty 結果について説明しますリクエストの構文 POST "findingids": [ "string" ], "sortcriteria": "attributename": "string", "orderby": "[ASC DESC]" 123

133 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータパスパラメータ detectorid 結果を示す対象の GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます findingids 説明する結果の ID タイプ : 文字列の配列. 最小項目数は 0 です最大数は 50 項目です必須 : はい sortcriteria ソートのクエリに使用する条件を表します型 : sortcriteria 必須 : いいえ attributename クエリ可能な結果の属性結果を並べ替えるには次の属性しか使用できません accountid severity 信頼度 type service.eventfirstseen service.eventlastseen createdat タイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます updatedat タイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます service.action.networkconnectionaction.remoteipdetails.ipaddressv4 resource.instancedetails.instanceid service.action.networkconnectionaction.localportdetails.port service.action.networkconnectionaction.remoteportdetails.port 124

134 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文 service.action.networkconnectionaction.remoteipdetails.country.countryname service.action.networkconnectionaction.protocol, service.action.awsapicallaction.api service.action.awsapicallaction.servicename service.action.networkconnectionaction.blocked service.count 型 : 文字列 orderby ソートリクエストの順序 Type: String. 有効な値 : [ASC DESC] レスポンスの構文 "findings": [ "schemaversion": "string", "accountid": "string", "region": "string", "partition": "string", "id": "string", "arn": "string", "type": "string", "resource": "resourcetype": "string", "instancedetails": "iaminstanceprofile": "arn": "string", "id": "string", "imageid": "string", "instanceid": "string", "instancestate": "string", "instancetype": "string", "launchtime": "string", "networkinterfaces": [ "publicdnsname": "string", "publicip": "string", "securitygroups": [ "groupname": "string", "groupid": "string" ], "ipv6addresses": [ "string" ], "privatednsname": "string", "privateipaddress": "string", "privateipaddresses": [ "privatednsname": "string", "privateipaddress": "string" ], "subnetid": "string", 125

135 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文 "vpcid": "string" ], "availabilityzone": "string", "platform": "string", "productcodes": [ "code": "string", "producttype": "string" ], "tags": [ "key": "string", "value": "string" ], "accesskeydetails": "accesskeyid": "string", "principalid": "string", "usertype": "string", "username": "string", "service": "servicename": "string", "detectorid": "string", "action": "actiontype": "string", "networkconnectionaction": "connectiondirection": "string", "remoteipdetails": "ipaddressv4": "string", "organization": "asn": "string", "asnorg": "string", "isp": "string", "org": "string", "country": "countrycode": "string", "countryname": "string", "city": "cityname": "string", "geolocation": "lat": "double", "lon": "double", "remoteportdetails": "port": "integer", "portname": "string", "localportdetails": "port": "integer", "portname": "string", "protocol": "string", "blocked": "boolean", "awsapicallaction": "api": "string", "servicename": "string", 126

136 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 ] "callertype": "string", "remoteipdetails": "ipaddressv4": "string", "organization": "asn": "string", "asnorg": "string", "isp": "string", "org": "string", "country": "countrycode": "string", "countryname": "string", "city": "cityname": "string", "geolocation": "lat": "double", "lon": "double", "domaindetails": "domain": "string", "dnsrequestaction": "domain": "string", "resourcerole": "string", "additionalinfo":, "eventfirstseen": "string", "eventlastseen": "string", "userfeedback": "string", "archived": "boolean", "count": "string", "title": "string", "description": "string", "severity": "float", "confidence": "float", "createdat": "string", "updatedat": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます findings 返された結果のリスト型 : 配列 schemaversion 結果のスキーマバージョン型 : 文字列 127

137 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 accountid GuardDuty に結果の生成を求めるアクティビティを行った AWS アカウント ID 型 : 文字列リージョン GuardDuty に結果の生成を求めるアクティビティが発生した AWS リージョン型 : 文字列パーティション GuardDuty に結果の生成を求めるアクティビティが発生した AWS リソースパーティション id 型 : 文字列結果 ID arn 型 : 文字列 type 結果 ARN 型 : 文字列結果のタイプ型 : 文字列リソース GuardDuty に結果の生成を求めるアクティビティに関連付けられている AWS リソースタイプ : リソース型 AWS リソースのタイプ型 : 文字列 instancedetails GuardDuty に結果の生成を求めるアクティビティに関連付けられている EC2 インスタンスに関する情報タイプ : InstanceDetails iaminstanceprofile EC2 インスタンスのプロファイル情報タイプ : IamInstanceProfile arn AWS EC2 インスタンスプロファイル ARN id 型 : 文字列 AWS EC2 インスタンスプロファイル ID 128

138 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素型 : 文字列 imageid EC2 インスタンスのイメージ ID 型 : 文字列 instanceid EC2 インスタンスの ID 型 : 文字列 instancestate EC2 インスタンスの状態型 : 文字列 instancetype EC2 インスタンスのタイプ型 : 文字列 launchtime EC2 インスタンスの起動時刻型 : 文字列 networkinterfaces EC2 インスタンスのネットワークインターフェイス情報タイプ : NetworkInterfaces publicdnsname EC2 インスタンスのパブリック DNS 名型 : 文字列 publicip EC2 インスタンスのパブリック IP アドレス型 : 文字列 securitygroups EC2 インスタンスに関連付けられたセキュリティグループタイプ : SecurityGroups groupname EC2 インスタンスのセキュリティグループ名型 : 文字列 groupid EC2 インスタンスのセキュリティグループ ID 型 : 文字列 Ipv6Addresses EC2 インスタンスの IpV6 アドレス情報 129

139 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素タイプ : 文字列の配列 privatednsname EC2 インスタンスのプライベート DNS 名型 : 文字列 privateipaddress EC2 インスタンスのプライベート IP アドレス型 : 文字列 privateipaddresses EC2 インスタンスのその他のプライベート IP アドレス情報タイプ : PrivateIPAddresses privatednsname プライベート IP アドレスに対応するプライベート DNS 名情報型 : 文字列 privateipaddress Inet プライベート IP アドレス型 : 文字列 subnetid サブネット ID 型 : 文字列 vpcid VPC ID 型 : 文字列 availabilityzone EC2 インスタンスのアベイラビリティーゾーン型 : 文字列 platform EC2 インスタンスのプラットフォーム型 : 文字列 productcodes EC2 インスタンスの製品コード. タイプ : ProductCodes のリストコード製品コード情報型 : 文字列 producttype 製品コードタイプ 130

140 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素タグ型 : 文字列 EC2 インスタンスのタグタイプ : タグ key value accesskeydetails EC2 インスタンスタグキー型 : 文字列 EC2 インスタンスのタグ値型 : 文字列 GuardDuty に結果の生成を求めるアクティビティに従事したユーザーの IAM アクセスキーの詳細 (IAM ユーザー情報 ) 型 : AccessKeyDetails accesskeyid ユーザーのアクセスキー ID 型 : 文字列 principalid ユーザーのプリンシパル ID 型 : 文字列 usertype ユーザーのタイプ型 : 文字列ユーザー名ユーザーの名前 service 型 : 文字列 GuardDuty によって生成された結果に割り当てられる追加情報タイプ : Service servicename 結果を生成した AWS のサービス (GuardDuty) の名前型 : 文字列 detectorid GuardDuty サービスのディテクター ID 型 : 文字列 131

141 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 action 結果に示されているアクティビティに関する情報タイプ : Action actiontype GuardDuty 結果のアクティビティタイプ型 : 文字列 networkconnectionaction 結果に示されている NETWORK_CONNECTION アクションに関する情報タイプ : NetworkConnectionAction connectiondirection ネットワーク接続の方向型 : 文字列 remoteipdetails 接続のリモート IP 情報タイプ : RemoteIpDetails ipaddressv4 接続の IPV4 リモートアドレス型 : 文字列組織リモート IP アドレスの ISP 組織情報タイプ : Organization asn リモート IP アドレスのインターネットプロバイダーの自律システム番号型 : 文字列 asnorg この ASN を登録した組織型 : 文字列 ISP インターネットプロバイダーの ISP 情報 org 型 : 文字列インターネットプロバイダーの名前国 / 地域型 : 文字列リモート IP アドレスの国情報タイプ : Country 132

142 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 countryname リモート IP アドレスの市町村名型 : 文字列 countrycode リモート IP アドレスの国コード市型 : 文字列リモート IP アドレスの市町村の情報タイプ : City cityname リモート IP アドレスの市町村名型 : 文字列 geolocation リモート IP アドレスの位置情報タイプ : GeoLocation lon リモート IP アドレスの経度情報 lat タイプ : 倍精度浮動小数点数リモート IP アドレスの緯度情報タイプ : 倍精度浮動小数点数 remoteportdetails 接続のリモートポート情報タイプ : RemotePortDetails port リモート接続のポート番号タイプ : 整数 portname リモート接続のポート名型 : 文字列 localportdetails 接続のローカルポート情報タイプ : LocalPortDetails port ローカル接続のポート番号タイプ : 整数 133

143 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 portname プロトコル blocked ローカル接続のポート名型 : 文字列ネットワーク接続プロトコル型 : 文字列ネットワーク接続のブロック情報詳細についてはフローログレコードを参照してくださいタイプ : ブール値 awsapicallaction 結果に示されている AWS_API_CALL アクションに関する情報タイプ : AwsApiCallAction api AWS API 名型 : 文字列 servicename API が呼び出された AWS のサービス名型 : 文字列 callertype AWS API 発信者タイプ型 : 文字列 remoteipdetails 接続のリモート IP 情報タイプ : RemoteIpDetails ipaddressv4 組織接続の IPV4 リモートアドレス型 : 文字列リモート IP アドレスの ISP 組織情報タイプ : Organization asn asnorg インターネットプロバイダーの自律システム番号型 : 文字列この ASN を登録した組織 134

144 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 ISP 型 : 文字列インターネットプロバイダーの ISP 情報 org 型 : 文字列インターネットプロバイダーの名前国 / 地域型 : 文字列リモート IP アドレスの国情報タイプ : Country countryname リモート IP アドレスの市町村名型 : 文字列 countrycode リモート IP アドレスの国コード市型 : 文字列リモート IP アドレスの市町村の情報タイプ : City cityname リモート IP アドレスの市町村名型 : 文字列 geolocation リモート IP アドレスの位置情報タイプ : GeoLocation lon リモート IP アドレスの経度情報 lat タイプ : 倍精度浮動小数点数リモート IP アドレスの緯度情報タイプ : 倍精度浮動小数点数 domaindetails AWS API 呼び出しのドメイン情報タイプ : DomainDetails ドメイン AWS API 呼び出しのドメイン情報 135

145 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 dnsrequestaction 型 : 文字列結果に示されている DNS_REQUEST アクションに関する情報タイプ : DnsRequestAction ドメイン resourcerole DNS リクエストのドメイン情報型 : 文字列この結果のリソースロール情報型 : 文字列 additionalinfo この結果の追加情報のリスト eventfirstseen GuardDuty にこの結果の生成を求めるアクティビティの最初の画面のタイムスタンプタイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます eventlastseen GuardDuty にこの結果の生成を求めるアクティビティの最後の画面のタイムスタンプタイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます userfeedback archived count タイトル説明 severity 結果についてユーザーから提供されるフィードバック型 : 文字列この結果をアーカイブするかどうかを指定しますタイプ : ブール値この結果タイプの合計出現数型 : 文字列結果のタイトル型 : 文字列結果の説明. 型 : 文字列結果の重要度 136

146 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラー信頼度タイプ : 浮動小数点結果の信頼度タイプ : 浮動小数点 createdat 結果が生成されたタイムスタンプタイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます updatedat 結果が最後に更新されたタイムスタンプタイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (findingcriteria) の値が無効ですリクエストは却下されました指定した統計タイプは無効です NoSuchEntityException 137

147 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/c6b0be64463ff852400d8ae5b /findings/get HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 52 Authorization: AUTHPARAMS X-Amz-Date: T232830Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "findingids":[ "9cb0be64df8ba1df249c45eb8a0bf584" ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 3290 Date: Fri, 09 Feb :28:31 GMT x-amzn-requestid: f0876f86-0df0-11e8-900a-559d93fe6c5b X-Amzn-Trace-Id: sampled=0;root=1-5a7e2e9f-d77815a82381c4f592d527bd X-Cache: Miss from cloudfront Via: f9e0f028321e95b5ebd1cd55661fd6.cloudfront.net (CloudFront) X-Amz-Cf-Id: FWbQHHuN2DoUqO9CxoJfxv0MhjH9v2t9uPRf_d_uIBRD7tEXvhmINg== Connection: Keep-alive "findings":[ "schemaversion":"2.0", "accountid":" ", "region":"us-west-2", "partition":"aws", "id":"9cb0be64df8ba1df249c45eb8a0bf584", "arn":"arn:aws:guardduty:us-west-2: :detector/ c6b0be64463ff852400d8ae5b /finding/9cb0be64df8ba1df249c45eb8a0bf584", "type":"unauthorizedaccess:ec2/rdpbruteforce", "resource": "resourcetype":"instance", "instancedetails": "instanceid":"i ", "instancetype":"m3.xlarge", "launchtime":" t02:05:06z", "platform":null, "productcodes":[ "productcodeid":"generatedfindingproductcodeid", 138

148 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 "productcodetype":"generatedfindingproductcodetype" ], "iaminstanceprofile": "arn":"generatedfindinginstanceprofilearn", "id":"generatedfindinginstanceprofileid", "networkinterfaces":[ "ipv6addresses":[ ], "privatednsname":"generatedfindingprivatednsname", "privateipaddress":" ", "privateipaddresses":[ "privatednsname":"generatedfindingprivatename", "privateipaddress":" " ], "subnetid":"generatedfindingsubnetid", "vpcid":"generatedfindingvpcid", "securitygroups":[ "groupname":"generatedfindingsecuritygroupname", "groupid":"generatedfindingsecurityid" ], "publicdnsname":"generatedfindingpublicdnsname", "publicip":" " ], "tags":[ "key":"generatedfindinginstacetag1", "value":"generatedfindinginstacevalue1", "key":"generatedfindinginstacetag2", "value":"generatedfindinginstacetagvalue2", "key":"generatedfindinginstacetag3", "value":"generatedfindinginstacetagvalue3", "key":"generatedfindinginstacetag4", "value":"generatedfindinginstacetagvalue4", "key":"generatedfindinginstacetag5", "value":"generatedfindinginstacetagvalue5", "key":"generatedfindinginstacetag6", "value":"generatedfindinginstacetagvalue6", "key":"generatedfindinginstacetag7", "value":"generatedfindinginstacetagvalue7", "key":"generatedfindinginstacetag8", "value":"generatedfindinginstacetagvalue8", 139

149 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 "key":"generatedfindinginstacetag9", "value":"generatedfindinginstacetagvalue9" ], "instancestate":"running", "availabilityzone":"generatedfindinginstaceavailabilityzone", "imageid":"ami ", "imagedescription":"generatedfindinginstaceimagedescription", "service": "servicename":"guardduty", "detectorid":"c6b0be64463ff852400d8ae5b ", "action": "actiontype":"network_connection", "networkconnectionaction": "connectiondirection":"inbound", "remoteipdetails": "ipaddressv4":" ", "organization": "asn":"-1", "asnorg":"generatedfindingasnorg", "isp":"generatedfindingisp", "org":"generatedfindingorg", "country": "countryname":"generatedfindingcountryname", "city": "cityname":"generatedfindingcityname", "geolocation": "lat":0, "lon":0, "remoteportdetails": "port":1067, "portname":"unknown", "localportdetails": "port":3389, "portname":"rdp", "protocol":"tcp", "blocked":false, "resourcerole":"target", "additionalinfo": "sample":true, "eventfirstseen":" t22:57:31.927z", "eventlastseen":" t22:57:31.927z", "archived":false, "count":1, "userfeedback":"not_useful", "severity":2, "createdat":" t22:57:31.927z", "updatedat":" t22:57:31.927z", "title":" is performing RDP brute force attacks against i ", "description":" is performing RDP brute force attacks against i Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password." 140

150 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GetFindingsStatistics ] GetFindingsStatistics 指定したディテクター ID に関する結果の統計を表示しますリクエストの構文 POST 本文 : "findingcriteria": "criterion": "<field>": "Gt": "integer", "Gte": "integer", "Lt": "integer", "Lte": "integer", "Eq": [ "string" ], "Neq": [ "string" ] "findingstatistictypes": "findingstatistictype": "[COUNT_BY_SEVERITY]" パスパラメータ detectorid 取得する結果の統計のディテクター ID 必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます findingcriteria 結果のクエリに使用する条件 141

151 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文型 : FindingCriteria 必須 : いいえ Gt 結果のクエリ時に単一のフィールドに適用するより大きい条件を表します必須 : いいえ Gte 結果のクエリ時に単一のフィールドに適用する以上条件を表します Lt 必須 : いいえ結果のクエリ時に単一のフィールドに適用するより小さい条件を表します Lte 必須 : いいえ結果のクエリ時に単一のフィールドに適用する以下条件を表します Eq 必須 : いいえ結果のクエリ時に単一のフィールドに適用する等しい条件を表します必須 : いいえ Neq 結果のクエリ時に単一のフィールドに適用する等しくない条件を表します必須 : いいえ findingstatistictypes 結果の統計情報のリスト必須 : はいタイプ : 文字列の配列. 最小項目数 1 最大項目数 10 FindingStatisticType 結果の統計情報の種類 Type: String. 有効な値 : [COUNT_BY_SEVERITY] レスポンスの構文 "findingstatistics": [ "countbyseverity": "integer", ] 142

152 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます findingstatistics 結果セットの重要度または数の統計のマップを表しますタイプ : 整数エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (findingcriteria) の値が無効ですリクエストは却下されました指定した統計タイプは無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー 143

153 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 HTTP ステータスコード : 500 例リクエスト例 POST /detector/26b092acdf3e60c625b69013f7488f7b/findings/statistics HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 48 Authorization: AUTHPARAMS X-Amz-Date: T225034Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "findingstatistictypes":[ "COUNT_BY_SEVERITY" ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 52 Date: Fri, 09 Feb :50:36 GMT x-amzn-requestid: a44aa11e-0deb-11e a841979d1b X-Amzn-Trace-Id: sampled=0;root=1-5a7e25bb-554e828c4c44bf219cac7cff X-Cache: Miss from cloudfront Via: 1.1 e6ed0c52befaa18f2fc5054cafda6db7.cloudfront.net (CloudFront) X-Amz-Cf-Id: zxlghggmhdacyc_qmejlegyaxpsava_vjzdsvav-bxoasccjgk_rzw== Connection: Keep-alive "findingstatistics": "countbyseverity": "2.0":45 GetInvitationsCount 現在のメンバーアカウントに送信されたすべての Amazon GuardDuty メンバーシップ招待の数を返します ( 現在承諾済みの招待は除く ) リクエストの構文 GET レスポンスの構文 144

154 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 "invitationscount": "integer" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます invitationscount この GuardDuty メンバーアカウントに送信されたすべてのメンバーシップ招待の数を返します ( 現在承諾済みの招待は除く ) タイプ : 整数エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効です InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 GET /invitation/count HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T204945Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/

155 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GetIPSet レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 22 Date: Thu, 25 Jan :49:46 GMT x-amzn-requestid: 471e2f e8-ae9e-81995a5809d1 X-Amzn-Trace-Id: sampled=0;root=1-5a6a42ea-b7e4e135162fc10fffc6ed8b X-Cache: Miss from cloudfront Via: a6d5a60db801bab9900e11681a635.cloudfront.net (CloudFront) X-Amz-Cf-Id: 2VlLvf233bVGY4yOB5rRATpTMVmyNDnOK5pgwA_OMugdypwnYMvpcQ== Connection: Keep-alive "invitationscount":1 GetIPSet IPSet ID で指定された IPSet のプロパティを返します Important メンバーアカウントのユーザーがこの API を実行するとレスポンスにはマスターアカウントがアップロードした IPSet が含まれます現在 GuardDuty ではメンバーアカウントのユーザーが IPSet のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた IPSet はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してくださいリクエストの構文 GET 本文 : detectorid : "string" ipsetid : "string" パスパラメータリクエストは以下のデータを JSON 形式で受け入れます detectorid 返す IPSet プロパティが属している GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はい ipsetid 返すプロパティが属している IPSet を指定する一意な ID 146

156 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文型 : 文字列必須 : はいレスポンスの構文 "name": "string", "location": "string", "format": "[TXT STIX OTX_CSV ALIEN_VAULT PROOF_POINT FIRE_EYE]", "status": "[INACTIVE ACTIVATING ACTIVE DEACTIVATING ERROR DELETE_PENDING DELETED]" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます name IPSet の名前型 : 文字列 location IPSet を含むファイルの URI 型 : 文字列形式 IPSet を含むファイルの形式型 : 文字列値 : TXT STIX OTX_CSV ALIEN_VAULT PROOF_POINT FIRE_EYE status IPSet の現在のステータス有効な値 : INACTIVE ACTIVATING ACTIVE DEACTIVATING ERROR DELETE_PENDING DELETED 型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー詳細情報が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されています 147

157 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました指定された ipsetid は無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません NoSuchEntityException リクエストは却下されました指定された ipsetid は無効です InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 GET /detector/12abc34d567e8fa901bc2d34e56789f0/ipset/0cb0141ab9fbde177613ab e90 HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T001448Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 120 Date: Wed, 24 Jan :14:49 GMT 148

158 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GetMasterAccount x-amzn-requestid: 976b1bdd-009b-11e8-adf fd7e81 X-Amzn-Trace-Id: sampled=0;root=1-5a67cff9-297a6d6a145fae5f3111b2d2 X-Cache: Miss from cloudfront Via: 1.1 b2532cb29a55e8fe8106a4a9a cloudfront.net (CloudFront) X-Amz-Cf-Id: Mibb3YLLQGISFxiVKVFAt6h_yPIRSC6F55XvF7SLOXeDQ_lNSIZdgw== Connection: Keep-alive "name":"exampleipset", "location":" "format":"txt", "status":"active" GetMasterAccount Amazon GuardDuty マスターアカウントの詳細を現在のメンバーアカウントに渡しますリクエストの構文 POST 本文 : detectorid : "string" パスパラメータリクエストは以下のデータを JSON 形式で受け入れます detectorid GuardDuty メンバーアカウントのディテクター ID このメンバーアカウントのマスターアカウントの詳細を返します必須 : はい型 : 文字列レスポンスの構文 "master": [ "accountid": "string", "invitationid": "string", "invitedat": "string", "relationshipstatus": "string" ] 149

159 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます master 現在のメンバーアカウントの GuardDuty マスターアカウントに関する詳細のリスト型 : 配列 accountid GuardDuty マスターアカウントのアカウント ID 型 : 文字列 invitationid invitedat GuardDuty マスターアカウントからメンバーに送信された招待の ID 型 : 文字列 GuardDuty マスターアカウントからメンバーに送信された招待のタイムスタンプ型 : 文字列 relationshipstatus マスターアカウントとメンバーアカウントの関係のステータス有効な値 : CREATED INVITED DISABLED ENABLED REMOVED RESIGNED VERIFICATIONINPROGRESS VERIFICATIONFAILED 型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です 150

160 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 GET /detector/12abc34d567e8fa901bc2d34e56789f0/master HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T203733Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 161 Date: Thu, 25 Jan :37:34 GMT x-amzn-requestid: 93058ed0-020f-11e8-9ea f46311 X-Amzn-Trace-Id: sampled=0;root=1-5a6a400e dc9abc8eaac805a22 X-Cache: Miss from cloudfront Via: 1.1 6f1f a31675dde3c27bc22f2ef.cloudfront.net (CloudFront) X-Amz-Cf-Id: NjMp1e2biYmUYjoe570CqcuDFXL3JO-_xB-8qad7moZvX-cl62iWBQ== Connection: Keep-alive "master": "accountid":" ", "invitationid":"84b d17d1872b34c4daadcf5", "invitedat":" t20:26:25.825z", "relationshipstatus":"enabled" GetMembers アカウント ID で指定された Amazon GuardDuty メンバーアカウントに関する詳細を返しますリクエストの構文 POST 151

161 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ本文 : "accountids": [ "accountid": "string" ] パスパラメータ detectorid GuardDuty アカウントのディテクター ID このアカウントのメンバーの詳細を返します型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます accountids GuardDuty メンバーアカウントのアカウント ID のリストこのメンバーアカウントの詳細を返しますタイプ : 文字列の配列必須 : はい accountid AWS アカウント ID 型 : 文字列レスポンスの構文 "members": [ "accountid": "string", "detectorid": "string", " ": "string", "masterid": "string", "relationshipstatus": "string", "invitedat": "string", "updatedat": "string" ], "unprocessedaccounts": [ "accountid": "string", 152

162 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 ] "result": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます members GuardDuty メンバーアカウントに関する詳細のリスト型 : 配列 accountid AWS アカウント ID 型 : 文字列 detectorid masterid GuardDuty メンバーアカウントの一意の ID 型 : 文字列 GuardDuty メンバーアカウントの E メールアドレス型 : 文字列メンバーアカウントの GuardDuty マスターアカウント ID 型 : 文字列 relationshipstatus メンバーアカウントとそのマスターアカウント間の関係のステータス有効な値 : CREATED INVITED DISABLED ENABLED REMOVED RESIGNED VERIFICATIONINPROGRESS VERIFICATIONFAILED invitedat 型 : 文字列メンバーアカウントが GuardDuty に招待されたタイムスタンプタイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます updatedat このメンバーアカウントが更新されたタイムスタンプタイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます unprocessedaccounts 処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリスト 153

163 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラータイプ : 文字列の配列 accountid 処理できなかった AWS アカウントの ID 型 : 文字列 result AWS アカウントを処理できなかった理由型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/26b092acdf3e60c625b69013f7488f7b/member/get HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity 154

164 Amazon GuardDuty Amazon Guard Duty ユーザーガイド GetThreatIntelSet Content-Length: 32 Authorization: AUTHPARAMS X-Amz-Date: T213609Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "accountids":[ " " ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 283 Date: Fri, 09 Feb :36:10 GMT x-amzn-requestid: 3e768f7b-0de1-11e8-afbe-2bd59a045a01 X-Amzn-Trace-Id: sampled=0;root=1-5a7e144a-24c5171e766097b2c56c3822 X-Cache: Miss from cloudfront Via: a f49942e72a6ed75f783f.cloudfront.net (CloudFront) X-Amz-Cf-Id: cz0twv2dduing-vzzd0bryhwib8ocfotbkpkbecd2tdkbvqwcvo7aw== Connection: Keep-alive "members":[ "accountid":" ", "detectorid":"12abc34d567e8fa901bc2d34e56789f0", " ":"[email protected] ", "relationshipstatus":"monitored", "invitedat":" t21:33:05.568z", "masterid":" ", "updatedat":" t21:33:46.363z" ], "unprocessedaccounts":[ ] GetThreatIntelSet ThreatIntelSet ID で指定された ThreatIntelSet のプロパティを返します Important メンバーアカウントのユーザーがこの API を実行するとレスポンスにはマスターアカウントがアップロードした ThreatIntelSets が含まれます現在 GuardDuty ではメンバーアカウントのユーザーが ThreatIntelSets のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた ThreatIntelSets はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してくださいリクエストの構文 GET 155

165 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ本文 : detectorid : "string" threatintelsetid : "string" パスパラメータ detectorid 返す ThreatIntelSet プロパティが属している GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はい threatintelsetid 返すプロパティが属している ThreatIntelSet を指定する一意な ID 型 : 文字列必須 : はいレスポンスの構文 "name": "string", "location": "string", "format": "[TXT STIX OTX_CSV ALIEN_VAULT PROOF_POINT FIRE_EYE]", "status": "[INACTIVE ACTIVATING ACTIVE DEACTIVATING ERROR DELETE_PENDING DELETED]" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます name ThreatIntelSet の名前型 : 文字列 location ThreatIntelSet を含むファイルの URI 型 : 文字列形式 ThreatIntelSet を含むファイルの形式型 : 文字列 156

166 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラー status 有効な値 : TXT STIX OTX_CSV ALIEN_VAULT PROOF_POINT FIRE_EYE ThreatIntelSet の現在の状態型 : 文字列有効な値 : INACTIVE ACTIVATING ACTIVE DEACTIVATING ERROR DELETE_PENDING DELETED エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました指定された threatintelsetid は無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません NoSuchEntityException リクエストは却下されました指定された threatintelsetid は無効です InternalException 内部サーバーエラー 157

167 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 HTTP ステータスコード : 500 例リクエスト例 GET /detector/12abc34d567e8fa901bc2d34e56789f0/ threatintelset/8cb094db7082fd0db d215dba HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T200105Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 137 Date: Wed, 24 Jan :01:06 GMT x-amzn-requestid: c e8-a09c-f1d8e1e0b9aa X-Amzn-Trace-Id: sampled=0;root=1-5a68e602-a127df9b53e8b229624cd03e X-Cache: Miss from cloudfront Via: f323eee70ddda7af34d5feb414ce27.cloudfront.net (CloudFront) X-Amz-Cf-Id: njpvvqsaq4shijcvox0wf6wmmxdqrmhtnzx7utni7r2_effvmsfn6w== Connection: Keep-alive "name":"threatintelset", "location":" "format":"txt", "status":"active" InviteMembers Amazon GuardDuty を有効にする他の AWS アカウントを招待し GuardDuty メンバーアカウントになりますアカウントが招待を受け入れてメンバーアカウントになるとマスターアカウントはメンバーアカウントの GuardDuty 結果を表示および管理できますリクエストの構文 POST 本文 : "accountids": [ "accountid": "string", 158

168 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ ] "message": "string", "disable notification": "boolean" パスパラメータ detectorid メンバーを招待するのに使用する GuardDuty アカウントのディテクター ID 必須 : はい型 : 文字列リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます accountids メンバーとして GuardDuty に招待する AWS アカウントの ID のリスト型 : 文字列の配列必須 : はい accountid メッセージ AWS アカウント ID 型 : 文字列メンバーとして GuardDuty に招待するアカウントに送信する招待メッセージ型 : 文字列必須 : いいえ disable notification メンバーとして GuardDuty に招待するアカウントにメール通知を送信するかどうかを指定します True に設定するとメール通知は招待者に送信されませんタイプ : ブール値必須 : いいえレスポンスの構文 "unprocessedaccounts": [ "accountid": "string", "result": "string" 159

169 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 ] レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます unprocessedaccounts 処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリストタイプ : 文字列の配列 accountid 処理できなかった AWS アカウントの ID 型 : 文字列 result AWS アカウントを処理できなかった理由型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました現在のアカウントは既に別のマスターアカウントのメンバーになっているため他のアカウントを招待できません HTTP ステータスコード : 200 リクエストは却下されました現在のアカウントでそのアカウントを招待することはできません HTTP ステータスコード : 200 リクエストは却下されましたメンバーアカウントの E メールアドレスがありません HTTP ステータスコード : 200 リクエストは却下されました現在のアカウントは指定されたメンバーアカウント ID を既に招待しているか既にこの ID の GuardDuty マスターアカウントになっています HTTP ステータスコード : 200 リクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されています 160

170 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0/member/invite HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 32 Authorization: AUTHPARAMS X-Amz-Date: T195805Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "accountids":[ " " ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 26 Date: Thu, 25 Jan :58:07 GMT x-amzn-requestid: 0f8d a-11e8-9b8e-6f87dff9eb0a X-Amzn-Trace-Id: sampled=0;root=1-5a6a36ce-a5c2cd953fa b609 X-Cache: Miss from cloudfront Via: cd4e04661f12af0f4ce368b4e0a6d.cloudfront.net (CloudFront) 161

171 Amazon GuardDuty Amazon Guard Duty ユーザーガイド ListDetectors X-Amz-Cf-Id: JvaX4jhSDucSDIuL20JewNHkfTE7Gi_Xea14f9KncHhAO5pl7UkyVA== Connection: Keep-alive "unprocessedaccounts":[ ] ListDetectors AWS アカウントの有効になっている Amazon GuardDuty ディテクターのディテクター ID を一覧表示します Important 現在 GuardDuty では各リージョンの AWS アカウントごとに 1 つのディテクターリソースのみをサポートしていますリクエストの構文 GET 本文 : "maxresults": "integer", "nexttoken": "string" リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます maxresults レスポンスに含めるアイテムの最大数を示しますタイプ : 整数必須 : いいえデフォルト : 50 制約 : 最小値は 1 です最大値は 50 です nexttoken 結果のページ分割を行います ListDetectors オペレーションへの最初の呼び出しではこのパラメータの値を NULL に設定しますその後の呼び出しではリクエストの nexttoken に以前のレスポンスの NextToken の値を入力してデータの続きを表示します型 : 文字列必須 : いいえ 162

172 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文レスポンスの構文本文 : "detectorids": [list of detector IDs] レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますレスポンスは JSON 形式の以下のデータです detectorids 有効なすべてのディテクター ID のリストタイプ : 文字列の配列 nexttoken ページ分割に必要なトークン型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (maxresults) の値が無効ですリクエストは却下されましたパラメータ (maxresults) が範囲外です 163

173 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 GET /detector HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T230745Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 52 Date: Tue, 23 Jan :07:46 GMT x-amzn-requestid: 397d e8-a0ee-a7f9aa6e7572 X-Amzn-Trace-Id: sampled=0;root=1-5a67c ff97a36fd78ee5cce278 X-Cache: Miss from cloudfront Via: 1.1 bdf69c9338fccde2f01f587a cloudfront.net (CloudFront) X-Amz-Cf-Id: 4iF3SMkI1xcf_P7mLPyoj5cCpLdx--TiMJUrVKdNf3lpCdCVJCNLgQ== Connection: Keep-alive "detectorids":[ "12abc34d567e8fa901bc2d34e56789f0" ] ListFilters 現在のフィルタのリストを返しますリクエストの構文 GET 本文 : "filternames": [ "string" 164

174 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ ], "nexttoken": "string" パスパラメータ detectorid フィルタを一覧表示する対象の GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はい maxresults レスポンスに含めるアイテムの最大数を示しますタイプ : 整数必須 : いいえデフォルト : 50 制約 : 最小値は 1 です最大値は 50 です nexttoken 結果のページ分割を行います ListFilters オペレーションへの最初の呼び出しではこのパラメータの値を NULL に設定しますその後の呼び出しではリクエストの nexttoken に以前のレスポンスの nexttoken の値を入力してデータの続きを表示します型 : 文字列必須 : いいえレスポンスの構文 "filternames": [ "string" ], "nexttoken": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます filtername フィルタ名のリストですタイプ : 文字列の配列 165

175 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラー nexttoken ページ分割に必要なトークン型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (maxresults) の値が無効ですリクエストは却下されましたパラメータ (maxresults) が範囲外ですリクエストは却下されましたパラメータ (nexttoken) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー 166

176 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 HTTP ステータスコード : 500 例リクエスト例 GET /detector/12abc34d567e8fa901bc2d34e56789f0/filter HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization:AUTHPARAMS X-Amz-Date: T211912Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 50 Date: Fri, 24 Aug :19:14 GMT x-amzn-requestid: 59eab962-a7e3-11e8-8f26-cd857361cad4 x-amz-apigw-id: MJds2FlzvHcF_PA= X-Amzn-Trace-Id: Root=1-5b d b3a4004b4dfb9;Sampled=0 X-Cache: Miss from cloudfront Via: 1.1 fb1574d5a6ba2d77d2a656aba08aa3c3.cloudfront.net (CloudFront) X-Amz-Cf-Id: cywcpu_9n3l_pyxqcpgyhccdcod2eu71pu6trokzppqhknvtmeh33w== Connection: keep-alive "filternames": [ "ExampleFilter" ], "nexttoken": null ListFindings 指定したディテクター ID に関する Amazon GuardDuty の結果を一覧表示しますリクエストの構文 POST 本文 : "findingcriteria": "criterion": "<field>": "Gt": "integer", "Gte": "integer", "Lt": "integer", 167

177 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ "Lte": "integer", "Eq": [ "string" ], "Neq": [ "string" ], "sortcriteria": "attributename": "string", "orderby": "[ASC DESC]", "maxresults": "integer", "nexttoken": "string" パスパラメータ detectorid 結果を一覧表示する対象の GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます maxresults レスポンスに含めるアイテムの最大数を示しますタイプ : 整数必須 : いいえデフォルト : 50 制約 : 最小値は 1 です最大値は 50 です nexttoken 結果のページ分割を行います ListFindings オペレーションへの最初の呼び出しではこのパラメータの値を NULL に設定しますその後の呼び出しではリクエストの nexttoken に以前のレスポンスの nexttoken の値を入力してデータの続きを表示します型 : 文字列必須 : いいえ findingcriteria 結果のクエリに使用する条件を表します型 : FindingCriteria 必須 : いいえ 168

178 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ結果をクエリするには次の属性しか使用できません JSON フィールド名 accountid リージョン信頼度 id resource.accesskeydetails.accesskeyid resource.accesskeydetails.principalid resource.accesskeydetails.username resource.accesskeydetails.usertype コンソールフィールド名アカウント ID リージョン Confidence 結果 ID アクセスキー ID プリンシパル ID ユーザー名ユーザー型 resource.instancedetails.iaminstanceprofile.id IAM インスタンスプロファイル ID resource.instancedetails.imageid resource.instancedetails.instanceid インスタンスイメージ ID インスタンス ID resource.instancedetails.networkinterfaces.ipv6addresses IPv6 アドレス resource.instancedetails.networkinterfaces.privateipaddresses.privateipaddress プライベート IPv4 アドレス resource.instancedetails.networkinterfaces.publicdnsname Public DNS name resource.instancedetails.networkinterfaces.publicip パブリック IP resource.instancedetails.networkinterfaces.securitygroups.groupid セキュリティグループ ID resource.instancedetails.networkinterfaces.securitygroups.groupname セキュリティグループ名 resource.instancedetails.networkinterfaces.subnetid サブネット ID resource.instancedetails.networkinterfaces.vpcid resource.instancedetails.tags.key resource.instancedetails.tags.value resource.resourcetype service.action.actiontype service.action.awsapicallaction.api service.action.awsapicallaction.callertype VPC ID タグキータグ値リソースタイプアクションの種類 API 呼び出し API 発信者タイプ service.action.awsapicallaction.remoteipdetails.city.cityname API 発信者の都市 service.action.awsapicallaction.remoteipdetails.country.countryname API 発信者の国 service.action.awsapicallaction.remoteipdetails.ipaddressv4 API 発信者の IPv4 アドレス service.action.awsapicallaction.remoteipdetails.organization.asn API 発信者の ASN ID service.action.awsapicallaction.remoteipdetails.organization.asnorg API 発信者の ASN 名 169

179 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ JSON フィールド名 service.action.awsapicallaction.servicename service.action.dnsrequestaction.domain service.action.networkconnectionaction.blocked コンソールフィールド名 API 発信者のサービス名 DNS リクエストドメインブロック済みのネットワーク接続 service.action.networkconnectionaction.connectiondirection ネットワーク接続の方向 service.action.networkconnectionaction.localportdetails.port ネットワーク接続のローカルポート service.action.networkconnectionaction.protocol ネットワーク接続プロトコル service.action.networkconnectionaction.remoteipdetails.city.cityname ネットワーク接続の都市 service.action.networkconnectionaction.remoteipdetails.country.countryname ネットワーク接続の国 service.action.networkconnectionaction.remoteipdetails.ipaddressv4 ネットワーク接続のリモート IPv4 アドレス service.action.networkconnectionaction.remoteipdetails.organization.asn ネットワーク接続のリモート IP ASN ID service.action.networkconnectionaction.remoteipdetails.organization.asnorg ネットワーク接続のリモート IP ASN 名 service.action.networkconnectionaction.remoteportdetails.port ネットワーク接続のリモートポート service.additionalinfo.threatlistname service.archived 脅威リスト名 Note この属性を TRUE に設定するとアーカイブされた結果のみが表示されます FALSE に設定するとアーカイブされていない結果のみが表示されますこの属性が設定されていない場合既存のすべての結果が表示されます service.resourcerole severity type updatedat リソースロール重要度検索タイプ更新時刻タイプ : ISO 8601 文字列形式 : YYYY-MM- DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます Gt 結果のクエリ時に単一のフィールドに適用するより大きい条件を表します必須 : いいえ Gte 結果のクエリ時に単一のフィールドに適用する以上条件を表します必須 : いいえ 170

180 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文 Lt 結果のクエリ時に単一のフィールドに適用するより小さい条件を表します Lte 必須 : いいえ結果のクエリ時に単一のフィールドに適用する以下条件を表します Eq 必須 : いいえ結果のクエリ時に単一のフィールドに適用する等しい条件を表します必須 : いいえ Neq 結果のクエリ時に単一のフィールドに適用する等しくない条件を表します必須 : いいえ sortcriteria 結果のソートに使用する条件を表します型 : SortCriteria 必須 : いいえ attributename クエリ可能な結果のパラメータを表します型 : 文字列必須 : いいえ orderby ソートリクエストの順序を表します有効な値 : ASC DESC 型 : 文字列必須 : いいえレスポンスの構文 "findingids": [ "string" ], "nexttoken": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返します 171

181 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラーサービスから以下のデータが JSON 形式で返されます findingids オペレーションから返る結果を指定する ID のリストタイプ : 文字列の配列 nexttoken ページ分割に必要なトークン型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (maxresults) の値が無効ですリクエストは却下されましたパラメータ (maxresults) が範囲外ですリクエストは却下されましたパラメータ (findingcriteria) の値が無効です 172

182 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されましたパラメータ (sortcriteria) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0/findings HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 70 Authorization: AUTHPARAMS X-Amz-Date: T223938Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "findingcriteria": "criterion": "updatedat": "gte": レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 1746 Date: Mon, 12 Feb :39:39 GMT x-amzn-requestid: 9c e8-912b-55dcb9d58ea1 X-Amzn-Trace-Id: sampled=0;root=1-5a8217ab-91c20067a9d784bf259099f2 X-Cache: Miss from cloudfront Via: 1.1 1a d8461b68eec8a4e3b072.cloudfront.net (CloudFront) X-Amz-Cf-Id: hjb2p8k3qosulximneon2eubvz_ixcnsaohw1pbz7knnpypdte0rea== Connection: Keep-alive "findingids":[ "d4b0be682aeeb94e06ff046f3b720aaf", "40b0be6cfea750c084aae20c21ace107", "cab0be7a06e5ebe1d8911cadbfbd51c8", "d0b0c39ae57fb67f9edbd d", "14b0be677c07323d61d7006cce074238", "6eb0be66d03c7b27037f c9bf7", "c4b0be6e6177dd4e269da24de95c933e", "64b0c3bb2da01d83eb306d067ea73e67", 173

183 Amazon GuardDuty Amazon Guard Duty ユーザーガイド ListInvitations "3ab0c0e7734ccbda8f a45f", "38b0c0ce04f29861dc a233b6b", "4cb0c28afacdfc4bb5577b224e0e52ae", "94b0c2305c7d6ff1e3d483e7f36a5238", "72b0c1f80a23ca c46c ", "d6b0c1910d5faeb6e89fe40bd78a35e6", "14b0c18efa4f2981d44b2131a560b73a", "9cb0be64df8ba1df249c45eb8a0bf584", "08b0be64df8b46440d718fc5e33e449c", "70b0be64df8b e966717a5f2d8", "86b0be64df8ae19c13c4d55080b48e6a", "e6b0be64df8ae c151aebbef4c", "36b0be64df8a1f72cbc32e723c2d8b89", "4cb0be64df8a20484f3a1f7ad816ca96", "5cb0be64df8a6b5c3da491b5599fc8ae", "44b0be64df89360da7c31819b3f515fa", "76b0be64df89cc6ffa31a5d c", "0eb0be64df890a043aef0b1b807ddfc7", "ceb0be64df894fdef2500c7ffcc44b84", "32b0be64df88b6c6e8bbc29a798739ca", "50b0be64df88991e0221f80f d", "72b0be64df88753b1aa bc2fcc", "fab0be64df887026d806b6553d67bacb", "2ab0be64df878810cbe619a0ba7ef05d", "78b0be64df87ab9eb027d0c d6", "3eb0be64df872fa74d318e6e31d03728", "40b0be64df8746cdecf990d3f89fe633", "56b0be64df86ad5f22e15c17b381bd8c", "9eb0be64df8693f01ade ", "d2b0be64df86145bbafa2f2ea9e05dba", "d8b0be64df85da2fb107ee60013fef4d", "f0b0be64df864f7d6c70d0adc21ec430", "aeb0be64df85d6365eb815b1bef28dff", "ccb0be64df85e42caf8e33b916eaf7d1", "2cb0be64df852627bbb68f63749b36e0", "90b0be64df8513c19d6864ea3a02b91f", "7ab0be64df84dd2cb89e e956", "94b0be64df84c4e7ce9f49f95b58b4ac", "92b0be64df846c83bd36dca0d7cd8271", "ccb0be64df845a4ed d0a5b", "50b0be64df83e63bb9693bb63b2e9faa" ], "nexttoken":"" ListInvitations 現在の AWS アカウントに送信された Amazon GuardDuty のすべてのメンバーシップ招待を表示しますリクエストの構文 GET 本文 : "maxresults" : "integer" 174

184 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ "nexttoken" : "string" リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます maxresults レスポンスに含めるアイテムの最大数を示しますタイプ : 整数必須 : いいえデフォルト : 50 制約 : 最小値は 1 です最大値は 50 です nexttoken 結果のページ分割を行います ListInvitations オペレーションへの最初の呼び出しではこのパラメータの値を NULL に設定しますその後の呼び出しではリクエストの nexttoken に以前のレスポンスの NextToken の値を入力してデータの続きを表示します必須 : いいえ型 : 文字列レスポンスの構文 "invitations": [ "accountid": "string", "invitationid": "string", "invitedat": "string", "relationshipstatus": "string" ], "nexttoken": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます invitations この AWS アカウントに送信された GuardDuty メンバーシップ招待に関する詳細のリスト型 : 配列 accountid 招待を送信した AWS アカウントの ID 175

185 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラー型 : 文字列 invitationid invitedat 招待の一意の ID 型 : 文字列招待が送信されたタイムスタンプ型 : 文字列 relationshipstatus nexttoken 招待者と招待対象者のアカウントの間の現在の関係を表すステータス有効な値 : CREATED INVITED DISABLED ENABLED REMOVED RESIGNED VERIFICATIONINPROGRESS VERIFICATIONFAILED 型 : 文字列レスポンスの生成時に一覧表示されるデータが多くなるとこのパラメータはレスポンスで提供され後続のページ分割リクエストの nexttoken パラメータに使用する値が含まれます表示するデータがなくなるとこのパラメータは NULL に設定されます型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (maxresults) の値が無効ですリクエストは却下されましたパラメータ (maxresults) が範囲外です 176

186 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 GET /invitation HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T201238Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 180 Date: Thu, 25 Jan :12:39 GMT x-amzn-requestid: 176ef1d7-020c-11e8-8ed9-eb03a370f9db X-Amzn-Trace-Id: sampled=0;root=1-5a6a3a37-ce08a19c90097c2711af6d20 X-Cache: Miss from cloudfront Via: 1.1 8a4a49fefe26d51023ff83ac514d5779.cloudfront.net (CloudFront) X-Amz-Cf-Id: 6lDytN8vgXTKCeKmTKW6n9uu-Q8auCCDJENKQ46nagklpnjkeIuFkA== Connection: Keep-alive "invitations":[ "accountid":" ", "invitationid":"2cb097774d0b74808af8fa270f1dc404", "invitedat":" t20:07:24.438z", "relationshipstatus":"invited" ], "empty":false ListIPSets ディテクター ID で指定された Amazon GuardDuty サービスの IPSet のリスト Important メンバーアカウントのユーザーがこの API を実行するとレスポンスにはマスターアカウントがアップロードした IPSet が含まれます現在 GuardDuty ではメンバーアカウントのユーザーが IPSet のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた IPSet はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してください 177

187 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストの構文リクエストの構文パスパラメータ : GET 本文 : "maxresults": "integer", "nexttoken": "string" パスパラメータ detectorid IPSet オブジェクトを一覧表示する対象の GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます maxresults レスポンスに含めるアイテムの最大数を示しますタイプ : 整数必須 : いいえデフォルト : 50 制約 : 最小値は 1 です最大値は 50 です nexttoken 結果のページ分割を行います ListIPSets オペレーションへの最初の呼び出しではこのパラメータの値を NULL に設定しますその後の呼び出しではリクエストの nexttoken に以前のレスポンスの NextToken の値を入力してデータの続きを表示します型 : 文字列必須 : いいえレスポンスの構文 178

188 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 "ipsetids": [ "string" ], "nexttoken": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます ipsetids 指定した GuardDuty サービスの IPSet オブジェクトを指定する ID のリストタイプ : 文字列の配列 nexttoken ページ分割に必要なトークン型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (maxresults) の値が無効です 179

189 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されましたパラメータ (maxresults) が範囲外です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 GET /detector/26b092acdf3e60c625b69013f7488f7b/ipset HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T001914Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 66 Date: Wed, 24 Jan :19:16 GMT x-amzn-requestid: 3655f06a-009c-11e8-b1c0-63f7fc930fe2 X-Amzn-Trace-Id: sampled=0;root=1-5a67d104-81ea75e98e2fe32d X-Cache: Miss from cloudfront Via: 1.1 5b51f6e8f38342d63beb93a0db7a392b.cloudfront.net (CloudFront) X-Amz-Cf-Id: RPe-C-TRFt4cMylGV8ux1PCoeG5eK1seeolplZTVhYTtRZLEkDUd6w== Connection: Keep-alive "ipsetid":"0cb0141ab9fbde177613ab e90" ListMembers Amazon GuardDuty の現在のマスターアカウントのすべてのメンバーアカウントに関する詳細を表示しますリクエストの構文 GET 180

190 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ本文 : "maxresults": "integer", "nexttoken": "string", "onlyassociated": "boolean" パスパラメータ detectorid メンバーを一覧表示する GuardDuty アカウントのディテクター ID 必須 : はい型 : 文字列リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます maxresults レスポンスに含めるアイテムの最大数を示します必須 : いいえ型 : 文字列デフォルト : 50 制約 : 最小値は 1 です最大値は 50 です nexttoken 結果のページ分割を行います ListMembers オペレーションへの最初の呼び出しではこのパラメータの値を NULL に設定しますその後の呼び出しではリクエストの nexttoken に以前のレスポンスの NextToken の値を入力してデータの続きを表示します必須 : いいえ型 : 文字列 onlyassociated マスターアカウントとの関係ステータスに基づいてレスポンスに含むメンバーアカウントを指定しますデフォルト値は TRUE です onlyassociated が TRUE に設定されている場合レスポンスにはマスターとの関係ステータスが ENABLED または DISABLED に設定されているメンバーアカウントが含まれます onlyassociated が FALSE に設定されている場合そのレスポンスには既存のすべてのメンバーアカウントが含まれます必須 : いいえタイプ : ブール値デフォルト : True 181

191 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文レスポンスの構文 "members": [ "accountid": "string", "detectorid": "string", " ": "string", "masterid": "string", "relationshipstatus": "string", "invitedat": "string", "updatedat": "string" ], "nexttoken": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます members GuardDuty メンバーアカウントに関する詳細のリスト型 : 配列 accountid AWS アカウント ID 型 : 文字列 detectorid masterid GuardDuty メンバーアカウントの一意の ID 型 : 文字列 GuardDuty メンバーアカウントの E メールアドレス型 : 文字列メンバーアカウントの GuardDuty マスターアカウント ID 型 : 文字列 relationshipstatus メンバーアカウントとそのマスターアカウント間の関係のステータス有効な値 : CREATED INVITED DISABLED ENABLED REMOVED RESIGNED VERIFICATIONINPROGRESS VERIFICATIONFAILED invitedat 型 : 文字列メンバーアカウントが GuardDuty に招待されたタイムスタンプ 182

192 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラータイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます updatedat nexttoken このメンバーアカウントが更新されたタイムスタンプタイプ : ISO 8601 文字列形式 : YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じますページ分割に必要なトークンレスポンスの生成時に一覧表示されるデータが多くなるとこのパラメータはレスポンスで提供され後続のページ分割リクエストの nexttoken パラメータに使用する値が含まれます表示するデータがなくなるとこのパラメータは NULL に設定されますタイプ : 整数エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (maxresults) の値が無効ですリクエストは却下されましたパラメータ (maxresults) が範囲外ですリクエストは却下されましたパラメータ (onlyassociated) の値が無効です 183

193 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 NoSuchEntryException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 GET /detector/26b092acdf3e60c625b69013f7488f7b/member HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T214335Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 256 Date: Fri, 09 Feb :43:37 GMT x-amzn-requestid: 48c4d871-0de2-11e8-a0da-35504ea5b4f3 X-Amzn-Trace-Id: sampled=0;root=1-5a7e1608-de91dbb e2ba0b97 X-Cache: Miss from cloudfront Via: 1.1 a8a06e f2808c2efee52f455.cloudfront.net (CloudFront) X-Amz-Cf-Id: _tzbumnomn2zwkakgiqpble0dd2sbiyij3dj2c3anx_db7mnmrlncq== Connection: Keep-alive "members":[ "accountid":" ", "detectorid":"12abc34d567e8fa901bc2d34e56789f0", " ":"[email protected]", "relationshipstatus":"enabled", "invitedat":" t21:33:05.568z", "masterid":" ", "updatedat":" t21:33:46.363z" ] ListThreatIntelSets ディテクター ID で指定された GuardDuty サービスの ThreatIntelSets のリスト 184

194 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストの構文 Important メンバーアカウントのユーザーがこの API を実行するとレスポンスにはマスターアカウントがアップロードした ThreatIntelSets が含まれます現在 GuardDuty ではメンバーアカウントのユーザーが ThreatIntelSets のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた ThreatIntelSets はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してくださいリクエストの構文 GET 本文 : "maxresults": "integer", "nexttoken": "string" パスパラメータ detectorid ThreatIntelSets を一覧表示する対象の GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます maxresults レスポンスに含めるアイテムの最大数を示しますタイプ : 整数必須 : いいえデフォルト : 50 制約 : 最小値は 1 です最大値は 50 です nexttoken 結果のページ分割を行います ListThreatIntelSets オペレーションへの最初の呼び出しではこのパラメータの値を NULL に設定します今後このアクションを呼び出す場合はリクエストの nexttoken に以前のレスポンスの NextToken の値を入力してデータの続きを表示します型 : 文字列 185

195 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文必須 : いいえレスポンスの構文アクションが成功するとサービスは HTTP 200 レスポンスを返します "threatintelsetids": [ "string" ], "nexttoken": "string" レスポンス要素サービスから以下のデータが JSON 形式で返されます threatintelsetids 指定した GuardDuty サービスの ThreatIntelSet オブジェクトを指定する ID のリスト型 : 文字列の配列制約 : 最小項目数は 0 です最大数は 50 項目です nexttoken ページ分割に必要なトークン型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です 186

196 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されましたパラメータ (maxresults) の値が無効ですリクエストは却下されましたパラメータ (maxresults) が範囲外です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 GET /detector/12abc34d567e8fa901bc2d34e56789f0/threatintelset HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Authorization: AUTHPARAMS X-Amz-Date: T195513Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 75 Date: Wed, 24 Jan :55:14 GMT x-amzn-requestid: 7e5a935c e8-a9ab-51b1993e9c62 X-Amzn-Trace-Id: sampled=0;root=1-5a68e4a2-f59a246addd680e790b6c2e0 X-Cache: Miss from cloudfront Via: 1.1 7cbd9c5a78702cfae1a7ed58e294736e.cloudfront.net (CloudFront) X-Amz-Cf-Id: -LPBY0XNC0h0ifRWzhb9Lo4HLRJA2BxaFfLzzvVeAhXrPkuqlcnBpg== Connection: Keep-alive "threatintelsetids":[ "8cb094db7082fd0db d215dba" ], "nexttoken":null 187

197 Amazon GuardDuty Amazon Guard Duty ユーザーガイド StartMonitoringMembers StartMonitoringMembers アカウント ID で指定されたメンバーアカウントの結果を Amazon GuardDuty で再度モニタリングできるようにしますを実行してこれらのメンバーの結果を GuardDuty でモニタリングすることを無効にした場合マスターアカウントではこのコマンドを実行して再有効化できますリクエストの構文 POST 本文 : "accountids": [ "accountid": "string" ] パスパラメータ detectorid メンバーアカウントの結果のモニタリングを停止する対象の GuardDuty アカウントのディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます accountids マスターアカウントで結果のモニタリングを再有効化する GuardDuty メンバーアカウントのアカウント ID のリストタイプ : 文字列の配列必須 : はい accountid AWS アカウント ID 型 : 文字列レスポンスの構文 188

198 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素 "unprocessedaccounts": [ "accountid": "string", "result": "string" ] レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます unprocessedaccounts 処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリストタイプ : 文字列の配列 accountid 処理できなかった AWS アカウントの ID 型 : 文字列 result AWS アカウントを処理できなかった理由型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました指定されたアカウント ID は現在のアカウントの関連付けられたメンバーではありません HTTP ステータスコード : 200 リクエストは却下されました指定したマスターアカウント ID の代わりに指定されたメンバーアカウント ID の指定されたハンドシェイクアカウント ID を GuardDuty で引き受けることはできません HTTP ステータスコード : 200 リクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていません 189

199 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/26b092acdf3e60c625b69013f7488f7b/member/start HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 32 Authorization: AUTHPARAMS X-Amz-Date: T215455Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "accountids":[ " " ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 26 Date: Fri, 09 Feb :54:56 GMT x-amzn-requestid: dde3efad-0de3-11e8-9ba1-c17118e93549 X-Amzn-Trace-Id: sampled=0;root=1-5a7e18b0-786dcf902e5059ee64f7e30a X-Cache: Miss from cloudfront Via: 1.1 b2532cb29a55e8fe8106a4a9a cloudfront.net (CloudFront) X-Amz-Cf-Id: psrlcyqefdp1fodzmxiafxmzf5npf2dzriatsid4e5b9zxfhd1ot0w== Connection: Keep-alive "unprocessedaccounts":[ 190

200 Amazon GuardDuty Amazon Guard Duty ユーザーガイド StopMonitoringMembers ] StopMonitoringMembers アカウント ID で指定されたメンバーアカウントの結果を Amazon GuardDuty でモニタリングできないようにしますこのコマンドを実行した後でこれらのメンバーの結果をで再度モニタリングするにはマスターアカウントでを実行しますリクエストの構文 POST 本文 : "accountids": [ "accountid": "string" ] パスパラメータ detectorid メンバーアカウントの結果のモニタリングを停止する対象の GuardDuty アカウントのディテクター ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます accountids マスターアカウントで結果のモニタリングを停止する対象の GuardDuty メンバーアカウントのアカウント ID のリストタイプ : 文字列の配列必須 : はい accountid AWS アカウント ID. 191

201 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文型 : 文字列レスポンスの構文 "unprocessedaccounts": [ "accountid": "string", "result": "string" ] レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますサービスから以下のデータが JSON 形式で返されます unprocessedaccounts 処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリストタイプ : 文字列の配列 accountid 処理できなかった AWS アカウントの ID 型 : 文字列 result AWS アカウントを処理できなかった理由型 : 文字列エラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました指定されたアカウント ID は現在のアカウントのメンバーではありません HTTP ステータスコード : 200 リクエストは却下されました指定したマスターアカウント ID の代わりに指定されたメンバーアカウント ID の指定されたハンドシェイクアカウント ID を GuardDuty で引き受けることはできません HTTP ステータスコード :

202 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/26b092acdf3e60c625b69013f7488f7b/member/stop HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 32 Authorization: AUTHPARAMS X-Amz-Date: T215008Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "accountids":[ " " ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 26 Date: Fri, 09 Feb :50:09 GMT 193

203 Amazon GuardDuty Amazon Guard Duty ユーザーガイド UnarchiveFindings x-amzn-requestid: 32b833a1-0de3-11e8-b5b7-6ffb530727e9 X-Amzn-Trace-Id: sampled=0;root=1-5a7e1791-5affbdd584be95ecf97cc9f2 X-Cache: Miss from cloudfront Via: 1.1 4b41f5d4002cf5daabe6e170bd619abc.cloudfront.net (CloudFront) X-Amz-Cf-Id: KhOTiBOnEjFXmBjANQOjIiYCE2fGOGiaFAKfetjK65Dv16VWeH4ESw== Connection: Keep-alive "unprocessedaccounts":[ ] UnarchiveFindings 結果 ID のリストで指定された Amazon GuardDuty の結果を解凍しますリクエストの構文パスパラメータ : POST 本文 : "findingids": [ "string" ] パスパラメータ detectorid 結果を解凍する対象の GuardDuty サービスを指定するディテクターの ID 必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます findingids 解凍する結果の ID タイプ : 文字列の配列. 最小項目数は 0 です最大数は 50 項目です必須 : はい 194

204 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたリクエストされた結果 ID の数が範囲外です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 195

205 Amazon GuardDuty Amazon Guard Duty ユーザーガイド UpdateDetector POST /detector/c6b0be64463ff852400d8ae5b /findings/unarchive HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 52 Authorization: AUTHPARAMS X-Amz-Date: T231331Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "findingids":[ "9cb0be64df8ba1df249c45eb8a0bf584" ] レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Fri, 09 Feb :13:32 GMT x-amzn-requestid: d8d7831e-0dee-11e8-b703-ab81f X-Amzn-Trace-Id: sampled=0;root=1-5a7e2b1c-5d c568f02a266c57b X-Cache: Miss from cloudfront Via: 1.1 8a4a49fefe26d51023ff83ac514d5779.cloudfront.net (CloudFront) X-Amz-Cf-Id: WWIYv0gEFz8k9cuPE_FT54T1aDL80Nrpfn3bDVLW7s1AbuQzWcMhkg== Connection: Keep-alive UpdateDetector ディテクター ID で指定された Amazon GuardDuty ディテクターを更新しますリクエストの構文 POST 本文 : "enable" : "boolean", "findingpublishingfrequency": "[FIFTEEN_MINUTES ONE_HOUR SIX_HOURS]" パスパラメータ detectorid 更新するディテクターの一意の ID 型 : 文字列必須 : はい 196

206 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます有効化ディテクターが有効であるかどうかを指定しますタイプ : ブール値必須 : いいえ findingpublishingfrequency それ以降の結果の発生に関して送信される通知の頻度を指定します詳細についてはを使用した結果のモニタリング (p. 64) を参照してくださいタイプ : Enum 必須 : いいえ有効な値 : FIFTEEN_MINUTES ONE_HOUR SIX_HOURS デフォルト値 : SIX_HOURS レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効です AccessDeniedException 197

207 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました必要なアクセス許可 (iam:createservicelinkedrole) がありません NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0 HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 16 Authorization: AUTHPARAMS X-Amz-Date: T231356Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "enable":true レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Tue, 23 Jan :13:57 GMT x-amzn-requestid: 16c e8-a33d-67e86e7cc0b9 X-Amzn-Trace-Id: sampled=0;root=1-5a67c1b5-f8ce3625e119d47f2531e4ac X-Cache: Miss from cloudfront Via: 1.1 b7b35e3be0ac217c56fb0eb4da9b75bb.cloudfront.net (CloudFront) X-Amz-Cf-Id: _y_e0gjs2u1rcj8yknrpgjyb5cossyeg1vkv9-ikahguubs03-900a== Connection: Keep-alive UpdateFilter フィルタ名で指定されたフィルタを更新しますリクエストの構文 POST 198

208 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ本文 : "description": "string", "criteria": [ "criterion": "<field>": "gt": "integer", "gte": "integer", "lt": "integer", "lte": "integer", "eq": [ "string" ], "neq": [ "string" ] ], "action": "[NOOP ARCHIVE]", "rank": "integer" パスパラメータ detectorid フィルタをアップデートする対象の GuardDuty サービスを指定するディテクターの一意の ID 型 : 文字列必須 : はい filtername フィルタの名前型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます description フィルタの説明型 : 文字列必須 : いいえ findingcriteria 結果のクエリのフィルタに使用する条件を表します型 : FindingCriteria 199

209 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ必須 : いいえ結果をクエリするには次の属性しか使用できません JSON フィールド名 accountid リージョン信頼度 id resource.accesskeydetails.accesskeyid resource.accesskeydetails.principalid resource.accesskeydetails.username resource.accesskeydetails.usertype コンソールフィールド名アカウント ID リージョン Confidence 結果 ID アクセスキー ID プリンシパル ID ユーザー名ユーザー型 resource.instancedetails.iaminstanceprofile.id IAM インスタンスプロファイル ID resource.instancedetails.imageid resource.instancedetails.instanceid インスタンスイメージ ID インスタンス ID resource.instancedetails.networkinterfaces.ipv6addresses IPv6 アドレス resource.instancedetails.networkinterfaces.privateipaddresses.privateipaddress プライベート IPv4 アドレス resource.instancedetails.networkinterfaces.publicdnsname Public DNS name resource.instancedetails.networkinterfaces.publicip パブリック IP resource.instancedetails.networkinterfaces.securitygroups.groupid セキュリティグループ ID resource.instancedetails.networkinterfaces.securitygroups.groupname セキュリティグループ名 resource.instancedetails.networkinterfaces.subnetid サブネット ID resource.instancedetails.networkinterfaces.vpcid resource.instancedetails.tags.key resource.instancedetails.tags.value resource.resourcetype service.action.actiontype service.action.awsapicallaction.api service.action.awsapicallaction.callertype VPC ID タグキータグ値リソースタイプアクションの種類 API 呼び出し API 発信者タイプ service.action.awsapicallaction.remoteipdetails.city.cityname API 発信者の都市 service.action.awsapicallaction.remoteipdetails.country.countryname API 発信者の国 service.action.awsapicallaction.remoteipdetails.ipaddressv4 API 発信者の IPv4 アドレス service.action.awsapicallaction.remoteipdetails.organization.asn API 発信者の ASN ID 200

210 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ JSON フィールド名コンソールフィールド名 service.action.awsapicallaction.remoteipdetails.organization.asnorg API 発信者の ASN 名 service.action.awsapicallaction.servicename service.action.dnsrequestaction.domain service.action.networkconnectionaction.blocked API 発信者のサービス名 DNS リクエストドメインブロック済みのネットワーク接続 service.action.networkconnectionaction.connectiondirection ネットワーク接続の方向 service.action.networkconnectionaction.localportdetails.port ネットワーク接続のローカルポート service.action.networkconnectionaction.protocol ネットワーク接続プロトコル service.action.networkconnectionaction.remoteipdetails.city.cityname ネットワーク接続の都市 service.action.networkconnectionaction.remoteipdetails.country.countryname ネットワーク接続の国 service.action.networkconnectionaction.remoteipdetails.ipaddressv4 ネットワーク接続のリモート IPv4 アドレス service.action.networkconnectionaction.remoteipdetails.organization.asn ネットワーク接続のリモート IP ASN ID service.action.networkconnectionaction.remoteipdetails.organization.asnorg ネットワーク接続のリモート IP ASN 名 service.action.networkconnectionaction.remoteportdetails.port ネットワーク接続のリモートポート service.additionalinfo.threatlistname service.archived 脅威リスト名 Note この属性を TRUE に設定するとアーカイブされた結果のみが表示されます FALSE に設定するとアーカイブされていない結果のみが表示されますこの属性が設定されていない場合既存のすべての結果が表示されます service.resourcerole severity type updatedat リソースロール重要度検索タイプ更新時刻タイプ : ISO 8601 文字列形式 : YYYY-MM- DDTHH:MM:SS.SSSZ あるいは YYYY-MM- DDTHH:MM:SSZ は含まれている値がミリセカンドであるかどうかに応じます Gt 結果のクエリ時に単一のフィールドに適用するより大きい条件を表します必須 : いいえ Gte 結果のクエリ時に単一のフィールドに適用する以上条件を表します 201

211 Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文 Lt 必須 : いいえ結果のクエリ時に単一のフィールドに適用するより小さい条件を表します Lte 必須 : いいえ結果のクエリ時に単一のフィールドに適用する以下条件を表します Eq 必須 : いいえ結果のクエリ時に単一のフィールドに適用する等しい条件を表します必須 : いいえ Neq 結果のクエリ時に単一のフィールドに適用する等しくない条件を表します action 必須 : いいえ rank フィルタに一致する結果に適用されるアクションを指定しますタイプ : Enum 必須 : いいえ有効な値 : NOOP ARCHIVE 現在のフィルタのリストにおけるフィルタの位置を指定しますこのフィルタが結果に適用される順序も指定しますタイプ : 整数必須 : いいえ制限 : 最小値は 1 で最大値は現在のフィルタ総数の増分と等しくなりますレスポンスの構文 "name": "string" レスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返します name フィルタの名前 202

212 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラーエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されましたパラメータ (name) の値が無効ですリクエストは却下されましたパラメータ (description) の値が無効ですリクエストは却下されましたパラメータ (findingcriteria) の値が無効ですリクエストは却下されましたパラメータ (action) の値が無効ですリクエストは却下されましたパラメータ (rank) の値が無効です NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません 203

213 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 NoSuchEntityException リクエストは却下されました入力 (name) は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0/filter/mine HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 11 Authorization: AUTHPARAMSX-Amz-Date: T213118Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "rank": 2 レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 15 Date: Fri, 24 Aug :31:19 GMT x-amzn-requestid: 09e2d517-a7e5-11e8-a517-bf71f53debc8 x-amz-apigw-id: MJfeGEQbPHcFQaQ= X-Amzn-Trace-Id: Root=1-5b e2312ffbfa2e2e5a15c68;Sampled=0 X-Cache: Miss from cloudfront Via: 1.1 2dc84924ce70e874a873764fe cloudfront.net (CloudFront) X-Amz-Cf-Id: zyyyorzudacshcl3m7jcnjqapb8gwbkz9qbgfjqmowtr0cuhfe3y-a== Connection: keep-alive "name": "ExampleFilter" UpdateFindingsFeedback Amazon GuardDuty の指定された結果を有用または無用としてマークしますリクエストの構文 POST 204

214 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ本文 : "findingids": [ "string" ], "feedback": "[USEFUL NOT_USEFUL]", "comments": "string" リクエストパラメータ detectorid 結果を有用または無用としてマークする対象の GuardDuty サービスのディテクター ID 型 : 文字列リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます findingids 有用または無用としてマークする結果の ID タイプ : 文字列の配列. 最小項目数は 0 です最大数は 50. 必須 : はいフィードバック型 : 文字列必須 : はい有効な値 : USEFUL NOT_USEFUL comments GuardDuty の結果に関する追加のフィードバック型 : 文字列必須 : いいえ制限 : 最大 160 文字使用できる文字は a-z A-Z 0-9 一重引用符および二重引用符のみですレスポンス要素アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返ります 205

215 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例リクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されましたパラメータ detectorid の値が無効ですリクエストは却下されましたパラメータコメントに無効な値が含まれていますリクエストは却下されましたリクエストされた結果 ID の数が範囲外です NoSuchEntityException リクエストは却下されました入力 detectorid は現在のアカウントによって所有されていません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/c6b0be64463ff852400d8ae5b /findings/feedback HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 78 Authorization: AUTHPARAMS X-Amz-Date: T230429Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "findingids":[ 206

216 Amazon GuardDuty Amazon Guard Duty ユーザーガイド UpdateIPSet "9cb0be64df8ba1df249c45eb8a0bf584" ], "feedback":"not_useful" レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Fri, 09 Feb :04:30 GMT x-amzn-requestid: 9599e105-0ded-11e8-a294-df0cbca23ced X-Amzn-Trace-Id: sampled=0;root=1-5a7e28fe d8ec164f83ae38d X-Cache: Miss from cloudfront Via: cfbeb7154bbef1432b207659c6dac5.cloudfront.net (CloudFront) X-Amz-Cf-Id: Z6_YLuTs4hTxC5OUgUUVwoqhEALPrE9HyelAd-6qxmRViJO0L6bjcA== Connection: Keep-alive UpdateIPSet IPSet ID で指定されている IPSet を更新します Important GuardDuty メンバーアカウントのユーザーがこの API を実行することはできません現在 GuardDuty ではメンバーアカウントのユーザーが IPSet のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた IPSet はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してくださいリクエストの構文 POST 本文 : "name": "string", "location": "string", "activate": "boolean" パスパラメータ detectorid IPSet を更新する対象の GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はい 207

217 Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ ipsetid 更新対象の IPSet を指定する一意の ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます name 更新された IPSet のわかりやすい名前型 : 文字列必須 : いいえ location IPSet を含むファイルの更新された URI 型 : 文字列必須 : いいえ activate IPSet がアクティブであるかどうかを指定しますタイプ : ブール値必須 : いいえレスポンスの構文アクションが成功するとサービスは HTTP 200 レスポンスを返しますエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効です 208

218 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラーリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました指定された ipsetid は無効ですリクエストは却下されましたメンバーアカウントが IPSets や ThreatIntelSets を管理することはできません NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません NoSuchEntityException リクエストは却下されました指定された ipsetid は無効です AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません NoSuchEntityException リクエストは却下されましたロールが見つかりませんでした BadRequestException リクエストは却下されましたこのサービスでサービスロールを引き受けることはできません AccessDeniedException リクエストは却下されました必要なアクセス許可 (iam:putrolepolicy) がありません BadRequestException リクエストは却下されました指定したサービスロールはサービスロールではありません 209

219 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0/ipset/0cb0141ab9fbde177613ab e90 HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 19 Authorization: AUTHPARAMS X-Amz-Date: T002823Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "activate":false レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Wed, 24 Jan :28:25 GMT x-amzn-requestid: 7d04eb7e-009d-11e b7ab09573a9 X-Amzn-Trace-Id: sampled=0;root=1-5a67d328-1f5cd901719c010f77e58ee3 X-Cache: Miss from cloudfront Via: 1.1 2d8af5cc5befc5d35bb54b4a5b6494c9.cloudfront.net (CloudFront) X-Amz-Cf-Id: 9yHsYLUD63GBTsSwOGPBRRDtoU5m_Ncv9LAJ-EmknNTNxi9wzC0zew== Connection: Keep-alive UpdateThreatIntelSet ThreatIntelSet ID で指定された ThreatIntelSet を更新します Important GuardDuty メンバーアカウントのユーザーがこの API を実行することはできません現在 GuardDuty ではメンバーアカウントのユーザーが ThreatIntelSets のアップロードや管理を行うことはできませんマスターアカウントからアップロードされた ThreatIntelSets はそのメンバーアカウントの GuardDuty 機能に適用されます詳細については Amazon GuardDuty の AWS アカウントの管理 (p. 53) を参照してくださいリクエストの構文 POST 210

220 Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメータ本文 : "name": "string", "location": "string", "activate": "boolean" パスパラメータ detectorid ThreatIntelSet を更新する対象の GuardDuty サービスを指定するディテクター ID 型 : 文字列必須 : はい threatintelsetid 更新する ThreatIntelSet を指定する一意の ID 型 : 文字列必須 : はいリクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます name 更新された ThreatIntelSet のわかりやすい名前型 : 文字列必須 : いいえ location ThreatIntelSet を含むファイルの更新された URI 型 : 文字列必須 : いいえ activate ThreateIntelSet がアクティブであるかどうかを指定します必須 : いいえタイプ : ブール値レスポンスの構文アクションが成功するとサービスは HTTP 200 レスポンスを返します 211

221 Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラーエラーアクションが失敗するとサービスより HTTP エラーレスポンスコードとエラー情報の詳細が返りますリクエストは却下されました無効な値または範囲外の値が入力パラメータとして指定されていますリクエストは却下されました必要なクエリまたはパスパラメータが指定されていませんリクエストは却下されました 1 つ以上の入力パラメータの値が無効ですリクエストは却下されましたパラメータ (detectorid) の値が無効ですリクエストは却下されました指定された ipsetid は無効ですリクエストは却下されましたメンバーアカウントが IPSets や ThreatIntelSets を管理することはできません NoSuchEntityException リクエストは却下されました入力 (detectorid) は現在のアカウントによって所有されていません NoSuchEntityException リクエストは却下されました指定された ipsetid は無効です AccessDeniedException リクエストは却下されましたこの API を呼び出す許可が発信者に与えられていません NoSuchEntityException リクエストは却下されましたロールが見つかりませんでした 212

222 Amazon GuardDuty Amazon Guard Duty ユーザーガイド例 BadRequestException リクエストは却下されましたこのサービスでサービスロールを引き受けることはできません AccessDeniedException リクエストは却下されました必要なアクセス許可 (iam:putrolepolicy) がありません BadRequestException リクエストは却下されました指定したサービスロールはサービスにリンクされたロールではありません InternalException 内部サーバーエラー HTTP ステータスコード : 500 例リクエスト例 POST /detector/12abc34d567e8fa901bc2d34e56789f0/ threatintelset/8cb094db7082fd0db d215dba HTTP/1.1 Host: guardduty.us-west-2.amazonaws.com Accept-Encoding: identity Content-Length: 19 Authorization: AUTHPARAMS X-Amz-Date: T212506Z User-Agent: aws-cli/ Python/2.7.9 Windows/8 botocore/ "activate":false レスポンス例 HTTP/ OK Content-Type: application/json Content-Length: 0 Date: Wed, 24 Jan :25:09 GMT x-amzn-requestid: 0d3e d-11e8-beb c0c8da X-Amzn-Trace-Id: sampled=0;root=1-5a68f9b ec6f8abaacddd X-Cache: Miss from cloudfront Via: 1.1 7a06af51e583997d8673ab89482dd45a.cloudfront.net (CloudFront) X-Amz-Cf-Id: 1YgXeOCWt1SC7nBaB2s8unBvIfhp45JRVJxXL3B-KHRWByGMCAyNRA== Connection: Keep-alive 213

223 Amazon GuardDuty Amazon Guard Duty ユーザーガイド Amazon GuardDuty のドキュメント履歴 update-history-change update-history-description update-history-date CloudWatch イベントに送信される通知の頻度を更新するサポートが追加されましたリージョンサポートの追加 GuardDuty で AWS CloudFormation StackSets のサポートを追加 GuardDuty 自動アーカイブルールのサポートを追加しました GuardDuty は欧州 ( パリ ) リージョンで利用できます AWS CloudFormation を使用した GuardDuty のマスターアカウントとメンバーアカウントの作成がサポートされるようになりました新しい 9 個の CloudTrail ベースの異常検出が追加されました既存の結果の後続の発生について CloudWatch イベントに送信される通知の頻度を更新できるようになりました有効な値は 15 分 1 時間またはデフォルトの 6 時間です詳細はこちら AWS GovCloud ( 米国 ) のサポート対象リージョンが追加されました ( 詳細はこちら ) Enable Amazon GuardDuty テンプレートを使用すると複数のアカウントで GuardDuty を同時に有効にできます詳細はこちら顧客は結果の数を抑えられるよう詳細な自動アーカイブルールを構築できるようになりました自動アーカイブルールに一致する検索結果の場合 GuardDuty はそれらを自動的にアーカイブ済みとしてマークしますこれにより顧客は GuardDuty をさらに細かく調整して現在の結果の表に関連性のある調査結果のみを保持できます詳細はこちら GuardDuty は欧州 ( パリ ) で利用可能になりましたこれにより継続したセキュリティのモニタリングを拡張し AWS の新しい欧州リージョンで脅威を検出できます詳細はこちら詳細については AWS::GuardDuty::Master および AWS::GuardDuty::Member を参照してくださいこれらの新しい結果タイプはサポートされているすべてのリージョンの GuardDuty で自動的に有効になります詳細はこちら October 9, 2018 July 25, 2018 June 25, 2018 May 4, 2018 March 29, 2018 March 6, 2018 February 28,

224 Amazon GuardDuty Amazon Guard Duty ユーザーガイド以前の更新 3 つの新しい脅威インテリジェンス検出 ( 結果タイプ ) が追加されました GuardDuty メンバーアカウントの制限の引き上げ GuardDuty のマスターアカウントおよびメンバーアカウントの信頼できる IP リストと脅威リストのアップロードと管理の変更これらの新しい結果タイプはサポートされているすべてのリージョンの GuardDuty で自動的に有効になります詳細はこちらこのリリースでは AWS アカウント ( マスターアカウント ) ごとに最大 1000 件のメンバーアカウントを追加することができます詳細はこちらこのリリースでは GuardDuty のマスターアカウントのユーザーが信頼できる IP リストと脅威リストをアップロードして管理することができますメンバーの GuardDuty アカウントのユーザーはリストをアップロードし管理することができませんマスターアカウントからアップロードされた信頼されている IP リストや脅威リストはそのメンバーアカウントの GuardDuty 機能に適用されます詳細はこちら February 5, 2018 January 25, 2018 January 25, 2018 以下の表に GuardDuty ユーザーガイドの各リリースにおける重要な変更点を示します以前の更新変更説明改訂日初版発行 Amazon GuardDuty ユーザーガイドの初回リリース 2017 年 11 月 28 日 215

225 Amazon GuardDuty Amazon Guard Duty ユーザーガイド AWS の用語集最新の AWS の用語については AWS General Reference の AWS の用語集を参照してください 216

すべて見る

AWS Client VPN - ユーザーガイド

AWS Client VPN - ユーザーガイド AWS Client VPN ユーザーガイド AWS Client VPN: ユーザーガイド Copyright 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with