Amazon GuardDuty の特徴

Amazon GuardDuty はアカウントの侵害の脅威を正確に検出します。これは、脅威の要因をほぼリアルタイムで継続的に監視していなければ、すばやい検出が難しい脅威です。GuardDuty では、通常とは異なる時間帯や地理的位置からの AWS リソースへのアクセスなど、アカウントの侵害の兆候を検出できます。プログラムによる AWS アカウントの場合、GuardDuty は、CloudTrail のログ記録を無効にしたり、悪意のある IP アドレスからデータベースのスナップショットを取ったりしてアカウントのアクティビティを隠すといった、異常な API コールをチェックします。

Amazon GuardDuty は、CloudTrail、VPC フローログ、および DNS ログにある AWS アカウントおよびワークロードのイベントデータを、継続的に監視および分析します。GuardDuty の基本的な保護のために、追加のセキュリティソフトウェアやインフラストラクチャを導入して維持する必要はありません。AWS アカウントをまとめて関連付けることで、アカウント単位で操作することなく脅威の検出を集約することができます。さらに、複数のアカウントから大量の AWS データを収集、分析、関連付ける必要もありません。AWS で、迅速な対応、組織のセキュリティの確保、継続的な拡張と革新に専念することができます。

GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。AWS Security は、これらの検出アルゴリズムを継続的に維持、改善しています。主な検出カテゴリは次のとおりです。

• 偵察: 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、不審なデータベースへのログイン試行、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
• インスタンスの侵害: 暗号通貨マイニング、バックドアコマンドとコントロール (C&C) アクティビティ、Amazon EC2 の実行時のアクティビティ、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィックボリューム、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスによって使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの抽出など、インスタンスの侵害を示唆するアクティビティ。
• アカウントの侵害: アカウントの侵害を示す一般的なパターン。これには、異常な地理的位置または匿名プロキシからの API 呼び出し、AWS CloudTrail のログ記録を無効にする試み、アカウントのパスワードポリシーを弱める変更、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンでのインフラストラクチャのデプロイ、認証情報の盗用、疑わしいデータベースログインアクティビティ、悪意のある既知の IP アドレスからの API 呼び出しが含まれます。
• バケットの侵害: 認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な Amazon S3 API アクティビティ、悪意のある既知の IP アドレスからの不正な S3 アクセス、過去にバケットにアクセスしたことのないユーザーから実行されたか、または異常な場所から呼び出された、S3 バケットのデータを取得するための API 呼び出しなど、バケットの侵害を示すアクティビティ。Amazon GuardDuty は、AWS CloudTrail S3 データイベント (GetObject、ListObjects、DeleteObject など) を継続的に監視および分析して、Amazon S3 バケット全体の不審な活動を検出します。
• マルウェア: GuardDuty は、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなどのマルウェアを存在を検知できます。マルウェアは、Amazon EC2 インスタンスやコンテナワークロードへの不正アクセスに使用されたり、Amazon S3 バケットにアップロードされたりする可能性があります。
• コンテナの侵害: コンテナワークロードにおける潜在的な悪意のある動作または疑わしい動作を特定するアクティビティは、EKS 監査ログと Amazon EKS または Amazon ECS のコンテナランタイムアクティビティを分析することにより、Amazon EKS クラスターを継続的にモニタリングおよびプロファイリングすることで検出されます。

GuardDuty 検出結果タイプの全リストはこちらです。

GuardDuty は、4 つの重大度 (低、中、高、重大) を用意して、顧客が潜在的な脅威への対応に優先順位を付けやすくしています。「低」の重大度は、疑わしいアクティビティや悪意のあるアクティビティのうち、リソースが侵害される前にブロックされたものを示します。「中」の重大度は、さらなる調査が必要な疑わしいアクティビティを示します。たとえば、Tor ネットワークの背後に隠れているリモートホストに返される大量のトラフィックや、通常観察される動作から逸脱したアクティビティなどです。「高」の重大度は、問題になっているリソース (EC2 インスタンスや IAM ユーザー認証情報など) が侵害され、不正な目的で活発に使用されていることを示します。「重大」の重大度は、早急な対応が必要な、信頼度の高い脅威を示します。このような検出結果については通知を設定して、迅速に対応し、事業への影響を最小限に抑えることをお勧めします。

GuardDuty は、HTTPS API とコマンドラインインターフェイス (CLI) ツールを提供するほか、Amazon EventBridge との統合により、セキュリティ検出結果に対する自動セキュリティ対応をサポートします。例えば、EventBridge をイベントソースとして使用して Lambda 関数を呼び出すことで、レスポンスワークフローを自動化することができます。

Amazon GuardDuty は、AWS のアカウントおよびワークロード内の全体的なアクティビティレベルに基づいて、リソース使用率を自動的に管理するように設計されています。GuardDuty は、必要な場合にのみ検出容量を追加し、容量が不要になったときは使用率を減らします。コストを最小限に抑えながら、必要なセキュリティ処理能力を維持する、費用対効果の高いアーキテクチャが実現しました。使用する検出容量には、使用したときにのみ料金が発生します。GuardDuty は、お客様の規模に関係なく大規模なセキュリティを提供します。

AWS マネジメントコンソールで 1 アクション、または 1 回の API コールで、1 つのアカウントで Amazon GuardDuty を有効にできます。コンソールでの数ステップだけで、複数のアカウントで GuardDuty を有効にできます。Amazon GuardDuty では、AWS Organizations 統合を通じて、また GuardDuty 内部のネイティブで複数のアカウントがサポートされます。有効にすると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。

GuardDuty は、他の方法では実現が困難で複雑な AWS コンピューティング環境全体のコンテナワークロードを包括的に保護します。Amazon EC2 でサーバーレベルのコントロールを備えたワークロードを実行している場合でも、AWS Fargate を利用して Amazon ECS でサーバーレスの最新アプリケーションワークロードを実行している場合でも、GuardDuty は潜在的に悪意のある、疑わしいアクティビティを検出し、実行時のモニタリングによりコンテナレベルのコンテキストを提供するとともに、AWS 環境全体でコンテナワークロードのセキュリティカバレッジのギャップを特定するのをサポートします。

GuardDuty は AI と機械学習 (ML) を使用して、AWS アカウント、ワークロード、データをターゲットとする複雑で多段階の攻撃シーケンスを迅速に特定します。生成された攻撃シーケンスの検出結果により、セキュリティイベントのトリアージに必要な時間と労力を削減できます。生成された攻撃シーケンスの検出結果は、異なるシグナルを自動的に相互に関連付け、侵害された可能性のあるリソースに関する信頼性の高い洞察を提供することで、MITRE ATT&CK® マッピングと AWS のベストプラクティスに基づいた規範的な修復の推奨事項も提供します。これらの機能強化により、GuardDuty はセキュリティチームが最も重大な脅威に集中し、アクティブなイベントに合理的に対応できるようにします。