Amazon GuardDuty に関するよくある質問

GuardDuty は、AWS アカウント、ワークロード、実行時のアクティビティ、悪意のあるアクティビティのデータを継続的にモニタリングするインテリジェントな脅威検出サービスです。異常なアクティビティ、認証情報の抽出、コマンドおよびコントロールインフラストラクチャ (C2) 通信などの潜在的な悪意のあるアクティビティが検出された場合、GuardDuty はセキュリティの可視化と修復の支援に使用できる詳細なセキュリティの検出結果を生成します。

GuardDuty を使用すると、AWS のアカウント、ワークロード、実行時のアクティビティの継続的なモニタリングをより簡単に実行できます。GuardDuty は、リソースから完全に独立して動作し、ワークロードのパフォーマンスや可用性に影響を与えないように設計されています。このサービスは、統合された脅威インテリジェンス、機械学習 (ML) 異常検出、およびマルウェアスキャンによって完全に管理されます。GuardDuty は、詳細で実用的なアラートを提供し、既存のイベント管理およびワークフローシステムと統合できるように設計されています。前払費用は発生せず、分析したイベントに対してのみ料金が発生し、デプロイのための追加ソフトウェアや脅威インテリジェンスフィードの受信登録は不要です。

GuardDuty は従量制料金のサービスであり、使用した分の料金のみをお支払いいただきます。GuardDuty の料金は、分析されたサービスログの量、仮想 CPU (vCPU) または Aurora Serverless v2 インスタンス Aurora キャパシティユニット (ACU) (Amazon RDS イベント分析の場合)、実行時にモニタリングされる Amazon Elastic Kubernetes Service (Amazon EKS) または Amazon Elastic Container Service (Amazon ECS) ワークロードの数とサイズ、およびマルウェアがないかどうかを確認するためにスキャンされたデータの量に基づきます。

分析されたサービスログは、コスト最適化のためにフィルタリングされ、GuardDuty に直接統合されているため、個別に有効化したり料金を支払ったりする必要はありません。 アカウントで EKS ランタイムモニタリングが有効になっている場合、GuardDuty エージェントがデプロイされアクティブになっているインスタンスからの VPC フローログの分析には課金されません。ランタイムセキュリティエージェントは、類似した (よりコンテキストに即した) ネットワークテレメトリデータを提供します。したがって、お客様への二重請求を避けるため、エージェントがインストールされている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからの VPC フローログについては課金しません。

その他の詳細と料金の例については、「Amazon GuardDuty の料金」をご覧ください。

見積もりコストは、個々の支払者アカウントのコストを表し、GuardDuty 管理者アカウントで各メンバーアカウントの請求済み使用量と 1 日の平均コストを確認できます。詳細な使用量情報を確認するには、個々のアカウントにアクセスする必要があります。

はい。GuardDuty の新しいアカウントであれば、無料で 30 日間サービスをご利用いただけます。無料トライアル中はすべての機能セットと検出をご使用いただけます。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

GuardDuty 機能をまだ有効にしていない GuardDuty アカウントの新規および既存の所有者は、AWS 無料利用枠を利用して、30 日間無料で試用できます (Malware Protection 機能の場合、無料トライアルは Amazon EBS データボリュームについて GuardDuty が開始するマルウェアスキャンでのみ利用可能です)。Malware Protection for Amazon S3 の無料トライアルはありません)。無料トライアル期間中およびそれ以降は、GuardDuty コンソールの使用状況ページで、データソースごとに分類された推定月間使用量をいつでも監視できます。

GuardDuty は、AWS のアカウント、ワークロード、データの広範なセキュリティモニタリングを提供し、攻撃者の偵察、インスタンスの侵害、アカウントの侵害、バケットの侵害、Amazon EKS クラスターの侵害、およびマルウェアなどの脅威を特定するのに役立ちます。 Macie は、ML とパターンマッチングを使用して Amazon Simple Storage Service (Amazon S3) 内の機密データを検出する、フルマネージド機密データ検出サービスです。

GuardDuty はリージョンレベルのサービスです。複数のアカウントが有効になっていて、複数の AWS リージョンが使用されている場合でも、GuardDuty のセキュリティの検出結果は、基盤となるデータが生成されたリージョンと同じリージョンに残ります。このため、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。ただし、Amazon EventBridge を使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約するか、検出結果をデータストア (Amazon S3 など) にプッシュして、適切と思われる検出結果を集約するかを選択することが可能です。また、GuardDuty の検出結果を AWS Security Hub に送信し、クロスリージョン集約機能を利用することもできます。

GuardDuty のリージョン別の可用性は、AWS サービスのリスト (リージョン別) に記載されています。 GuardDuty の機能が使用できるリージョンの詳細なリストについては、「リージョン固有機能の可用性」をご覧ください。

多くのテクノロジーパートナーが GuardDuty を統合して構築しています。また、GuardDuty について専門知識を持つコンサルティング、システムインテグレーター、マネージド型セキュリティサービスのプロバイダもいます。詳細については、Amazon GuardDuty パートナーのページをご覧ください。

Foregenix が公開したホワイトペーパーでは、PCI DSS 要件 11.4 などの要件を満たすことを支援する GuardDuty 有効性の詳細な評価を提供しています。これには、ネットワークの重要なポイントにおける侵入検知技術が必要です。

AWS マネジメントコンソールでわずか数ステップを実行するだけで、GuardDuty を設定およびデプロイできます。有効になると、GuardDuty は直ちに、ほぼリアルタイムで大規模な、アカウントとネットワークアクティビティの連続的なストリームの分析を開始します。追加のセキュリティソフトウェア、センサー、またはネットワークアプライアンスをデプロイまたは管理する必要はありません。脅威インテリジェンスはサービスに事前に統合され、継続的に更新され、維持されます。

はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。これを使用すると、すべてのセキュリティ検出結果を管理者アカウントに集約し、レビューと修復を行うことができます。また、この設定を使用すると、EventBridge イベントも GuardDuty 管理者アカウントに集約されます。また、GuardDuty は AWS Organizations と統合されており、組織のために GuardDuty の管理者アカウントを委任することができます。この委任された管理者 (DA) アカウントは、すべての結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。

GuardDuty が分析する基本的なデータソースには、AWS CloudTrail 管理イベントログ、CloudTrail 管理イベント、Amazon EC2 VPC フローログ、DNS クエリログが含まれます。GuardDuty の保護プランは、CloudTrail S3 データイベント (S3 保護)、Amazon EKS の監査ログとランタイムアクティビティ (EKS 保護)、Amazon ECS ランタイムアクティビティ (ECS ランタイム監視)、Amazon EC2 ランタイムアクティビティ (EC2 ランタイム監視)、Amazon EBS ボリュームデータ (マルウェア保護)、Amazon Aurora ログインイベント (RDS 保護)、ネットワークアクティビティログ (Lambda 保護) など、その他のリソースタイプも監視します。このサービスは、ほぼリアルタイムでセキュリティ検出を処理するため、大量のデータを消費するように最適化しています。GuardDuty を使用すると、クラウド用に開発および最適化されたビルトインの検出手法にアクセスでき、GuardDuty エンジニアリングがこれらを維持、および継続的に改善しています。

有効にすると、GuardDuty は悪意のあるアクティビティや不正なアクティビティの分析を開始します。検出結果の受信が始まる時期は、アカウントのアクティビティレベルによって異なります。GuardDuty は履歴データを調べず、有効後に開始するアクティビティのみを調べます。GuardDuty が潜在的な脅威を特定すると、GuardDuty コンソールに検出結果を表示します。

いいえ。GuardDuty は、CloudTrail、VPC フローログ、DNS クエリログ、および Amazon EKS から独立したデータストリームを直接取得します。Amazon S3 バケットポリシーを管理したり、ログを収集して保存する方法を変更したりする必要はありません。GuardDuty のアクセス許可は、サービスにリンクされたロールとして管理されます。GuardDuty はいつでも無効にでき、その場合、すべての GuardDuty アクセス許可が削除されます。これにより、複雑な設定を回避できるため、サービスを有効にすることがより容易になります。また、サービスにリンクされたロールにより、AWS Identity and Access Management (IAM) アクセス許可の設定ミスや Amazon S3 バケットのポリシー変更がサービス運用に影響を与える可能性もなくなります。最後に、サービスにリンクしたロールにより、ほぼリアルタイムで大量のデータを消費するときに GuardDuty が非常に効率的に活用されるため、アカウントやワークロードのパフォーマンス、および可用性にほとんど影響を与えません。

GuardDuty を初めて有効にすると、AWS リソースとは完全に独立して動作します。GuardDuty セキュリティエージェントを自動的にデプロイするように GuardDuty Runtime Monitoring を設定すると、リソースの使用量が増える可能性があるほか、モニタリング対象のワークロードを実行するために使用される VPC で VPC エンドポイントが作成されます。

いいえ、GuardDuty はログを管理または保持しません。GuardDuty が消費するすべてのデータは、ほぼリアルタイムで分析され、その後破棄されます。このため、GuardDuty が極めて効率的で費用効果が高くなり、さらにデータの残留のリスクが軽減されます。ログの配信と保持のためには、AWS のログ記録とモニタリングのサービスを直接使用してください。これらには、完全な機能を備えた配信と保存のオプションがあります。

サービスの一時停止を選択することで、一般設定で、GuardDuty のデータソース分析をいつでも防ぐことができます。これで、サービスによるデータの分析はすぐに停止しますが、既存の検出結果や設定は削除されません。一般設定でサービスを無効にすることもできます。これで、サービスのアクセス許可を放棄し、サービスをリセットする前に、既存の検出結果や設定構成などの残りのすべてのデータを削除します。また、GuardDuty S3 Protection や GuardDuty EKS Protection などの機能は、マネジメントコンソールや AWS CLI から選択的に無効化することが可能です。

GuardDuty では、クラウド用に開発および最適化したビルトインの検出手法にアクセスできます。検出アルゴリズムを、GuardDuty エンジニアが維持し、継続的に改善します。検出の主なカテゴリは次のとおりです。

• 偵察: 攻撃者による偵察を示すアクティビティ。異常な API アクティビティ、VPC 内のポートスキャン、障害が発生したログインリクエストの異常なパターン、既知の不正な IP からブロックされていないポートのプローブなどです。
• インスタンスの侵害: インスタンスの侵害を示すアクティビティ。暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービスアクティビティのアウトバウンド拒否、異常に多いネットワークトラフィック、異常なネットワークプロトコル、悪意のある既知の IP とのインスタンスのアウトバウンド通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータの逆浸出などです。
• アカウントの侵害: アカウントの侵害を示す一般的なパターン。これには、異常な地理的位置または匿名プロキシからの API 呼び出し、CloudTrail ログ記録を非アクティブ化する試み、異常なインスタンスまたはインフラストラクチャの起動、通常ではないリージョンへのインフラストラクチャのデプロイ、認証情報の抽出、疑わしいデータベースログインアクティビティ、悪意のある既知の IP アドレスからの API 呼び出しが含まれます。
• バケットの侵害: 認証情報の誤用を示す疑わしいデータアクセスパターン、リモートホストからの異常な Amazon S3 の API アクティビティ、悪意のある既知の IP アドレスからの不正な Amazon S3 アクセス、過去にバケットにアクセスしたことのないユーザーから実行されたか、または異常な場所から呼び出された、Amazon S3 バケットのデータを取得するための API コールなど、バケットの侵害を示すアクティビティ。GuardDuty は、CloudTrail S3 データイベント (GetObject、ListObjects、および DeleteObject など) を継続的に監視および分析して、Amazon S3 バケット全体の不審な活動を検出します。
• マルウェア: GuardDuty は、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなどのマルウェアを存在を検知できます。マルウェアは、Amazon EC2 インスタンスやコンテナワークロードへの不正アクセスに使用されたり、Amazon S3 バケットにアップロードされたりする可能性があります。
• コンテナの侵害: コンテナワークロードにおける潜在的な悪意のある動作または疑わしい動作を特定するアクティビティは、Amazon EKS 監査ログと Amazon EKS または Amazon ECS のコンテナランタイムアクティビティを分析して Amazon EKS クラスターを継続的にモニタリングおよびプロファイリングすることで検出されます。 

GuardDuty 検出結果タイプの詳細なリストはこちらをご覧ください。

GuardDuty の脅威インテリジェンスは、攻撃者が使用することがわかっている IP アドレスとドメインで構成されています。GuardDuty の脅威インテリジェンスは、AWS と Proofpoint や CrowdStrike などのサードパーティープロバイダによって提供されます。これらの脅威インテリジェンスフィードは、事前に統合されており、追加費用なしで GuardDuty で継続的に更新されます。

はい、GuardDuty では、独自の脅威インテリジェンスや信頼できる IP アドレスのリストをアップロードすることができます。この機能を使用すると、これらのリストはお客様のアカウントにのみ適用され、他のお客様とは共有されません。

潜在的な脅威が検出されると、GuardDuty によって GuardDuty コンソールと EventBridge に詳細なセキュリティ検出結果が配信されます。こうしてアラートをより迅速に活用でき、既存のイベント管理システムやワークフローシステムにより簡単に統合することができます。検出結果には、カテゴリ、影響を受けるリソース、およびリソースに関連するメタデータ (重大度など) が含まれます。

GuardDuty の検出結果は、一般的な JSON 形式で送信されます。この形式は Amazon Macie と Amazon Inspector でも使用されます。これにより、お客様とパートナーは、3 つのすべてのサービスからのセキュリティの検出結果をより簡単に使用でき、その結果をさまざまなイベント管理、ワークフロー、またはセキュリティソリューションにより簡単に組み込むことできます。

セキュリティの検出結果を、GuardDuty コンソールおよび API を通じて 90 日間保持および利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、EventBridge を有効にして、検出結果をアカウントや他のデータストア内の Amazon S3 バケットに自動的にプッシュします。

はい、EventBridge を使用して、リージョン間で GuardDuty が生成したセキュリティ検出結果を集約するか、検出結果をデータストア (Amazon S3 など) にプッシュして、適切と思われる検出結果を集約するかを選択することが可能です。また、GuardDuty の検出結果を Security Hub に送信し、クロスリージョン集約機能を利用することもできます。

GuardDuty、EventBridge、および AWS Lambda を使用すると、セキュリティ検出結果に基づいて、自動での修復処置を柔軟に設定できます。たとえば、セキュリティの検出結果に基づいて Lambda 関数を作成し、AWS セキュリティグループのルールを変更できます。GuardDuty の検出結果において、Amazon EC2 インスタンスの 1 つを既知の悪意のある IP が探知したことが示された場合は、EventBridge ルールを使用してそのアドレスを指定できます。このルールは、セキュリティグループルールを自動的に変更し、そのポートへのアクセスを制限する Lambda 関数を起動します。

GuardDuty には、検出のエンジニアリング、管理、イテレーションを専門としているチームがあります。そのため、サービスは新たな検出、および既存の検出の継続的な反復を着実に実行します。サービスには、GuardDuty ユーザーインターフェイス (UI) にある各セキュリティの検出結果の承認や却下など、いくつかのフィードバックメカニズムが組み込まれています。これにより、GuardDuty 検出の将来のイテレーションを組み込んでいる可能性のあるフィードバックを提供することができます。

いいえ、GuardDuty は、独自のカスタムルールセットの開発と保守のための力仕事や複雑さを排除します。また、AWS セキュリティエンジニアと GuardDuty のエンジニアリングチームが行う調査に加え、お客様からのフィードバックに基づいて、新たな検出を継続的に追加します。ただし、お客様が設定するカスタマイズでは、独自の脅威リストや信頼できる IP アドレスリストを追加することができます。

現在 GuardDuty アカウントを使用している場合、S3 Protection はコンソールの S3 Protection ページまたは API を通じてアクティブ化できます。これにより、GuardDuty S3 Protection 機能の 30 日間の無料トライアルが始まります。

はい。30 日間の無料トライアルがあります。各アカウントは、それぞれのリージョンで、S3 Protection の機能を含む GuardDuty の 30 日間無料トライアルを取得できます。既に GuardDuty を有効にしているアカウントには、S3 Protection 機能を最初に有効にする際に、30 日間無料トライアルが提供されます。

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで S3 Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、S3 の自動有効化オプションがオンになっていない限り、S3 Protection がオンになりません。

いいえ、S3 Protection を使用するには、Amazon GuardDuty サービスを有効にする必要があります。現在の GuardDuty アカウントは S3 Protection を有効にするオプションがあり、新しい GuardDuty アカウントは GuardDuty サービスを有効にするとデフォルトでこの機能が搭載されます。

はい、Amazon S3 Protection は、デフォルトで、環境内のすべての S3 バケットをモニタリングします。

いいえ、GuardDuty は CloudTrail S3 データイベントログに直接アクセスできます。CloudTrail で S3 データイベントログ記録を有効にする必要はないため、関連するコストは発生しません。GuardDuty はログを保存せず、分析にのみ使用するのでご注意ください。

GuardDuty EKS Protection は、Amazon EKS 監査ログを分析することによって Amazon EKS クラスターコントロールプレーンのアクティビティをモニタリングする GuardDuty の機能です。GuardDuty は Amazon EKS と統合されているため、これらのログをオンにしたり保存したりしなくても、Amazon EKS 監査ログに直接アクセスできます。これらの監査ログは、セキュリティに関連する時系列の記録であり、Amazon EKS コントロールプレーンで実行された一連のアクションを記録します。これらの Amazon EKS 監査ログは、Amazon EKS の API アクティビティの継続的なモニタリングを実施し、実績のある脅威インテリジェンスと異常検出を適用して、Amazon EKS クラスターに対する不正アクセスのリスクを生じさせる、悪意のあるアクティビティや設定変更を特定するために必要な可視性を GuardDuty に提供します。脅威が特定されると、GuardDuty は、脅威の種類、重大度のレベル、およびコンテナレベルの詳細 (ポッド ID、コンテナイメージ ID、関連付けられたタグなど) を含むセキュリティの検出結果を生成します。

GuardDuty EKS Protection は、Amazon EKS 監査ログでキャプチャされたユーザーおよびアプリケーションアクティビティに関連する脅威を検出できます。Amazon EKS 脅威検出には、既知の悪意のあるアクターまたは Tor ノードからアクセスする Amazon EKS クラスター、設定の誤りを示す可能性のある、匿名ユーザーによって実行される API 操作、Amazon EKS クラスターへの不正アクセスにつながる可能性のある設定の誤りが含まれます。また、機械学習モデルを使用して、GuardDuty は、基盤となる Amazon EC2 ホストへのルートレベルのアクセス権を持つコンテナの疑わしい起動など、特権昇格手法と一致するパターンを特定できます。新しい検出機能の詳細なリストについては、Amazon GuardDuty 検出結果タイプをご覧ください。

いいえ、GuardDuty は Amazon EKS 監査ログに直接アクセスできます。GuardDuty はこれらのログを分析のみに使用することに注意してください。GuardDuty はこれらを保存せず、お客様は、GuardDuty と共有するために、これらの Amazon EKS 監査ログを有効化したり、これらのログについての料金を支払ったりする必要もありません。セキュリティの脅威の検出に関連する監査ログのサブセットのみを消費することでコストを最適化するために、GuardDuty はインテリジェントフィルターを適用します。

はい。30 日間の無料トライアルがあります。各リージョンの新しい GuardDuty の各アカウントには、GuardDuty (GuardDuty EKS Protection 機能を含む) を 30 日間無料でご試用いただけます。既存の GuardDuty アカウントには、追加料金なしで、GuardDuty EKS Protection を 30 日間無料でご試用いただけます。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

GuardDuty EKS Protection は、個々のアカウントごとにオンにする必要があります。GuardDuty EKS Protection コンソールページから、GuardDuty コンソールで 1 つのアクションを実行するだけでアカウントの機能をアクティブ化できます。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection のページで、組織全体で GuardDuty EKS Protection をアクティブ化できます。これにより、すべての個々のメンバーアカウントで Amazon EKS の継続的なモニタリングがアクティブ化されます。AWS Organizations の自動アクティブ化機能を使用して作成された GuardDuty アカウントの場合、Amazon EKS の自動アクティブ化を明示的にオンにする必要があります。あるアカウント用にアクティブ化すると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで設定する必要はありません。

はい。コンソールまたは API を通じて GuardDuty をオンにしている新規アカウントでは、デフォルトで GuardDuty EKS Protection がオンになります。 AWS Organizations の自動有効化機能を使用して作成された新しい GuardDuty アカウントの場合、EKS Protection の自動有効化オプションを明示的にオンにする必要があります。 

コンソールで、または API を使用して、この機能を無効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を無効にすることができます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントのために、この機能を無効にすることもできます。

GuardDuty EKS Protection を以前に無効にした場合、コンソールで、または API を使用して、機能を再度有効にすることができます。GuardDuty コンソールでは、GuardDuty EKS Protection コンソールページで、お客様のアカウント用に GuardDuty EKS Protection を有効にすることができます。

GuardDuty EKS Protection は、個々のアカウントごとに有効にする必要があります。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの GuardDuty EKS Protection コンソールページで 1 回クリックするだけで、組織全体で Amazon EKS の脅威検出を有効にできます。これにより、すべての個別のメンバーアカウントで Amazon EKS の脅威検出が可能になります。あるアカウント用に有効にすると、脅威がないかを確認するために、そのアカウント内の既存および将来のすべての Amazon EKS クラスターがモニタリングされます。Amazon EKS クラスターで手動で設定する必要はありません。

Amazon EKS を利用しておらず、GuardDuty EKS Protection を有効にしている場合、GuardDuty EKS Protection の料金は発生しません。ただし、Amazon EKS の使用を開始すると、GuardDuty は自動的にクラスターをモニタリングし、特定された問題に対する検出結果を生成しますが、このモニタリングに対する料金が発生します。

いいえ、GuardDuty EKS Protection を有効にするには、GuardDuty サービスを有効にする必要があります。

はい、GuardDuty EKS Protection は、Amazon EC2 インスタンスにデプロイされた Amazon EKS クラスターと Fargate にデプロイされた Amazon EKS クラスターの両方からの Amazon EKS 監査ログをモニタリングします。

現在、この機能は、アカウントの Amazon EC2 インスタンスまたは Fargate で実行されている Amazon EKS デプロイのみをサポートしています。

いいえ、GuardDuty EKS Protection は、Amazon EKS ワークロードのデプロイのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。

はい。GuardDuty はリージョンレベルのサービスであり、GuardDuty EKS Protection は各 AWS リージョンで個別に有効にする必要があります。

GuardDuty Runtime Monitoring は、対象リソースのポッドまたはインスタンスレベルでのファイルアクセス、プロセス実行、ネットワーク接続などの実行時のアクティビティの可視性を追加する、軽量のフルマネージドセキュリティエージェントを使用します。セキュリティエージェントは、実行時のイベントを収集し、セキュリティ分析処理のために GuardDuty に配信するデーモンセットとして自動的にデプロイされます。これにより、GuardDuty は、AWS 環境内の侵害された可能性がある特定のインスタンスまたはコンテナを特定し、より広範な AWS 環境に権限を昇格させようとする試みを検出できます。GuardDuty が潜在的な脅威を検出すると、インスタンス、コンテナ、ポッド、プロセスの詳細を含むメタデータコンテキストを持つセキュリティの検出結果が生成されます。 

現在 GuardDuty アカウントを利用している場合、この機能は GuardDuty コンソールの Runtime Monitoring ページから、または API を通じてアクティブ化できます。GuardDuty Runtime Monitoring の詳細をご覧ください。

Runtime Monitoring は、Amazon EC2 で実行されている Amazon EKS リソース、Amazon EC2 または AWS Fargate で実行されている Amazon ECS クラスター、および Amazon EC2 インスタンスで利用できます。 

GuardDuty Runtime Monitoring のアーキテクチャ要件については、「GuardDuty ユーザーガイド」をご覧ください。 

いいえ。GuardDuty Runtime Monitoring は、GuardDuty を初めてオンにしたときにデフォルトで有効になっていない唯一の保護プランです。この機能は GuardDuty コンソールの Runtime Monitoring ページから、または API を通じてアクティブ化できます。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、Runtime Monitoring の自動有効化オプションがオンになっていない限り、Runtime Monitoring はオンにはなりません。

AWS は GuardDuty エージェントのアップデートを定期的に公開しています。Amazon EC2上のAmazon ECSでは、最新のECS最適化AMIまたはECSエージェントにアップデートすることで、最新のエージェントバージョンにアップデートできます。ファーゲート上の Amazon ECS では、Fargate エージェントは最新バージョンの GuardDuty エージェントを自動的に取得します。

クラスターごとにエージェントを手動でデプロイすることを選択した場合、GuardDuty が新しいバージョンのリリースを公開したときにエージェントを更新する必要もあります。新しいエージェントバージョンは、リリース前、リリース中、リリース後に慎重にテストおよび監視されます。GuardDuty は、アプリケーションにエージェントとの固有の競合がある場合に更新をロールバックできるように、以前のエージェントバージョンのサブセットを維持します。エージェントのリリース履歴の詳細については、「GuardDuty ユーザーガイド」をご覧ください。CVE パッチやその他の緊急の更新については、PHD 通知に含まれる AWS 更新ガイドラインに従ってください。

いいえ。GuardDuty Runtime Monitoring を使用するには、GuardDuty サービスを有効にする必要があります。

Amazon ECS Runtime Monitoring を有効にすると、GuardDuty はタスクから実行時のイベントを消費できるようになります。これらのタスクは Amazon ECS クラスター内で実行され、その後に AWS Fargate インスタンス上で実行されます。GuardDuty がこれらの実行時のイベントを受信するには、[自動エージェント設定] を使用する必要があります。

Amazon EC2 または Amazon EKS のために Runtime Monitoring を有効にすると、GuardDuty セキュリティエージェントを手動でデプロイするか、GuardDuty が [自動エージェント設定] を使用してユーザーに代わってセキュリティエージェントを管理するのを許可するかを選択できます。

詳細については、「GuardDuty ユーザーガイド」の「Key concepts - Approaches to manage GuardDuty security agent」にアクセスしてください。
 

Runtime Monitoring が利用できるリージョンの詳細なリストについては、「リージョン固有機能の可用性」をご覧ください。

GuardDuty Runtime Monitoring は、個々のアカウントで有効にする必要があります。GuardDuty マルチアカウント設定で運用している場合は、GuardDuty 管理者アカウントの GuardDuty Runtime Monitoring コンソールページにおいて、単一のステップを実行するだけで組織全体でオンにできます。これにより、すべての個々のメンバーアカウントで必要なワークロードの実行時のモニタリングがアクティブ化されます。あるアカウントのためにアクティブ化されると、そのアカウント内のすべての既存および今後選択されるワークロードは実行時の脅威についてモニタリングされ、手動での設定は必要ありません。

GuardDuty Runtime Monitoring では、脅威検出のためにモニタリングする Amazon EKS クラスターまたは Amazon ECS クラスターを選択的に設定できます。クラスターレベルの設定が可能なため、特定のクラスターを選択して脅威検出をモニタリングすることも、引き続きアカウントレベルの設定機能を使用して、特定のアカウントとリージョンのすべての EKS または ECS クラスターをそれぞれモニタリングすることもできます。

実行していないワークロードのために GuardDuty Runtime Monitoring を有効にしても、GuardDuty Runtime Monitoring の料金は発生しません。ただし、Amazon EKS、Amazon ECS、または Amazon EC2 の利用を開始し、そのワークロードのために GuardDuty Runtime Monitoring を有効にした場合、GuardDuty がクラスター、タスク、インスタンスを自動的にモニタリングし、特定された問題についての検出結果を生成すると料金が発生します。 

セキュリティ、オブザーバビリティ、およびオンホストエージェントを必要とするその他のユースケースと同様に、GuardDuty セキュリティエージェントにはリソース使用オーバーヘッドが発生します。GuardDuty セキュリティエージェントは軽量になるように設計されており、対象となるワークロードの使用率とコストへの影響を最小限に抑えるために、GuardDuty によって注意深くモニタリングされています。正確なリソース使用率メトリクスは、アプリケーションチームとセキュリティチームが Amazon CloudWatch でモニタリングするために使用できます。

GuardDuty セキュリティエージェントを自動的にデプロイするように GuardDuty Runtime Monitoring を設定すると、リソースの使用量が増える可能性があるほか、AWS ワークロードを実行するために使用される VPC で VPC エンドポイントが作成されます。 

GuardDuty Runtime Monitoring は、GuardDuty コンソールの Runtime Monitoring ページで AWS アカウントまたは組織のために無効にできます。GuardDuty によってセキュリティエージェントが自動的にデプロイされている場合、この機能を無効化すると、GuardDuty はそのセキュリティエージェントも削除します。

GuardDuty エージェントを手動でデプロイすることを選択した場合 (EKS Runtime Monitoring と EC2 Runtime Monitoring にのみ適用)、手動で削除する必要があり、作成された VPC エンドポイントはすべて手動で削除する必要があります。EKS Runtime Monitoring および EC2 Runtime Monitoring での手動削除のステップについては、「GuardDuty ユーザーガイド」で詳述されています。 

Amazon EBS データボリューム: このデータソースのために Malware Protection が有効になっている場合、GuardDuty は、Amazon EC2 インスタンスまたはコンテナワークロードで悪意のあるソフトウェアであることを示唆する疑わしい動作を識別すると、マルウェア検出スキャンを開始します。GuardDuty が生成する、Amazon EBS ボリュームのスナップショットに基づくレプリカ Amazon EBS ボリュームに対して、トロイの木馬、ワーム、暗号化マイナー、ルートキット、ボットなどのスキャンを実行します。GuardDuty Malware Protection は、疑わしい動きのソースを検証するのに役立つ、コンテキストに基づいた検出結果を生成します。これらの検出結果は、適切な管理者にルーティングできるほか、自動的な修復を開始することもできます。

S3 オブジェクトスキャン: バケットがマルウェア保護のために設定されると、GuardDuty は新しくアップロードされたファイルを自動的にスキャンし、マルウェアが検出された場合は、マルウェアの詳細を含む Amazon EventBridge 通知を生成します。これにより、既存のセキュリティイベント管理またはワークフローシステムとの統合が可能になります。オブジェクトをアカウント内の分離されたバケットに移動してマルウェアを自動的に隔離するように設定することも、オブジェクトタグを使用してスキャン結果の処理を追加し、タグに基づいて、スキャンされたオブジェクトをより適切に識別および分類できるようにすることもできます。

マルウェアスキャンを開始する Amazon EC2 についての GuardDuty の検出結果については、「GuardDuty ユーザーガイド」をご覧ください。

Malware Protection は、Amazon EC2 インスタンスにアタッチされた Amazon EBS をスキャンすることで、悪意のあるファイルの検出をサポートします。サポートされているファイルシステムのタイプについては、「GuardDuty ユーザーガイド」をご覧ください。

Malware Protection for S3 は、GuardDuty のマルウェアスキャンエンジンを使用して、S3 Standard、S3 Intelligent-Tiering、S3 Standard-IA、S3 One Zone-IA、Amazon S3 Glacier Instant Retrieval などのほとんどの同期 S3 ストレージクラスに属するファイルをスキャンできます。  実行可能ファイル、.pdf ファイル、アーカイブ、バイナリ、圧縮ファイル、スクリプト、インストーラ、E メールデータベース、プレーンな E メール、画像、エンコードされたオブジェクトなど、マルウェアの拡散や封じ込めのために使用されるファイル形式をスキャンします。

Malware Protection は、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなど、ワークロードのセキュリティを侵害し、リソースを悪意のある用途に再利用し、データに不正にアクセスするために使用される可能性のある脅威をスキャンします。

検出結果タイプの包括的なリストについては、「GuardDuty ユーザーガイド」をご覧ください。

GuardDuty または Malware Protection 機能を動作させるために、サービスログ記録を有効にする必要はありません。Malware Protection 機能は GuardDuty の一部であり、内部および外部の統合されたソースからのインテリジェンスを使用する AWS のサービスです。

セキュリティエージェントを使用する代わりに、GuardDuty Malware Protection は、アカウント内の感染の可能性がある Amazon EC2 インスタンスまたはコンテナワークロードにアタッチされている Amazon EBS ボリュームのスナップショットを基にレプリカを作成し、スキャンを行います。サービスにリンクされたロールを通じて GuardDuty に付与された許可により、サービスはアカウントに残っているそのスナップショットから、GuardDuty のサービスアカウントで暗号化されたボリュームレプリカを作成できます。GuardDuty Malware Protection は、このボリュームレプリカをスキャンしてマルウェアを検出します。

Amazon S3 のオブジェクトについては、GuardDuty は、GuardDuty Malware Protection 用に設定したバケットにアップロードされたオブジェクトの読み取り、復号、スキャンを開始します。特定のプレフィックスを持つオブジェクトのみをスキャンするように定義することで、バケット内でスキャンするオブジェクトの範囲を制限できます。GuardDuty は、これらの定義済みプレフィックスに一致するアップロードされたオブジェクトをスキャンし、セキュリティに関する検出結果と、詳細なスキャン結果を含む Amazon EventBridge 通知を生成します。これは、[感染]、[クリーン]、[スキップ]、[失敗] のいずれかとなります。また、通知には、スキャンされたオブジェクトの数とバイト数に関連するスキャンメトリクスも含まれます。自動隔離やオブジェクトのタグ付けなど、スキャン結果に基づいて GuardDuty がオブジェクトに対して実行するスキャン後のアクションを定義することもできます。

はい。各リージョンにおける GuardDuty の新規の各アカウントでは、GuardDuty の 30 日間の無料トライアルをご利用いただけます (Malware Protection 機能を含み、GuardDuty が開始する EBS データボリュームのスキャンでのみ使用可能。GuardDuty Malware Protection for Amazon S3 の無料トライアルはありません)。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを確認できます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

GuardDuty コンソールで Malware Protection を有効にするには、Malware Protection ページにアクセスするか、API を使用します。GuardDuty マルチアカウント設定で操作している場合は、GuardDuty 管理者アカウントの Malware Protection コンソールページで、組織全体でこの機能を有効にできます。これにより、すべての個々のメンバーアカウントでマルウェアのモニタリングが有効になります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的に有効にする必要があります。

Malware Protection for S3 では、次の 2 つのステップに従って、アプリケーションにマルウェアスキャンを統合できます。まず、アプリケーション所有者として、モニタリングするバケットでバケット保護構成を設定する必要があります。これは、既存のバケットのために GuardDuty コンソールでプログラムを使用して設定することも、新しいバケットを作成する際に設定することもできます。GuardDuty は、保護された各 S3 バケットについて、スキャンメトリクスを EventBridge イベントに送信します。これにより、アラームを設定したり、オブジェクトのタグ付けや、GuardDuty がスキャン結果に基づいて実行する隔離バケットへの悪意のあるオブジェクトのコピーなどのスキャン後のアクションを定義したりできます。アカウントで GuardDuty が有効になっている場合は、GuardDuty でセキュリティに関する検出結果も生成されます。

はい。コンソールまたは API を使用して GuardDuty を有効にしている新規アカウントでは、(EBS ボリュームスキャン用の) GuardDuty Malware Protection もデフォルトで有効になります。AWS Organizations の自動有効化機能を使用して作成された新しい GuardDuty アカウントの場合、Malware Protection の自動有効化オプションを明示的にオンにする必要があります。 

コンソールまたは API を使用して、この機能を無効にすることができます。GuardDuty コンソールの Malware Protection コンソールページに、アカウントの Malware Protection を無効にするオプションが表示されます。GuardDuty の管理者アカウントをお持ちの場合は、メンバーアカウントに対しても Malware Protection を無効にすることができます。

Malware Protection が無効になっている場合、コンソールまたは API を使用して、この機能を有効にすることができます。GuardDuty コンソールでアカウントの Malware Protection を有効にするには、Malware Protection コンソールページを開きます。

いいえ、請求期間中にマルウェアのスキャンが行われなかった場合、Malware Protection に料金はかかりません。AWS 請求コンソールでこの機能のコストを確認できます。

はい。GuardDuty には、AWS の複数のアカウントを 1 つの管理者アカウントから関連付けて管理できる複数アカウント管理機能があります。GuardDuty は、AWS Organizations の統合を通じてマルチアカウント管理を備えています。この統合により、セキュリティチームやコンプライアンスチームが、組織内のすべてのアカウントで Malware Protection を含む GuardDuty のカバレッジを完全に確保できます。

いいえ。この機能を有効にすると、GuardDuty Malware Protection は、関連する Amazon EC2 の検出結果に対応してマルウェアスキャンを開始します。エージェントをデプロイする必要はなく、ログソースを有効にする必要もなく、その他の設定変更も必要ありません。

GuardDuty Malware Protection は、ワークロードのパフォーマンスに影響を与えないように設計されています。例えば、マルウェア分析用に作成された Amazon EBS ボリュームスナップショットは 24 時間に 1 回しか生成できませんし、GuardDuty Malware Protection はスキャン完了後数分間、暗号化されたレプリカとスナップショットを保持します。さらに、GuardDuty Malware Protection は、顧客のコンピューティングリソースではなく、GuardDuty のコンピューティングリソースをマルウェアスキャンに使用します。

はい、GuardDuty はリージョン別のサービスであり、Malware Protection は各 AWS リージョンで個別に有効にする必要があります。

GuardDuty Malware Protection は、アカウント内の感染の可能性がある Amazon EC2 インスタンスまたはコンテナワークロードにアタッチされている Amazon EBS ボリュームのスナップショットに基づくレプリカをスキャンします。お客様の Amazon EBS ボリュームがカスタマーマネージドキーで暗号化されている場合、AWS Key Management Service (KMS) キーを GuardDuty と共有するオプションがあり、サービスは同じキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。暗号化されていない Amazon EBS ボリュームの場合、GuardDuty は独自のキーを使用してレプリカ Amazon EBS ボリュームを暗号化します。

はい、すべてのレプリカ Amazon EBS ボリュームのデータ (およびレプリカボリュームが基づいているスナップショット) は、元の Amazon EBS ボリュームと同じリージョンに残ります。

各リージョンにおける GuardDuty の新規の各アカウントでは、GuardDuty の 30 日間の無料トライアルをご利用いただけます (Malware Protection 機能を含み、GuardDuty によって開始される EBS データボリュームのスキャンでのみ使用可能。GuardDuty Malware Protection for Amazon S3 の無料トライアルはありません)。既存の GuardDuty アカウントには、Malware Protection の 30 日間トライアル版が追加料金なしで提供されます (アカウントで初めて有効化した場合)。試用期間中は、GuardDuty コンソールの使用状況のページで試用期間終了後のコスト見積もりを行うことができます。GuardDuty の管理者には、メンバーアカウントの見積コストが表示されます。30 日後、AWS 請求コンソールでこの機能の実際のコストを確認できます。

EBS ボリュームのマルウェアスキャンの料金は、ボリュームでスキャンされるデータ量 (GB) に基づきます。コンソールからスキャンオプションを使用してカスタマイズを適用し、タグを使用して一部の Amazon EC2 インスタンスをスキャン対象または対象外にすることで、コストを抑制できます。また、GuardDuty は Amazon EC2 インスタンスを 24 時間に 1 回のみスキャンします。GuardDuty が 24 時間以内に Amazon EC2 インスタンスに対して複数の Amazon EC2 検出結果を生成した場合、スキャンは最初の関連する Amazon EC2 の検出結果に対してのみ実行されます。あるインスタンスについて、最後のマルウェアスキャンから 24 時間経過しても Amazon EC2 検出結果が続いている場合、そのインスタンスに対して新しいマルウェアスキャンが開始されます。

S3 バケット内のストレージオブジェクトのマルウェアスキャンの料金は、スキャンされるデータ量 (GB) と、マルウェアスキャン用に設定された指定 S3 バケットでスキャンされるファイルの数に基づきます。GuardDuty は、設定されたバケットに新しくアップロードされたファイルのみをスキャンし、既存のファイルや、マルウェアスキャン用に指定されていないバケット内のファイルはスキャンしません。

はい、Malware Protection のスキャンでマルウェアが検出されたときに、スナップショットの保持を有効にできる設定があります。この設定は、GuardDuty コンソールの設定ページで有効にすることができます。デフォルトでは、スナップショットはスキャンが完了してから数分後に削除され、スキャンが完了しなかった場合は 24 時間後に削除されます。

GuardDuty Malware Protection は、生成およびスキャンした各レプリカ Amazon EBS ボリュームを最大で 24 時間保持します。デフォルトでは、レプリカ Amazon EBS ボリュームは、GuardDuty Malware Protection がスキャンを完了してから数分後に削除されます。ただし、サービスの停止や接続の問題によりマルウェアのスキャンが妨げられた場合、GuardDuty Malware Protection はレプリカ Amazon EBS ボリュームを 24 時間以上保持する必要がある場合があります。この場合、GuardDuty Malware Protection はレプリカ Amazon EBS ボリュームを最大 7 日間保持し、停止または接続の問題のトリアージと対処のためのサービス時間を確保します。GuardDuty Malware Protection は、停止または障害に対処した後、または延長された保持期間が過ぎると、レプリカ Amazon EBS ボリュームを削除します。

いいえ、GuardDuty は、感染の可能性がある Amazon EC2 インスタンスまたはコンテナワークロードにアタッチされた Amazon EBS ボリュームのスナップショットに基づくレプリカを、24 時間に 1 回スキャンするだけです。GuardDuty がマルウェアスキャンを開始するのに適した複数の検出結果を生成した場合でも、前回のスキャンから 24 時間未満であれば追加のスキャンは開始されません。前回のマルウェアスキャンから 24 時間後に GuardDuty が適格な検出結果を生成した場合、GuardDuty Malware Protection は、そのワークロードに対して新しいマルウェアスキャンを開始します。

いいえ、GuardDuty サービスを無効にすると、Malware Protection 機能も無効になります。

いいえ。GuardDuty S3 Malware Protection には柔軟性があり、アカウントでベース GuardDuty が有効になっていない場合でも、アプリケーション所有者は S3 バケットに対して Malware Protection を設定できます。ベース GuardDuty には、AWS CloudTrail 管理イベント、VPC フローログ、DNS クエリログなどの基本的なソースのデフォルトのモニタリングが含まれます。

GuardDuty Malware Protection for AWS Backup を使用すると、追加のセキュリティソフトウェアやエージェントをデプロイしなくても、Amazon EC2、Amazon EBS、Amazon S3 のバックアップ内のマルウェアを検出できます。このフルマネージド機能により、作成したバックアップを自動スキャンしたり、過去のバックアップをオンデマンドでスキャンしたり、復元前にバックアップの整合性を検証したりできます。この機能は、連続するバックアップ間で新たに追加されたデータのみを分析する、費用対効果の高い増分スキャンを採用しているため、バックアップ全体を再スキャンする場合と比較してスキャンコストを削減しながら、柔軟で継続的な保護を実現できます。

GuardDuty RDS Protection は、GuardDuty コンソールでワンアクションで有効化することができ、エージェントを手動でデプロイしたり、データソースを有効にしたり、アクセス権を設定したりする必要はありません。カスタマイズされた ML モデルを使用して、GuardDuty RDS Protection は、既存および新規の Amazon Aurora データベースへのログイン試行の分析とプロファイリングから開始します。不審な動きや既知の悪意ある行為者による試行が検出されると、GuardDuty は実行につなげられるセキュリティ検出結果を GuardDuty と Amazon Relational Database Service (RDS) コンソール、Security Hub、Amazon EventBridge に発行し、既存のセキュリティイベント管理やワークフローシステムと統合できるようにします。 GuardDuty RDS Protection が RDS ログインアクティビティのモニタリングを使用する方法の詳細をご覧ください。

現在 GuardDuty アカウントを利用している場合、この機能は RDS 保護ページの GuardDuty コンソールから、または API を介してアクティブ化できます。 GuardDuty RDS Protection の詳細をご覧ください。

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで RDS Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、RDS の自動有効化オプションがオンになっていない限り、RDS Protection がオンになりません。

いいえ、GuardDuty RDS Protection を使用するには、GuardDuty サービスを有効にする必要があります。

RDS Protection が利用できるリージョンの詳細な一覧については、「リージョン固有機能の可用性」を参照してください。

サポート対象の Amazon Aurora データベースバージョンのリストをご覧ください。

いいえ、Aurora データベースの GuardDuty 脅威検出は、Amazon Aurora データベースにパフォーマンス、可用性、コストの面で影響を与えないように設計されています。

GuardDuty Lambda Protection では、VPC フローログから始まるサーバーレスワークロードからのネットワークアクティビティを継続的にモニタリングし、不正な暗号通貨マイニングのために悪意を持って転用された関数や、既知の脅威アクターサーバーと通信している侵害された Lambda 関数など、Lambda に対する脅威を検出します。GuardDuty Lambda Protection は、GuardDuty コンソールでいくつかのステップを実行するだけで有効にできます。また、AWS Organizations を使用すると、組織内のすべての既存アカウントと新規アカウントに対して一元的に有効にできます。有効にすると、アカウント内の既存のすべての Lambda 関数と新規の Lambda 関数のネットワークアクティビティデータのモニタリングが自動的に開始されます。

現在 GuardDuty アカウントを使用している場合、この機能は Lambda 保護ページの GuardDuty コンソールから、または API を介してアクティブ化できます。 GuardDuty Lambda Protection の詳細については、こちらをご覧ください。

はい。コンソールまたは API を通して GuardDuty を有効にしている新規アカウントでは、デフォルトで Lambda Protection がオンになります。AWS Organizations の自動有効化機能を使用して作成された GuardDuty の新規アカウントでは、Lambda の自動有効化オプションがオンになっていない限り、Lambda Protection がオンになりません。

Lambda Protection が利用できるリージョンの一覧については、「リージョン固有機能の可用性」を参照してください。

いいえ。GuardDuty Lambda Protection は、Lambda ワークロードのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。

Amazon GuardDuty では、人工知能 (AI) と機械学習 (ML) を活用した Extended Threat Detection 機能を導入し、AWS アカウント、ワークロード、データを標的とする、複雑で多段階の攻撃シーケンスを迅速に特定できるようになりました。これにより、GuardDuty はアクティブな攻撃シーケンスを検知して優先順位を付けることができ、脅威を包括的に可視化するとともに、迅速な対応とビジネスへの影響の最小化に役立つ処方的な修復の推奨事項を提供します。

GuardDuty は AWS 規模でトレーニングされた AI と ML の手法を使用して、さまざまな AWS サービスからのセキュリティシグナルと検出結果を自動的にまとめます。これにより、認証情報の漏洩とそれに続くデータ流出などの包括的な攻撃シーケンスを特定し、それらを優先度の高い単一の検出結果として提示できます。検出結果には、脅威についての自然言語による要約、影響を受けたリソースの詳細、および段階的な修復の推奨事項が含まれています。

主な利点には、以下が含まれます。

• 別々の脅威シグナルを自動的に相関付け、手動で分析する必要のあるセキュリティアラートを減らすことで、脅威の検知と対応を迅速に行えます
• 複数のリソースとアカウントにまたがる攻撃シーケンスの可視性が向上します
• AWS のベストプラクティスと、MITRE ATT&CK® の戦術とテクニックのマッピングに基づいた処方的な修復の推奨により、脅威への対応を効率化します

Extended Threat Detection は、GuardDuty の新規および既存のすべてのお客様で追加費用なしで自動的に有効になります。新しい攻撃シーケンスの検出結果を、GuardDuty コンソールで直接確認して対応することも、GuardDuty と AWS Security Hub、Amazon EventBridge、および既に使用しているその他のセキュリティツールを統合して利用することもできます。

いいえ。Extended Threat Detection を利用するために、すべての GuardDuty 保護プランを有効にする必要はありません。ただし、より多くの GuardDuty 保護プランを有効にすると、利用できるセキュリティシグナルの幅が広がり、より包括的な脅威の検知と分析が可能になります。GuardDuty の Extended Threat Detection でランサムウェアイベントの一部である可能性のあるデータ侵害を特定するには、GuardDuty S3 Protection を有効にする必要があります。

例えば、GuardDuty の基本的な脅威検知のみが有効な場合でも、GuardDuty は、S3 API などに対する IAM 権限の探索アクティビティから始まり、Amazon S3 バケットリソースポリシーをより許容性の高いものに変更するなどの Amazon S3 コントロールプレーンの変更へと進行する、潜在的な攻撃シーケンスを特定できます。

ただし、GuardDuty S3 Protection も有効にしている場合は、GuardDuty によってこの検知機能が強化されます。GuardDuty では、同じ攻撃シーケンスの検出結果に、潜在的なデータ漏洩アクティビティの兆候を追加できるようになります。これは、S3 バケットへのアクセスがより寛容になった後に発生する可能性があります。これらの機能を組み合わせることで、GuardDuty はより包括的な攻撃シーケンス検知を実現できるようになります。これにより、潜在的な脅威と攻撃のさまざまな段階をより完全に把握できます。

GuardDuty をご利用のすべてのお客様は、Extended Threat Detection 機能を追加費用なしでご利用いただけます。新しい Extended Threat Detection 機能を含む GuardDuty の料金体系はこれまでと変わりません。お支払いは使用した分のみで、前払い料金や追加料金はありません。

S3 プロテクションを有効にすると、GuardDuty は複数のデータソースにわたってより多様なシグナルを相互に関連付けられるようになり、S3 バケットが関与する複雑な攻撃シーケンスを検出する機能が拡張されます。S3 プロテクションを有効にすると、GuardDuty は IAM 権限の探索や S3 コントロールプレーンの変更を検出するだけでなく、S3 バケットへのアクセスが寛容になった後に発生する可能性のあるデータ漏洩アクティビティを特定できます。これにより、S3 リソースを標的とする潜在的な脅威をより包括的に把握できます。

S3 Protection を使用すると、GuardDuty は Amazon S3 リソースが関与する多段階の攻撃シーケンスを検出できます。これには、S3 API に対する IAM 権限の探索アクティビティの後に、権限を拡大するように S3 バケットポリシーが変更されるシナリオや、S3 バケットの一覧表示または変更を行う疑わしい API コールの後に、異常なデータアクセスや転送アクティビティが発生するシナリオなどが含まれます。GuardDuty では、S3 バケットポリシーの設定ミスを悪用して不正アクセスを行おうとする試みや、S3 リソースを最初に偵察した後にデータを盗み出そうとするシーケンスを特定することもできます。この機能により、重大な被害が発生するまで見過ごされがちな複雑な脅威を早期に検出できます。

Extended Threat Detection の EKS Protection を有効にすると、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターを保護する上でいくつかの重要なメリットが得られます。GuardDuty は、Amazon EKS の監査ログ、実行時の動作、AWS API アクティビティにわたるセキュリティシグナルを相互に関連付けることで、他の方法では気づかれないような高度な攻撃シーケンスを検出できます。これには、最初のコンテナの悪用とそれに続く権限昇格などの多段階攻撃も含まれます。GuardDuty は、EKS クラスター、ポッド、および関連する AWS リソースへの潜在的な侵害を自動的に特定できるため、コンテナワークロードと AWS サービスにまたがる複雑な脅威に対する可視性が向上します。このアプローチにより、Kubernetes 環境を標的とする高度な脅威を検出し対応する能力が向上します。

GuardDuty は EKS Protection と Runtime Monitoring の両方を活用して Amazon EKS クラスターの全体像を把握し、複雑な攻撃パターンを検出できるようにします。EKS Protection はコントロールプレーンのアクティビティを監視し、Runtime Monitoring はコンテナ内の動作を監視します。この組み合わせにより、GuardDuty は、脆弱なウェブアプリケーションを実行するコンテナの侵害、誤った認証情報による不正アクセス、クラスター内の権限昇格の試み、Kubernetes API サーバーへの疑わしい API リクエスト、侵害されたポッドを介した機密データや AWS リソースへのアクセスの試みなど、高度な攻撃シーケンスを検出できます。GuardDuty は、これらの多様なシグナルを相互に関連付けることで、個々の検出では見逃す可能性のある特定の攻撃シーケンスを特定できるため、EKS 環境におけるより包括的なセキュリティ体制を構築できます。

CloudTrail やネットワークアクティビティを監視する基本的な GuardDuty と、インスタンス内のプロセス動作やシステムコールを監視する Runtime Monitoring を組み合わせることで、より包括的な脅威検出が可能になります。この統合されたモニタリングにより、GuardDuty は、認証情報の設定ミスによる不正アクセス、権限昇格の試み、機密データへの不正アクセスなどの高度な攻撃シーケンスを検出できます。GuardDuty では、これらの多様なシグナルを相互に関連付けることで、個々の検出では見落とされがちな複雑な攻撃パターンを特定し、攻撃ベクトル全体をマッピングできます。 

Runtime Monitoring は、Amazon ECS 環境におけるより包括的な脅威検出に不可欠であり、疑わしいプロセス、永続的な試み、不正なアクティビティなど、より高度なコンテナ固有の脅威を検出するのに役立ちます。

Amazon ECS on Fargate の場合: 他の GuardDuty データソースは Fargate コンテナを可視化できないため、脅威の検出には Runtime Monitoring が必要です。Runtime Monitoring を有効にしないと、Fargate ワークロードのセキュリティ検出結果は生成されません。

ECS on EC2 の場合: Runtime Monitoring は、コンテナを認識した脅威検出を行い、特定の ECS クラスターに正確に帰属させます。専用のセキュリティ検出結果 (AttackSequence:ECS/CompromisedCluster など) を受け取ることができます。Runtime Monitoring がない場合、GuardDuty は検出された脅威を基盤となる EC2 インスタンスにのみ帰属させることができるため、ECS クラスターレベルのインサイトではなく EC2 固有の検出結果となります。

GuardDuty は、ネットワークアクティビティ、プロセスの実行時の動作、AWS API アクティビティにわたる多様なシグナルを相互に関連付けることで、個々の検出では見落とされがちな複雑な攻撃パターンを特定し、攻撃ベクトル全体をマッピングできます。