翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon GuardDuty の検出結果の管理
GuardDuty は、検出結果のソート、保存、管理に役立つ重要な特徴を提供します。これらの機能は、検出結果を特定の環境に合わせて調整し、低価値の検出結果からのノイズを減らし、独自の AWS 環境への脅威に集中するのに役立ちます。環境内のセキュリティ検出結果の価値を高めるために、これらの特徴の使い方を理解し、このページのトピックを見直してください。
**トピック:**
[Amazon GuardDuty の [要約] ダッシュボード](guardduty-summary.md)
GuardDuty コンソールで利用できる概要ダッシュボードのコンポーネントについて説明します。
[GuardDuty での検出結果のフィルタリング](guardduty_filter-findings.md)
指定した条件に基づいて GuardDuty の検出結果をフィルターする方法を学習します。
[GuardDuty の抑制ルール](findings_suppression-rule.md)
GuardDuty が抑制ルールでアラートする検出結果を自動的にフィルターする方法を学習します。抑制ルールは、フィルターに基づいて検出結果を自動的にアーカイブします。
[Customizing threat detection with entity lists and IP address lists](guardduty_upload-lists.md)
パブリックにルーティング可能な IP アドレスに基づいて、IP リストや脅威リストを使用して、GuardDuty モニタリングスコープをカスタマイズします。信頼できる IP リストは、信頼できる IP から生成された非 DNS の検出結果を抑制し、脅威インテルのリストは、GuardDuty が原因となるユーザーが定義した IP からのアクティビティにアラートを出します。
[生成された検出結果を Amazon S3 にエクスポートする](guardduty_exportfindings.md)
生成された検出結果を Amazon S3 バケットにエクスポートして、GuardDuty で 90 日間の検出結果保持期間を過ぎたレコードを保持できるようにします。この履歴データを使用して、アカウント内の潜在的に疑わしいアクティビティを追跡し、推奨される修復手順が成功したかどうかを評価します。
[Amazon EventBridge を使用した GuardDuty 検出結果の処理](guardduty_findings_eventbridge.md)
Amazon EventBridge events を通じて GuardDuty の検出結果の自動通知を設定します。EventBridge を通じて他のタスクを自動化して、検出結果への応答を支援します。
[CloudWatch Logs を監査する方法と、Malware Protection for EC2 スキャン中にリソースがスキップされる理由について](malware-protection-auditing-scan-logs.md)
GuardDuty Malware Protection for EC2 の CloudWatch Logs を監査する方法と、影響を受けた Amazon EC2 インスタンスまたは Amazon EBS ボリュームがスキャンプロセス中にスキップされた理由について説明します。
[Malware Protection for EC2 の誤検出の報告](malware-protection-false-positives.md)
Malware Protection for EC2 で潜在的な誤検出の脅威検出を報告する方法について説明します。
[Malware Protection for S3 で S3 オブジェクトスキャンの結果を偽陽性として報告偽陽性の S3 オブジェクトスキャンの結果の報告](report-malware-protection-s3-false-positives.md)
Malware Protection for S3 で誤検出の可能性がある脅威検出を報告する方法について説明します。
[Malware Protection for Backup での誤検出の報告](malware-protection-backup-false-positives.md)
Malware Protection for Backup で潜在的な誤検出の脅威検出を報告する方法について説明します。
# Amazon GuardDuty の [要約] ダッシュボード
GuardDuty **概要**ダッシュボードには、現在の の で生成された GuardDuty の検出結果の集計ビュー AWS アカウント が表示されます AWS リージョン。
GuardDuty 管理者アカウントを使用している場合、ダッシュボードには、自分のアカウントと組織内のメンバーアカウントの集約された統計とデータが表示されます。
**概要ダッシュボードの表示**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
GuardDuty は、コンソールを開くと、デフォルトで**[概要]** ダッシュボードを表示します。
1. **概要**ページで、コンソールの右上隅にあるリージョンセレクター AWS リージョン から目的の を選択します。
1. 日付範囲セレクタメニューから、概要を表示する日付範囲を選択します。デフォルトでは、ダッシュボードには現在の日付、**今日**のデータが表示されます。
**注記**
選択した日付範囲内に検出結果が生成されなかった場合、ダッシュボードには表示するデータがありません。ダッシュボードを更新するか、日付範囲を調整できます。
**Topics**
+ [概要:](#understanding-guardduty-summary-overview)
+ [検出結果](#understanding-guardduty-summary-findings-widget)
+ [最も一般的な検出結果タイプ](#understanding-guardduty-summary-most-common-finding-types)
+ [重大度別の検出結果](#understanding-guardduty-summary-findings-by-sev)
+ [検出結果が最も多いアカウント](#understanding-guardduty-summary-account-with-findings)
+ [検出結果を含むリソース](#understanding-guardduty-summary-resources-with-findings)
+ [最も少ない検出結果](#understanding-guardduty-summary-least-occurring-findings)
+ [保護プランカバレッジ](#understanding-guardduty-summary-protection-plans-coverage)
## 概要:
このセクションでは、次のデータを提供します。
+ **攻撃シーケンス**: GuardDuty が現在のリージョンのアカウントで生成した攻撃シーケンスの検出結果の数を示します。
GuardDuty は、アカウント内の潜在的なマルチステージ攻撃を検出します。**[攻撃シーケンス]** で *[番号]* を選択すると、**[結果]** ページでその詳細を表示できます。
+ **検出結果の合計**: 現在のリージョンでご自身のアカウント内に生成された検出結果の総数を示します。これには、個々の検出結果と攻撃シーケンスの検出結果の両方が含まれます。
+ **検出結果を含むリソース**: 検出結果に関連付けられていて、漏洩した可能性があるリソースの数を示します。
+ **検出結果のあるアカウント**: 少なくとも 1 つの検出結果が生成されたアカウントの数を示します。スタンドアロンアカウントの場合、このフィールドの値は **1** です。
**過去 7 日間**と**過去 30 日**の時間範囲について、**[要約]** ペインでは、それぞれ、週比 (WoW) や前月比 (MoM) で生成された検出結果の差が割合で表示される場合があります。前週または前月に検出結果が得られなかった場合、比較するデータがないため、差の割合は取得できない可能性があります。
![\[GuardDuty 概要ダッシュボードの概要セクション。\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/images/attack-sequence-summary-overview-console.png)
GuardDuty 管理者アカウントの場合、これらのフィールドにはすべて、自身の組織内すべてのメンバーアカウントの概要データが表示されます。
## 検出結果
**検出結果**ウィジェットには、最大 8 つの上位の検出結果が表示されます。これらの検出結果は重大度に基づいてリストされ、*重大な*検出結果が最初に表示されます。
デフォルトでは、すべての検出結果を表示できます。攻撃シーケンスの検出結果データのみを表示するには、**[上位の攻撃シーケンスのみ]** をオンにします。
このリストでは、任意の検出結果を選択して詳細を表示できます。
![\[GuardDuty 概要ダッシュボードの検出結果ウィジェット。\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/images/attack-sequence-summary-finding-widget-console.png)
## 最も一般的な検出結果タイプ
このセクションでは、現在のリージョンで生成された最も一般的な検出結果タイプの上位 5 つを示す円グラフを示します。円グラフの各セクターにカーソルを合わせると、以下を確認できます。
+ **検出結果数**: 選択された日付範囲内でこの検出結果が生成された回数を示します。
+ **重大度**: 検出結果の重大度レベルを示します。
+ **パーセンテージ**: 合計に対するこの検出結果タイプの割合を示します。
+ **最終生成**: この検出結果タイプが最後に検出されてからどれくらいの時間が経過したかを示します。
## 重大度別の検出結果
このセクションには、選択した日付範囲における検出結果の合計数を示す棒グラフが表示されます。このグラフは、検出結果を重大度 (*重大*、*高*、*中*、*低*) 別に分類し、範囲内の特定の日付の検出結果の数を表示するのに役立ちます。
特定の日の各深刻度レベルごとの件数を確認するには、グラフの対応する棒の上にカーソルを合わせてください。
## 検出結果が最も多いアカウント
このセクションでは、次のデータを提供します。
+ **アカウント**: 結果が生成された AWS アカウント ID を示します。
+ **検出結果数**: このアカウント ID の検出結果が生成された回数を示します。
+ **最終生成**: このアカウント ID の検出結果タイプが最後に生成されてからどれくらいの時間が経過したかを示します。
+ **重大度フィルター**: デフォルトでは、重大度の高い検出結果タイプのデータが表示されます。このフィールドに指定できるオプションは、**すべての重大度**、**重大度重大**、**重大度高**、および**重大度中**です。
## 検出結果を含むリソース
このセクションでは、次のデータを提供します。
+ **リソース**: 影響を受ける可能性のあるリソースタイプを示します。このリソースがアカウントに属している場合は、クイックリンクにアクセスしてリソースの詳細を表示できます。自身が GuardDuty 管理者アカウントの場合は、管理者メンバーアカウントアカウントの認証情報を使用して GuardDuty コンソールにアクセスすることで、影響を受ける可能性のあるリソースの詳細を表示できます。
+ **アカウント**: このリソースが属する AWS アカウント ID を示します。
+ **検出結果回数**: このリソースが検出結果に関連付けられた回数を示します。
+ **最終生成**: このリソースに関連付けられた検出結果タイプが最後に生成されてからどれくらいの時間が経過したかを示します。
+ **リソースタイプフィルター**: デフォルトでは、すべてのリソースタイプのデータが表示されます。このフィルターを使用すると、**インスタンス**、**AccessKey**、**Lambda** など、特定のリソースタイプのデータを表示できます。
+ **重大度フィルター**: デフォルトでは、データは**すべての重大度**で表示されます。このフィルターを使用すると、他の重大度レベルのデータを表示するように選択できます。選択できるオプションは、**重大度重大**、**重大度高**、**重大度中**、および **すべての重大度**です。
## 最も少ない検出結果
このセクションでは、 AWS 環境でまれに発生する検出結果タイプについて説明します。このウィジェットは、潜在的な新たな脅威のパターンを特定し調査するのに役立つように設計されています。
このウィジェットは次のデータを表示します。
+ **検出結果タイプ**: 検出結果タイプ名を示します。
+ **検出結果数**: 選択された時間範囲でこのタイプの検出結果が生成された回数を示します。
+ **最終生成**: この検出結果タイプが最後に生成されてからどれくらいの時間が経過したかを示します。
+ **重大度フィルター**: デフォルトでは、重大度の高い検出結果タイプのデータが表示されます。このフィールドに指定できるオプションは、**重大度重大**、**重大度高**、**重大度中**、および **すべての重大度**です。
## 保護プランカバレッジ
このセクションでは、組織内のメンバーアカウントの統計情報を表示します。現在のリージョンで GuardDuty (基礎的な脅威検出) を有効にしたメンバーアカウントの数を示します。委任 GuardDuty 管理者のみが、組織内のメンバーアカウントの統計を表示できます。新しい AWS 組織を作成すると、組織全体の統計を生成するまでに最大 24 時間かかる場合があります。
**このウィジェットの使用方法**
+ **設定**: 保護プランが設定されていない場合は、**[アクション]** 列で**[設定]** を選択します。
+ **有効なアカウントの表示**: **[有効なアカウント]** 列のバーにカーソルを合わせると、各保護プランを有効にしたアカウントの数が表示されます。アカウントの詳細をさらに表示するには、緑色のバーを選択し、**[アカウントの表示]** を選択します。
![\[GuardDuty 概要ダッシュボードで、メンバーアカウントの保護プランの有効化のステータスを表示します。\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/images/guardduty-summary-protection-plans-console.png)
# GuardDuty での検出結果のフィルタリング
検出結果フィルターを使用すると、指定した条件に一致する検出結果を表示し、一致しない検出結果を除外できます。Amazon GuardDuty コンソールを使用して検出結果フィルターを簡単に作成することも、JSON を使用して [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API を使用してフィルターを作成することもできます。コンソールでフィルターを作成する方法については、次のセクションを参照してください。これらのフィルターを使用して受信した検出結果を自動的にアーカイブするには、「[GuardDuty の抑制ルール](findings_suppression-rule.md)」を参照してください。
フィルターを作成するときは、以下のリストを考慮してください。
+ 特定のフィルターのための基準として、最少 1 から最大 50 までの属性を指定できます。
+ アカウント ID などの属性値でフィルタリングする際に **等号演算子**または **不等号演算子**の条件を使用する最合、最大で 50 個の値を指定できます。
+ 各フィルター基準の属性は `AND` 演算子として評価されます。同じ属性の複数の値は `AND/OR` として評価されます。
+ 各 AWS アカウント の で作成できる保存済みフィルターの最大数については AWS リージョン、「」を参照してください[GuardDuty クォータ](guardduty_limits.md)。
以下のセクションでは、GuardDuty コンソール、API コマンド、CLI コマンドを用いたフィルターの作成と保存手順について説明します。好みのアクセス方法を選択して続行します。
## GuardDuty コンソールでのフィルターの作成と保存
検出結果フィルターは、GuardDuty コンソールを通して 作成およびテストすることができます。抑制ルールやその後のフィルターオペレーションで使用するためにコンソールを通して作成したフィルターは、保存できます。フィルターは、少なくとも 1 つのフィルター基準で構成されます。その基準は少なくとも 1 つの値と組み合わさった 1 つのフィルター属性で構成されています。
**フィルター条件を作成および保存するには (コンソール)**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. 左のナビゲーションペインで **[検出結果]** を選択します。
1. **[検出結果]** ページで、**[保存されたルール]** メニューの横にある *[フィルター検出結果]* バーを選択します。これにより、**プロパティフィルター**の展開されたリストが表示されます。
![\[プロパティフィルターを選択して、GuardDuty コンソールで検出結果をフィルタリングします。\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. フィルターの展開されたリストから、検出結果テーブルをフィルタリングする属性を選択します。
例えば、影響を受ける可能性のあるリソースが **S3Bucket** である検出結果を表示するには、**[リソースタイプ]** を選択します。
1. **演算子** では、検出結果をフィルタリングして目的の検出結果を得るのに役立つものを選択します。前のステップの例を続行するには、**[リソースタイプ =]** を選択します。これにより、GuardDuty のリソースタイプのリストが表示されます。
![\[等号演算子または不等号演算子を選択して、GuardDuty コンソールで検出結果をフィルタリングします。\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
ユースケースで特定の検出結果を除外する必要がある場合は、**不等号**または **\$1=** 演算子を選択できます。
1. 選択したプロパティフィルターの値を指定します。必要に応じて、**[適用]** を選択します。前のステップの例を続行するには、**[S3Bucket]** を選択します。
これにより、適用されたフィルターに一致する検出結果が表示されます。
1. 複数のフィルター条件を追加するには、3 から 6 の手順を繰り返します。
属性の詳細なリストについては、「[GuardDuty のプロパティフィルター](#filter_criteria)」を参照してください。
1.
**(オプション) 指定された属性と値をフィルターとして保存します**
このフィルターの組み合わせを将来再度適用するには、指定された属性とその値をフィルターセットとして保存できます。
1. 1 つ以上のプロパティフィルターでフィルター条件を作成したら、**[フィルターをクリア]** メニューで *[矢印]* を選択します。
![\[GuardDuty コンソールにフィルターセットを保存して、検出結果を再度フィルタリングできるようにします。\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. フィルターセット **[名前]** を入力します。名前は 3~64 文字にする必要があります。有効な文字は、a-z、A~Z、0~9、ピリオド ( )、ハイフン (-)、アンダースコア (\$1) です。
1. **説明**はオプションです。説明を入力する場合、最大 512 文字まで使用できます。
1. **[作成]** を選択します。
## GuardDuty API と CLI を使用したフィルターセットの作成と保存
API または CLI コマンドを使用して、検出結果フィルターを作成してテストできます。フィルターは、少なくとも 1 つのフィルター基準で構成されます。その基準は少なくとも 1 つの値と組み合わさった 1 つのフィルター属性で構成されています。フィルターを保存して、後で [抑制ルール](findings_suppression-rule.md) を作成したり他のフィルターオペレーションを実行したりできます。
**API/CLI を使用して検出結果フィルターを作成するには**
+ フィルターを作成する のリージョンディテクター ID を使用して AWS アカウント [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API を実行します。
アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
+ または、[create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) CLI を使用してフィルターを作成して保存することもできます。[GuardDuty のプロパティフィルター](#filter_criteria) から 1 つ以上のフィルター条件を使用できます。
赤で示されているプレースホルダー値を置き換えて、以下の例を使用します。
**例 1**: 特定の検出結果タイプに一致するすべての検出結果を表示する新しいフィルターを作成する
次の例では、特定のイメージから作成されたインスタンスのすべての `PortScan` 検出結果に一致するフィルターを作成します。プレースホルダー値は赤で示されます。これらの値をアカウントに適した値に置き換えます。例えば *12abc34d567e8fa901bc2d34EXAMPLE* を自分のリージョン detector-id に置き換えます。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**例 2**: 重大度レベルに一致するすべての検出結果を表示する新しいフィルターを作成する
次の例では、`HIGH` 重大度レベルに関連付けられたすべての検出結果に一致するフィルターを作成します。プレースホルダー値は赤で示されます。これらの値をアカウントに適した値に置き換えます。例えば *12abc34d567e8fa901bc2d34EXAMPLE* を自分のリージョン detector-id に置き換えます。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ API/CLI の場合、[検出結果の重大度レベル](guardduty_findings-severity.md) は数字で表されます。深刻度レベルに基づいて結果をフィルタリングするには、以下の値を使用してください。
+ `LOW` 重大度レベルには、`{ "severity": { "Equals": ["1", "2", "3"] } }` を使用します
+ `MEDIUM` 重大度レベルには、`{ "severity": { "Equals": ["4", "5", "6"] } }` を使用します
+ `HIGH` 重大度レベルには、`{ "severity": { "Equals": ["7", "8"] } }` を使用します
+ `CRITICAL` 重大度レベルには、`{ "severity": { "Equals": ["9", "10"] } }` を使用します
+ 複数の重大度レベルの検出結果については、次の例のようなプレースホルダー値を使用します。`{ "severity": { "Equals": ["7", "8", "9", "10"] } }`
この例では、`HIGH` または `CRITICAL` の重大度レベルを持つ検出結果を示します。
**注記**
重大度レベルに関連付けられた数値のすべてではなく、1 つの数値のみを持つ例を指定した場合、API と CLI ではフィルタリングされた結果が表示されることがあります。この保存されたフィルターセットを GuardDuty コンソールで使用すると、期待どおりに動作しません。これは、GuardDuty コンソールがフィルター値を `CRITICAL`、`HIGH`、`MEDIUM`、および `LOW` と見なすためです。例えば、`{ "severity": { "Equals": ["9"] } }` を含む CLI コマンドで作成されたフィルターは、API/CLI で適切な出力を表示することが期待されます。ただし、GuardDuty コンソールで使用した場合、この保存されたフィルターには重大度レベルが部分的に含まれ、期待通りの出力は表示されません。このため、API と CLI では各重大度レベルに関連付けられたすべての値を指定する必要があります。
## GuardDuty のプロパティフィルター
API オペレーションを使用してフィルターを作成したり、検出結果を並べ替える場合は、JSON 中でフィルター基準を特定する必要があります。これらのフィルター基準は、検出結果の詳細 JSON と相関します。次の表にフィルター属性のコンソール表示名と、それに対応する JSON フィールド名のリストを表示します。
| コンソールフィールド名 | JSON フィールド名 |
| --- | --- |
| アカウント ID | accountId |
| 検出結果 ID | id |
| リージョン | region |
| 緊急度 | severity 検出結果タイプの重大度レベルに基づいて検出結果タイプをフィルタリングできます。重大度の値についての詳細は、「[GuardDuty の検出結果の重大度](guardduty_findings-severity.md)」を参照してください。API、 AWS CLI、または `severity`で を使用する場合は CloudFormation、数値が割り当てられます。詳細については、「*Amazon GuardDuty API リファレンス*」の「[findingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria)」を参照してください。 |
| 検出結果タイプ | type |
| 更新時刻 | updatedAt |
| アクセスキー ID | resource.accessKeyDetails.accessKeyId |
| プリンシパル ID | resource.accessKeyDetails.principalId |
| ユーザーネーム | resource.accessKeyDetails.userName |
| ユーザータイプ | resource.accessKeyDetails.userType |
| IAM インスタンスプロファイル ID | resource.instanceDetails.iamInstanceProfile.id |
| インスタンス ID | resource.instanceDetails.instanceId |
| インスタンスイメージ ID | resource.instanceDetails.imageId |
| インスタンスのタグキー。 | resource.instanceDetails.tags.key |
| インスタンスのタグ値。 | resource.instanceDetails.tags.value |
| IPv6 アドレス | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| プライベート IPv4 アドレス | resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress |
| パブリック DNS 名 | resource.instanceDetails.networkInterfaces.publicDnsName |
| パブリック IP | resource.instanceDetails.networkInterfaces.publicIp |
| セキュリティグループ ID | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| セキュリティグループ名 | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| サブネット ID | resource.instanceDetails.networkInterfaces.subnetId |
| VPC ID | resource.instanceDetails.networkInterfaces.vpcId |
| Outpost ARN | resource.instanceDetails.outpostARN |
| リソースタイプ | resource.resourceType |
| バケット許可 | resource.s3BucketDetails.publicAccess.effectivePermission |
| バケット名 | resource.s3BucketDetails.name |
| バケットタグキー | resource.s3BucketDetails.tags.key |
| バケットタグ値 | resource.s3BucketDetails.tags.value |
| バケットタイプ | resource.s3BucketDetails.type |
| アクションタイプ | service.action.actionType |
| 呼び出された API | service.action.awsApiCallAction.api |
| API 発信者のタイプ | service.action.awsApiCallAction.callerType |
| API エラーコード | service.action.awsApiCallAction.errorCode |
| API 発信者の都市 | service.action.awsApiCallAction.remoteIpDetails.city.cityName |
| API 発信者の国 | service.action.awsApiCallAction.remoteIpDetails.country.countryName |
| API 発信者の IPv4 アドレス | service.action.awsApiCallAction.remoteIpDetails.ipAddressV4 |
| API 発信者の IPv6 アドレス | service.action.awsApiCallAction.remoteIpDetails.ipAddressV6 |
| API 発信者の ASN ID | service.action.awsApiCallAction.remoteIpDetails.organization.asn |
| API 発信者の ASN 名 | service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg |
| API 発信者のサービス名 | service.action.awsApiCallAction.serviceName |
| DNS リクエストドメイン | service.action.dnsRequestAction.domain |
| DNS リクエストドメインサフィックス | service.action.dnsRequestAction.domainWithSuffix |
| ブロック済みのネットワーク接続 | service.action.networkConnectionAction.blocked |
| ネットワーク接続の方向 | service.action.networkConnectionAction.connectionDirection |
| ネットワーク接続のローカルポート | service.action.networkConnectionAction.localPortDetails.port |
| ネットワーク接続プロトコル | service.action.networkConnectionAction.protocol |
| ネットワーク接続の都市 | service.action.networkConnectionAction.remoteIpDetails.city.cityName |
| ネットワーク接続の国 | service.action.networkConnectionAction.remoteIpDetails.country.countryName |
| ネットワーク接続のリモート IPv4 アドレス | service.action.networkConnectionAction.remoteIpDetails.ipAddressV4 |
| ネットワーク接続のリモート IPv6 アドレス | service.action.networkConnectionAction.remoteIpDetails.ipAddressV6 |
| ネットワーク接続のリモート IP ASN ID | service.action.networkConnectionAction.remoteIpDetails.organization.asn |
| ネットワーク接続のリモート IP ASN 名 | service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg |
| ネットワーク接続のリモートポート | service.action.networkConnectionAction.remotePortDetails.port |
| 関連するリモートアカウント | service.action.awsApiCallAction.remoteAccountDetails.affiliated |
| Kubernetes API 発信者の IPv4 アドレス | service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4 |
| Kubernetes API 発信者の IPv6 アドレス | service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV6 |
| Kubernetes 名前空間 | service.action.kubernetesApiCallAction.namespace |
| Kubernetes API 発信者の ASN ID | service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn |
| Kubernetes API 呼び出しリクエスト URI | service.action.kubernetesApiCallAction.requestUri |
| Kubernetes API ステータスコード | service.action.kubernetesApiCallAction.statusCode |
| ネットワーク接続のローカル IPv4 アドレス | service.action.networkConnectionAction.localIpDetails.ipAddressV4 |
| ネットワーク接続のローカル IPv6 アドレス | service.action.networkConnectionAction.localIpDetails.ipAddressV6 |
| プロトコル | service.action.networkConnectionAction.protocol |
| API 呼び出しのサービス名 | service.action.awsApiCallAction.serviceName |
| API 発信者アカウント ID | service.action.awsApiCallAction.remoteAccountDetails.accountId |
| 脅威リスト名 | service.additionalInfo.threatListName |
| リソースロール | service.resourceRole |
| EKS クラスター名 | resource.eksClusterDetails.name |
| Kubernetes ワークロード名 | resource.kubernetesDetails.kubernetesWorkloadDetails.name |
| Kubernetes ワークロード名前空間 | resource.kubernetesDetails.kubernetesWorkloadDetails.namespace |
| Kubernetes ユーザー名 | resource.kubernetesDetails.kubernetesUserDetails.username |
| Kubernetes コンテナイメージ | resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image |
| Kubernetes コンテナイメージのプレフィックス | resource.kubernetesDetails.kubernetesWorkloadDetails.containers.imagePrefix |
| スキャン ID | service.ebsVolumeScanDetails.scanId |
| EBS ボリュームスキャンの脅威名 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name |
| S3 オブジェクトスキャンの脅威名 | service.malwareScanDetails.threats.name |
| 脅威の重大度 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity |
| SHA ファイル | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash |
| ECS クラスター名 | resource.ecsClusterDetails.name |
| ECS コンテナイメージ | resource.ecsClusterDetails.taskDetails.containers.image |
| ECS タスク定義 ARN | resource.ecsClusterDetails.taskDetails.definitionArn |
| スタンドアロンコンテナのイメージ | resource.containerDetails.image |
| データベースインスタンス ID | resource.rdsDbInstanceDetails.dbInstanceIdentifier |
| データベースクラスター ID | resource.rdsDbInstanceDetails.dbClusterIdentifier |
| データベースエンジン | resource.rdsDbInstanceDetails.engine |
| データベースユーザー | resource.rdsDbUserDetails.user |
| データベースインスタンスのタグキー | resource.rdsDbInstanceDetails.tags.key |
| データベースインスタンスのタグ値 | resource.rdsDbInstanceDetails.tags.value |
| 実行可能ファイル SHA-256 | service.runtimeDetails.process.executableSha256 |
| プロセス名 | service.runtimeDetails.process.name |
| 実行可能ファイルのパス | service.runtimeDetails.process.executablePath |
| Lambda 関数の名前 | resource.lambdaDetails.functionName |
| Lambda 関数の ARN | resource.lambdaDetails.functionArn |
| Lambda 関数タグキー | resource.lambdaDetails.tags.key |
| Lambda 関数タグ値 | resource.lambdaDetails.tags.value |
| DNS リクエストドメイン | service.action.dnsRequestAction.domainWithSuffix |
# GuardDuty の抑制ルール
抑制ルールは、フィルター属性と値の組み合わせで構成される基準のセットで、指定した条件に一致する新しい検出結果を自動的にアーカイブして検出結果をフィルタリングするために使用する条件のセットのことです。抑制ルールを使用して、重要ではない検出結果、誤検出の検出結果、対応を行わない脅威をフィルタリングすることにより、環境に最も影響があるセキュリティの脅威を認識しやすくなります。
抑制ルールを作成すると、その抑制ルールが適用されている限り、ルールで定義された条件に一致する新しい検出結果が自動的にアーカイブされます。既存のフィルターを使用して抑制ルールを作成したり、定義した新しいフィルターから抑制ルールを作成することもできます。検出結果タイプ全体を抑制するよう抑制ルールを設定したり、特定の検出結果タイプの特定のインスタンスのみを抑制する、よりきめ細かいフィルター条件を定義したりできます。抑制ルールはいつでも編集できます。
抑制された検出結果は AWS Security Hub CSPM、Amazon Simple Storage Service、Amazon Detective、または Amazon EventBridge に送信されないため、Security Hub CSPM、サードパーティー SIEM、またはその他のアラートおよびチケット発行アプリケーションを介して GuardDuty 検出結果を使用する場合、検出結果のノイズレベルが減少します。[Malware Protection for EC2](malware-protection.md) を有効にした場合、抑制された GuardDuty の検出結果ではマルウェアスキャンは開始されません。
GuardDuty は、抑制ルールに一致している場合でも検出結果を生成します。ただし、これらの検出結果は自動的に **[archived]** (アーカイブ) としてマークされます。アーカイブされた検出結果は 90 日間 GuardDuty に保存され、その期間中いつでも表示することができます。抑制された検出結果は、GuardDuty コンソールで、検出結果の表から **[Archived]** (アーカイブ) を選択するか、`service.archived` 等式の `findingCriteria` 条件を true にした [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API を使用して GuardDuty API を通じて表示できます。
**注記**
マルチアカウント環境では、GuardDuty 管理者のみが抑制ルールを作成できます。
## Extended Threat Detection での抑制ルールの使用
GuardDuty Extended Threat Detection は、 AWS アカウント内のデータソース、複数のタイプの AWS リソース、および時間にわたるマルチステージ攻撃を自動的に検出します。さまざまなデータソースのイベントを関連付けて、 AWS 環境に対する潜在的な脅威として存在するシナリオを特定し、攻撃シーケンスの検出結果を生成します。詳細については、「[Extended Threat Detection の仕組み](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works)」を参照してください。
検出結果をアーカイブする抑制ルールを作成すると、Extended Threat Detection は、攻撃シーケンスのイベントを関連付けるときに、これらのアーカイブされた検出結果を使用できません。幅広い抑制ルールは、GuardDuty がマルチステージ攻撃の検出と一致する動作を検出する能力に影響を与える可能性があります。抑制ルールのためにアーカイブされた検出結果は、攻撃シーケンスのシグナルとは見なされません。例えば、特定の既知のアクティビティをターゲットにするのではなく、すべての EKS クラスター関連の検出結果をアーカイブする抑制ルールを作成すると、GuardDuty はそれらの検出結果を使用して、脅威アクターがコンテナを悪用し、特権トークンを取得し、機密リソースにアクセスする攻撃シーケンスを検出できなくなります。
GuardDuty からの次の推奨事項を検討します。
+ サプレッションルールを引き続き使用して、既知の信頼できるアクティビティからのアラートを減らします。
+ 抑制ルールは、GuardDuty が検出結果を生成しないようにする特定の動作に焦点を当ててください。
## 抑制ルールの一般的ユースケースとその例
次の検出結果タイプには、抑制ルールを適用する一般的ユースケースがあります。検出結果名を選択すると、その検出結果の詳細を確認できます。ユースケースの説明を確認して、その検出結果タイプの抑制ルールを作成するかどうかを決定します。
**重要**
GuardDuty は、環境で誤検出を繰り返し特定した検出結果に対してのみ、抑制ルールを作成することをお勧めします。
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) - VPC のインターネットゲートウェイからではなく、オンプレミスのゲートウェイからインターネットへのトラフィックをルーティングするように VPC ネットワークが設定されている場合に、生成された検出結果を自動的にアーカイブするために抑制ルールを使用します。
この検出結果が生成されるのは、VPC インターネットゲートウェイ (IGW) からではなく、オンプレミスのゲートウェイから排出され、インターネットトラフィックがルーティングされるように、ネットワークが構成されている場合です。[AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) や VPC VPN 接続などの一般的な構成では、このようにトラフィックがルーティングされる可能性があります これが予期した動作である場合は、抑制ルールを使用して、2 つのフィルター条件で構成されるルールを作成することをお勧めします。1 つ目の条件では、**[finding type]** (結果タイプ) に `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS` を使用します。2 番目のフィルター条件は、オンプレミスインターネットゲートウェイの IP アドレスまたは CIDR 範囲を持つ **[API caller IPv4 address]** (API 発信者の IPv4 アドレス) です。次の例は、API 発信者の IP アドレスに基づいてこの検出結果タイプを抑制するために使用するフィルターを示しています。
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
**注記**
複数の API 発信者の IP を含めるには、それぞれに新しい API 発信者 IPv4 アドレスフィルターを追加します。
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) - 脆弱性評価アプリケーションを使用する場合に、検出結果を自動的にアーカイブするために抑制ルールを使用します。
抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の条件では、**[Finding type]** (結果タイプ) 属性に `Recon:EC2/Portscan` という値を使用します。2 番目のフィルター条件は、これらの脆弱性評価ツールをホストする 1 つ以上のインスタンスと一致する必要があります。これらのツールをホストするインスタンスで識別可能な条件に応じて、**[Instance image ID]** (インスタンスイメージ ID) 属性または **[Tag]** (タグ) 値の属性のいずれかを使用できます。次の例は、特定の AMI を持つインスタンスに基づいてこの検出結果タイプを抑制するために使用するフィルターを示しています。
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) - 踏み台インスタンスをターゲットとする場合に、検出結果を自動的にアーカイブするために抑制ルールを使用します。
ブルートフォース試行のターゲットが踏み台ホストである場合、これは AWS 環境に対して予想される動作を表す可能性があります。このような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の条件では、**[Finding type]** (結果タイプ) 属性に `UnauthorizedAccess:EC2/SSHBruteForce` という値を使用します。2 番目のフィルター条件は、要塞ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。これらのツールをホストするインスタンスで識別可能な条件に応じて、**[Instance image ID]** (インスタンスイメージ ID) 属性または **[Tag]** (タグ) 値の属性のいずれかを使用できます。次の例は、特定のタグ値を持つインスタンスに基づいてこの検出結果タイプを抑制するために使用するフィルターを示しています。
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) - 意図的に公開しているインスタンスをターゲットとする場合に、検出結果を自動的にアーカイブするために抑制ルールを使用します。
ウェブサーバーをホストしている場合など、インスタンスが意図的に公開される場合があります。 AWS 環境でこのような場合は、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の条件では、**[Finding type]** (結果タイプ) 属性に `Recon:EC2/PortProbeUnprotectedPort` という値を使用します。2 番目のフィルター条件は、要塞ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。これらのツールをホストするインスタンスで識別可能な条件に応じて、**[Instance image ID]** (インスタンスイメージ ID) 属性または **[Tag]** (タグ) 値の属性のいずれかを使用できます。次の例は、コンソール内の特定のタグキーを持つインスタンスに基づいてこの検出結果タイプを抑制するために使用するフィルターを示しています。
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```
### Runtime Monitoring 検出結果の抑制ルールの推奨
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) はコンテナ内のプロセスが Docker ソケットと通信するときに生成されます。環境内に、正当な理由で Docker ソケットにアクセスする必要があるコンテナが存在する可能性があります。このようなコンテナからアクセスすると、PrivilegeEscalation:Runtime/DockerSocketAccessed 検出結果が生成されます。 AWS 環境でこれが当てはまる場合は、この検出結果タイプの抑制ルールを設定することをお勧めします。1 つ目の条件では、値が `PrivilegeEscalation:Runtime/DockerSocketAccessed` に等しい **[検出結果タイプ]** フィールドを使用する必要があります。2 番目のフィルター条件は、生成された検出結果のプロセスの `executablePath` と同じ値を持つ **[実行可能ファイルのパス]** フィールドです。別の方法として、2 番目のフィルター条件では、生成された検出結果のプロセスの `executableSha256` と同じ値を持つ **[実行可能ファイル SHA-256]** フィールドを使用できます。
+ Kubernetes クラスターは、独自の DNS サーバーを `coredns` などのポッドとして実行します。そのため、ポッドからの DNS 検索ごとに、GuardDuty は 2 つの DNS イベントをキャプチャします。1 つはポッドから、もう 1 つはサーバーポッドからキャプチャされます。これにより、以下の DNS 検出結果に重複が生じる可能性があります。
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
重複した検出結果には、DNS サーバーポッドに対応するポッド、コンテナ、プロセスの詳細が含まれます。これらのフィールドを使用して、重複検出結果を抑制する抑制ルールをセットアップできます。最初のフィルター条件では、このセクションで前述した検出結果リストの DNS 検出結果タイプと同じ値の **[検出結果タイプ]** フィールドを使用する必要があります。2 つ目のフィルター条件は、お使いの DNS サーバー `executablePath` と同じ値の **[実行可能ファイルのパス]** か、生成された検出結果の DNS サーバー `executableSHA256` と同じ値の **[実行可能ファイル SHA-256]** のいずれかです。オプションの 3 番目のフィルター条件として、生成された検出結果に含まれる DNS サーバーポッドのコンテナイメージと同じ値の **[Kubernetes コンテナイメージ]** フィールドを使用できます。
# GuardDuty で抑制ルールを作成する
抑制ルールは、フィルター属性の使用と、GuardDuty に検出結果タイプを生成させたくない値の指定を含む一連の条件です。この条件に一致する検出結果タイプは自動的にアーカイブされます。ノイズを減らすために、抑制された検出結果は、統合 AWS のサービス できる に送信されません。抑制ルールの作成の一般的なユースケースの詳細については、「[抑制ルール](findings_suppression-rule.md)」を参照してください。
GuardDuty コンソールの抑制ルールページを使用して**、抑制ルール**を視覚化、作成、管理できます。抑制ルールは、既存の保存済みフィルターから生成することもできます。フィルター作成の詳細については、「[GuardDuty での検出結果のフィルタリング](guardduty_filter-findings.md)」を参照してください。
フィルター条件には、**等号**演算子と **NotEquals** 演算子を使用した完全一致、**一致**演算子と **NotMatches** 演算子を使用した**ワイルドカード一致**、**GreaterThan**、**GreaterThanEquals**、**LessThan**、**LessThanEquals** 演算子を使用した**比較一致**を含めることができます。使用可能な演算子の詳細については、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html)「」ページを参照してください。
任意のアクセス方法を選択して、GuardDuty 検出結果タイプの抑制ルールを作成します。
------
#### [ Console ]
**コンソールを使用して抑制ルールを作成するには:**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. **抑制ルール**ページで、**抑制ルールの作成**をクリックして、**抑制ルールの作成**フォームを開きます。
1. 抑制ルール**の名前**を入力します。名前は 3~64 文字にする必要があります。有効な文字は、a-z、A~Z、0~9、ピリオド ( )、ハイフン (-)、アンダースコア (\$1) です。
1. **説明**はオプションです。説明を入力する場合、最大 512 文字まで使用できます。有効な文字は、a~z、A~Z、0~9、ピリオド (.)、ハイフン (-)、コロン (:)、括弧 (\$1\$1()[])、スラッシュ (/)、スペースです。
1. **Rank** はオプションです。1 からフィルターと抑制ルールの合計数、さらに 1 までの数値を指定できます。
1. **属性**セクションで、ドロップダウンから**キー**と**演算子**を選択します。
1. 選択したキーに基づいて、datepicker から「文字列」または「日付」のいずれかの値を入力します。文字列値の場合は、テキストを入力して Enter キーを押します。文字列値の場合、複数の値を追加できます。
1. 追加の条件を追加するには、**条件を追加して**別の**キー**、**演算子**、**値 (複数可)** のセットを追加します。
1. **抑制ルールを作成して**保存するには、抑制ルールの作成を選択します。
また、既存の保存済みフィルターから抑制ルールを作成できます。フィルター作成の詳細については、「[GuardDuty での検出結果のフィルタリング](guardduty_filter-findings.md)」を参照してください。
**保存済みフィルターから抑制ルールを作成するには、次の手順を実行します。**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. **[検出結果]** ページで、**[保存されたルール]** メニューから、保存されたフィルターセットルールを選択します。これにより、フィルターセットと条件に一致する検出結果が自動的に表示されます。
1. この保存されたルールにフィルター条件を追加することもできます。フィルター基準を追加する必要がない場合は、この手順をスキップします。1 つ以上のフィルター条件を追加するには、「[Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page)」のステップ 3 ~ 7 に従い、次のステップに進みます。
1. フィルター条件を追加し、フィルタリングされた結果が要件を満たしていることを確認したら、**[抑制ルールの作成]** を選択します。
1. 抑制ルールの**[名前]** を入力します。名前は 3~64 文字にする必要があります。有効な文字は、a-z、A~Z、0~9、ピリオド ( )、ハイフン (-)、アンダースコア (\$1) です。
1. **説明**はオプションです。説明を入力する場合、最大 512 文字まで使用できます。
1. **[作成]** を選択します。
1. 保存したルールにフィルター条件を追加する必要がある場合は、ステップ 4~7 に従ってフィルターを作成します。
------
#### [ API/CLI ]
**API を使用して抑制ルールを作成するには**
1. 抑制ルールは、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API を使用して作成できます。これを行うには、次に示す例の形式に従って JSON ファイルでフィルター条件を指定します。次の例では、`test.example.com` ドメインへの DNS リクエストが行われた未アーカイブの重大度の低い検出結果を抑制します。重大度が中の検出結果の場合、入力リストは `["4", "5", "7"]` になります。重大度が高の検出結果の場合、入力リストは `["6", "7", "8"]` になります。重大度が高の検出結果の場合、入力リストは `["9", "10"]` になります。リスト内の任意の 1 つの値に基づいてフィルターすることもできます。
次の例では、関数名のプレフィックスMyFunc」を持つ Lambda 関数の重要度の低い検出結果と、プレフィックスがTestTag」ではない関数タグのフィルターを追加します。
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
ワイルドカード文字 \$1 と を使用して抑制ルールを作成できます。。 フィルターのワイルドカードは、**一致**演算子と **NotMatches** 演算子のみを使用してサポートされます。任意の数の文字を一致させるには、属性値に \$1 を使用し、1 文字を一致させるには、属性値に ? を使用できます。フィルタは、1 つのワイルドカード条件で最大 5 つの属性をサポートし、1 つの属性内で最大 5 つのワイルドカード文字をサポートします。次の例では、プレフィックスがMyFunc」に一致する Lambda 名のフィルターを追加しますが、プレフィックスがTestTag」のタグに 0~2 文字が続く Lambda 関数は追加しません。
```
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
```
JSON のフィールド名とそれに相当するコンソールのフィールド名の一覧については、「[GuardDuty のプロパティフィルター](guardduty_filter-findings.md#filter_criteria)」を参照してください。
フィルター基準をテストするには、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API で同じ JSON 基準を使用し、正しい検出結果が選択されていることを確認します。を使用してフィルター条件をテストするには、独自の detectorId と .json ファイルを使用して例 AWS CLI に従います。
アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
```
aws guardduty list-detector
```
```
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
```
**注記**
ワイルドカードマッチングは、ListFindings および GetFindingsStatistics では使用できません。ワイルドカードを含む条件は、ListFindings と GetFindingsStatistics を使用して検証することはできません。
1. 抑制ルールとして使用するフィルターを [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API を使用してアップロードするか、 AWS CLI で次の例に従って独自のディテクター ID、抑制ルール名、.json ファイルを使用してアップロードします。
アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
```
[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html) API を使用して、プログラムでフィルターのリストを表示できます。[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html) API にフィルター名を指定すると、個々のフィルターの詳細を表示できます。[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html) API を使用してフィルターを更新するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API を使用してフィルターを削除します。
------
# GuardDuty での抑制ルールの更新
このセクションでは、 AWS アカウント 特定の の で抑制ルールを更新する手順について説明します AWS リージョン。
既存の抑制ルールは、GuardDuty コンソールの**抑制ルール**ページから更新できます。GuardDuty は、GuardDuty コンソールから、または GuardDuty CLI/API を使用して、サプレッションフィルターの説明、ランク、フィルター条件の更新をサポートしています。 GuardDuty 抑制ルールの更新は、説明、ランク、基準のフィールド値に対する と同じ制限に従います[抑制ルールを作成する](create-suppression-rules-guardduty.md)。
メンバーアカウントの場合、管理者アカウントが代わりにこのアクションを実行できます。詳細については、「[管理者アカウントとメンバーアカウントの関係](administrator_member_relationships.md)」を参照してください。
任意のアクセス方法を選択して、GuardDuty 検出結果タイプの抑制ルールを削除します。
------
#### [ Console ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. **抑制ルール**ページで、更新する抑制ルールを選択します。
1. **Actions** ドロップダウンから、**Update suppression rule** を選択します。
1. これにより、既存の抑制ルールフォームが開きます。
1. 必要に応じて、**説明**、**ランク**、**属性**セクションを変更します。
1. **サプレッションルールを更新する** を選択して、サプレッションルールを更新します。
------
#### [ API/CLI ]
**API を使用して抑制ルールを更新するには:**
1. UpdateFilter API を使用して抑制ルールを更新できます。UpdateFilter API を使用して更新できるのは、**説明**、**ランク**、**基準**のみです。これら 3 つのフィールドはすべてオプションです。
1. 既存のフィルターを更新するには、更新する予定のフィルターの名前が必要です。
1. 既存の条件を更新する場合は、フィルターを最初に作成した方法と同様の更新された条件を使用して JSON ファイルを作成します。test.example.com ドメインへの DNS リクエストがあるアーカイブされていない重要度の低い検出結果を抑制する基準の例。重要度が中程度の検出結果の場合、入力リストは ["4"、"5"、"7"] になります。重要度の高い検出結果の場合、入力リストは ["6"、"7"、"8"] になります。重大な重要度の検出結果の場合、入力リストは ["9", "10"] になります。リスト内の任意の 1 つの値に基づいてフィルターすることもできます。次の例では、重大度の低い検出結果のフィルターを追加します。
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
JSON のフィールド名とそれに相当するコンソールのフィールド名の一覧については、「[GuardDuty のプロパティフィルター](guardduty_filter-findings.md#filter_criteria)」を参照してください。
フィルター基準をテストするには、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API で同じ JSON 基準を使用し、正しい検出結果が選択されていることを確認します。を使用してフィルター条件をテストするには、独自の detectorId と .json ファイルを使用して例 AWS CLI に従います。
アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
```
aws guardduty list-detectors --region us-east-1
```
1. 説明を更新する場合は、CLI 呼び出しに説明パラメータを含めることができます。
1. ランクを更新する場合は、CLI 呼び出しに rank パラメータを含めることができます。
1. 抑制フィルターから通常のフィルターに更新する場合は、CLI 呼び出しでアクションパラメータと値を **ARCHIVE** として使用します。
1. 独自のディテクター ID、抑制ルールの名前、.json ファイルを使用して、 AWS CLI 既存のフィルター API または を更新します。
1. 以下は、上記のすべてのパラメータを更新する CLI の例です。コマンド - から、ユースケース用に更新する特定のパラメータを選択できます。
```
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json
```
------
# GuardDuty で抑制ルールを削除する
このセクションでは、 AWS アカウント 特定の の で抑制ルールを削除する手順について説明します AWS リージョン。
環境内で期待される動作を示さなくなった抑制ルールを削除することもできます。GuardDuty が検出結果タイプを生成できるように、関連付けられた検出結果タイプを抑制したくなくなることがあります。
メンバーアカウントの場合、管理者アカウントが代わりにこのアクションを実行できます。詳細については、「[管理者アカウントとメンバーアカウントの関係](administrator_member_relationships.md)」を参照してください。
任意のアクセス方法を選択して、GuardDuty 検出結果タイプの抑制ルールを削除します。
------
#### [ Console ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. **抑制ルール**ページで、削除する抑制ルールを選択します。
1. Actions ****ドロップダウンから、**Delete suppression rule **を選択します。
1. 確認ポップアップが表示されます。**削除**を選択して削除を続行します。または**、キャンセル**を選択してオペレーションをキャンセルします。
------
#### [ API/CLI ]
[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API を実行します。フィルター名と、特定のリージョンの関連付けられたディテクター ID を指定します。
または、*赤*でフォーマットされた値を置き換えることで、次の AWS CLI 例を使用できます。
```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```
アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
------
# Customizing threat detection with entity lists and IP address lists
Amazon GuardDuty は、VPC フローログ、 AWS CloudTrail イベントログ、DNS ログを分析して処理することで、 AWS 環境のセキュリティをモニタリングします。1 つ以上の[ユースケースに焦点を当てた GuardDuty 保護プラン](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) ([Runtime Monitoring](runtime-monitoring.md) を除く) を有効にすると、GuardDuty 内でモニタリング機能を拡張できます。
リストを使用することで、GuardDuty は環境における脅威検出の範囲をカスタマイズするのに役立ちます。GuardDuty を設定して、信頼できるソースからの検出結果の生成を停止し、脅威リストに登録された既知の悪意のあるソースからの検出結果を生成することができます。GuardDuty では従来の IP アドレスリストが引き続きサポートされるほか、IP アドレス、ドメイン、またはその両方を格納できるエンティティリスト (推奨) にもサポートが拡張されています。
**Topics**
+ [エンティティリストと IP アドレスリストについて理解する](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty リストに関する重要な考慮事項](#guardduty-lists-entity-sets-considerations)
+ [リストフォーマット](#prepare_list)
+ [リストのステータスについて理解する](#guardduty-entity-list-statuses)
+ [エンティティリストと IP アドレスリストの前提条件の設定](guardduty-lists-prerequisites.md)
+ [エンティティリストまたは IP リストの追加とアクティブ化](guardduty-lists-create-activate.md)
+ [エンティティリストまたは IP アドレスリストの更新](guardduty-lists-update-procedure.md)
+ [エンティティリストまたは IP アドレスリストの非アクティブ化](guardduty-lists-deactivate-procedure.md)
+ [エンティティリストまたは IP アドレスリストの削除](guardduty-lists-delete-procedure.md)
## エンティティリストと IP アドレスリストについて理解する
GuardDuty は、エンティティリスト (推奨) と IP リストの 2 つの実装アプローチを提供します。どちらのアプローチも、信頼できるソースを指定するのに役立ちます。これにより、GuardDuty はそのソースを検出結果に含めなくなり、GuardDuty が検出結果を生成する際に参照する既知の脅威から除外できるようになります。
**エンティティリスト**は、IP アドレスとドメイン名の両方をサポートします。単一の IAM 権限による Amazon Simple Storage Service (Amazon S3) への直接アクセスを利用しており、複数のリージョンにわたる IAM ポリシーのサイズ制限に影響を与えません。
**IP リスト**は IP アドレスのみをサポートし、[GuardDuty サービスにリンクされたロール (SLR)](slr-permissions.md) (SLR) を使用します。そのため、リージョンごとに IAM ポリシーの更新が必要となり、IAM ポリシーのサイズ制限に影響する可能性があります。
信頼できるリスト (エンティティリストと IP アドレスリストの両方) には、 AWS インフラストラクチャとの安全な通信のために信頼できるエントリが含まれています。GuardDuty は、信頼できるソースにリストされているエントリに対しては検出結果を生成しません。どの時点でも、リージョン AWS アカウント ごとに 1 つの信頼されたエンティティリストと 1 つの信頼された IP アドレスリストのみを追加できます。
脅威リスト (エンティティリストと IP アドレスリストの両方) には、既知の悪意のあるソースとして特定したエントリが含まれます。GuardDuty がこれらのソースに関連するアクティビティを検出すると、潜在的なセキュリティ問題について警告する調査結果を生成します。独自の脅威リストを作成したり、サードパーティの脅威インテリジェンスフィードを組み込んだりできます。このリストは、サードパーティの脅威インテリジェンスによって提供されるか、あるいは組織専用に特別に生成することができます。GuardDuty は、疑わしいアクティビティの可能性に基づいて検出結果を生成するだけでなく、脅威リストのエントリに関連するアクティビティに基づいても検出結果も生成します。いつでも、リージョン AWS アカウント ごとに ごとに最大 6 つの脅威エンティティリストと脅威 IP アドレスリストをアップロードできます。
**注記**
IP アドレスリストからエンティティリストに移行するには、 [エンティティリストの前提条件](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites) に従い、必要なエンティティリストを追加してアクティブ化します。その後、対応する IP アドレスリストを非アクティブ化または削除できます。
## GuardDuty リストに関する重要な考慮事項
リストの操作を始める前に、以下の注意事項をお読みください。
+ IP アドレスリストとエンティティリストは、パブリックにルーティング可能な IP アドレスとドメインを宛先とするトラフィックにのみ適用されます。
+ エンティティリストでは、エントリは CloudTrail、Amazon VPC の VPC フローログ、Route53 Resolver DNS クエリログの検出結果に適用されます。
IP アドレスリストのエントリは、CloudTrail と Amazon VPC の VPC フローログの検出結果に適用されますが、Route 53 Resolver DNS クエリログの検出結果には適用されません。
+ 信頼できるリストと脅威リストの両方に同じ IP アドレスまたはドメインが含まれている場合、信頼できるリストのエントリが優先されます。GuardDuty は、このエントリに関連するアクティビティがある場合は、検出結果を生成しません。
+ マルチアカウント環境でリストを管理できるのは、GuardDuty 管理者アカウントのみです。この設定は、メンバーアカウントに自動的に適用されます。GuardDuty は管理者アカウントの脅威ソースからの、既知の悪意ある IP アドレス (およびドメイン) を含むアクティビティに基づく検出結果を生成しますが、管理者アカウントの信頼できるソースからの IP アドレス (およびドメイン) を含むアクティビティに基づく検出結果は生成しません。詳細については、「[Amazon GuardDuty の複数のアカウント](guardduty_accounts.md)」を参照してください。
+ IPv4 アドレスのみ受け入れられます。IPv6 アドレスはサポートされません。
+ エンティティリストまたは IP アドレスリストをアクティブ化、非アクティブ化、または削除すると、プロセスは 15 分以内に完了すると推定されます。シナリオによっては、このプロセスが完了するまでに最大 40 分かかることがあります。
+ GuardDuty は、リストのステータスが**アクティブ**になった場合にのみ、脅威検出にリストを使用します。
+ リストの S3 バケットの場所でエントリを追加または更新するたびに、リストを再度アクティブ化する必要があります。詳細については、「[エンティティリストまたは IP アドレスリストの更新](guardduty-lists-update-procedure.md)」を参照してください。
+ エンティティリストと IP アドレスのクォータは異なります。詳細については、「[GuardDuty クォータ](guardduty_limits.md)」を参照してください。
## リストフォーマット
GuardDuty は、リストとエンティティリストに複数のファイル形式 (ファイルあたり最大 35 MB) を受け入れます。各形式には固有の要件と機能があります。
### プレーンテキスト (TXT)
この形式は、IP アドレス、CIDR 範囲、およびドメイン名をサポートしています。各エントリは別々の行に表示される必要があります。
**Example **エンティティリストの例****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **IP アドレスリストの例****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### 脅威情報構造化記述形式 (STIX)
この形式は、IP アドレス、CIDR ブロック、ドメイン名をサポートしています。STIX では、脅威インテリジェンスを使って追加のコンテキストを含めることができます。GuardDuty は、STIX インジケータの IP アドレス、CIDR 範囲、およびドメイン名を処理します。
**Example **エンティティリストの例****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **IP アドレスリストの例****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange (OTX)TM CSV
このフォーマットは、CIDR ブロック、個々の IP アドレス、およびドメインをサポートします。このファイル形式は、カンマで区切られた値を持っています。
**Example **エンティティリストの例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **IP アドレスリストの例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSIGHT 脅威インテリジェンス CSV
このフォーマットは、CIDR ブロック、個々の IP アドレス、およびドメインをサポートします。次のサンプルリストは `FireEyeTM` CSV フォーマットを使用しています。
**Example **エンティティリストの例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **IP アドレスリストの例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
ProofPoint CSV フォーマットでは、IP アドレスまたはドメイン名を 1 つのリストに追加できます。次のサンプルリストは `Proofpoint` CSV フォーマットを使用しています。`ports` パラメータに値を指定するかどうかはオプションです。指定しない場合は、末尾にカンマ (,) を残します。
**Example **エンティティリストの例****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **IP アドレスリストの例****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM Reputation Feed
次のサンプルリストは `AlienVault` フォーマットを使用しています。
**Example **エンティティリストの例****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **IP アドレスリストの例****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## リストのステータスについて理解する
エンティティリストまたは IP アドレスリストを追加すると、GuardDuty はそのリストのステータスを表示します。**[ステータス]** 列は、リストが有効かどうか、およびアクションが必要かどうかを示します。以下のリストは、有効なステータス値を示しています。
+ **アクティブ** – そのリストが現在、カスタム脅威検出に使用されていることを示します。
+ **非アクティブ** – そのリストが現在、使用されていないことを示します。GuardDuty がこのリストを環境内の脅威検出に使用する方法については、「[エンティティリストまたは IP リストの追加とアクティブ化](guardduty-lists-create-activate.md)」の「ステップ 3: エンティティリストまたは IP アドレスリストをアクティブ化する」を参照してください。
+ **エラー** – そのリストに問題があることを示します。ステータスにカーソルを合わせると、エラーの詳細を確認できます。
+ **アクティブ化** — GuardDuty がリストのアクティブ化プロセスを開始したことを示します。このリストのステータスを引き続きモニタリングできます。エラーがない場合、ステータスは **[アクティブ]** に更新されます。ステータスが **[アクティブ化]** の間は、このリストに対してアクションを実行することはできません。リストのステータスが **[アクティブ]** に変わるまでに数分かかる場合があります。
+ **非アクティブ化** — GuardDuty がリストを非アクティブ化するプロセスを開始したことを示します。このリストのステータスを引き続きモニタリングできます。エラーがない場合、ステータスは **[非アクティブ]** に更新されます。ステータスが **[非アクティブ化]** の間は、このリストに対してアクションを実行することはできません。
+ **削除保留中** – そのリストが削除中であることを示します。ステータスが **[削除保留中]** の間は、このリストに対してアクションを実行することはできません。
# エンティティリストと IP アドレスリストの前提条件の設定
GuardDuty はエンティティリストと IP アドレスリストを使用して、 AWS 環境内の脅威検出をカスタマイズします。エンティティリスト (推奨) は IP アドレスとドメイン名の両方をサポートしますが、IP アドレスリストは IP アドレスのみをサポートします。これらのリストの作成を開始する前に、使用したいリストのタイプに必要なアクセス許可を追加する必要があります。
## エンティティリストの前提条件
エンティティリストを追加すると、GuardDuty は S3 バケットから信頼できるリストと脅威インテリジェンスリストを読み取ります。エンティティリストの作成に使用するロールは、これらのリストを含む S3 バケットへの `s3:GetObject` アクセス許可を必ず持つ必要があります。
**注記**
マルチアカウント環境では、GuardDuty 管理者アカウントのみがリストを管理でき、これらはメンバーアカウントに自動的に適用されます。
S3 バケットの場所に対する `s3:GetObject` アクセス許可がまだない場合は、以下のポリシー例を使用して *amzn-s3-demo-bucket* を S3 バケットの場所に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## IP アドレスリストの前提条件
さまざまな IAM アイデンティティは、GuardDuty で信頼できる IP リストおよび脅威リストを用いて機能するための特別な許可を必要とします。[AmazonGuardDutyFullAccess\$1v2 (推奨)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) マネージドポリシーがアタッチされている ID のみがアップロードされた信頼できる IP リストと脅威リストの名前を変更および無効化できます。
さまざまな ID に、信頼できる IP リストと脅威リストの操作 (名前の変更および非アクティブ化に加えて、リストの追加、アクティブ化、削除や、リストの場所または名前の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションがユーザー、グループ、またはロールにアタッチされた許可ポリシーに存在することを確認してください。
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**重要**
これらのアクションは `AmazonGuardDutyFullAccess` マネージドポリシーに含まれていません。
### エンティティリストと IP リストでの SSE-KMS 暗号化の使用
GuardDuty は、リストの SSE-AES256 および SSE-KMS 暗号化をサポートしています。SSE-C はサポートされていません。S3 の暗号化タイプの詳細については、「[サーバー側の暗号化によるデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)」を参照してください。
エンティティリストと IP リストのどちらを使用するかにかかわらず、SSE-KMS を使用する場合は、次のステートメントを AWS KMS key ポリシーに追加します。*123456789012* は自身のアカウント ID に置き換えます。
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# エンティティリストまたは IP リストの追加とアクティブ化
エンティティリストと IP アドレスリストは、GuardDuty の脅威検出機能をカスタマイズするのに役立ちます。これらのリストの詳細については、「[エンティティリストと IP アドレスリストについて理解する](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)」を参照してください。 AWS 環境の信頼された脅威インテリジェンスデータを管理するために、GuardDuty ではエンティティリストを使用することをお勧めします。開始する前に、「[エンティティリストと IP アドレスリストの前提条件の設定](guardduty-lists-prerequisites.md)」を参照してください。
次のアクセス方法のいずれかを選択して、信頼できるエンティティリスト、脅威エンティティリスト、信頼できる IP リストまたは脅威 IP リストを追加してアクティブ化します。
------
#### [ Console ]
**(オプション) ステップ 1: リストの場所の URL を取得する**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. ナビゲーションペインで、**バケット**を選択します。
1. 追加する特定のリストを含む Amazon S3 バケット名を選択します。
1. オブジェクト (リスト) 名を選択すると、その詳細が表示されます。
1. **[プロパティ]** タブで、このオブジェクトの **S3 URI** をコピーします。
**ステップ 2: 信頼できるデータまたは脅威インテリジェンスデータを追加する**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[リスト] **を選択します。
1. **[リスト]** ページで、**[エンティティリスト]** または **[IP アドレスリスト]** タブを選択します。
1. 選択したタブに基づいて、信頼できるリストまたは脅威リストの追加を選択します。
1. 信頼できるリストまたは脅威リストを追加するダイアログボックスで、以下の手順を実行します。
1. **[リスト名]** で、リストの名前を入力します。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。
1. **[場所]** で、リストをアップロードした場所を指定します。まだ持っていない場合は、「[Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage)」を参照してください。
カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。
**場所の URL の形式。**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (オプション) **予想されるバケット所有者**には、 **Location** フィールドで指定された Amazon S3 バケットを所有する AWS アカウント ID を入力できます。
AWS アカウント ID 所有者を指定しない場合、GuardDuty はエンティティリストと IP アドレスリストの動作が異なります。エンティティリストの場合、GuardDuty は現在のメンバーアカウントが **[場所]** フィールドで指定された S3 バケットを所有していることを検証します。IP アドレスリストでは、 AWS アカウント ID 所有者を指定しない場合、GuardDuty は検証を実行しません。
GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、リストのアクティブ化時にエラーが発生します。
1. **[I agree]** (同意します) チェックボックスをオンにします。
1. **[Add list]** (リストを追加) を選択します。デフォルトでは、追加されたリストの **[ステータス]** は **[非アクティブ]** です。リストを有効にするには、リストをアクティブ化する必要があります。
**ステップ 3: エンティティリストまたは IP アドレスリストをアクティブ化する**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[リスト] **を選択します。
1. **[リスト[** ページで、リストをアクティブ化するタブ - **[エンティティリスト]** または **[IP アドレスリスト]** を選択します。
1. アクティブ化するリストを 1 つ選択します。これにより、**[アクション]** メニューと**[編集]** メニューが有効になります。
1. **[アクション]** を選択し、**[アクティブ化]** を選択します。
------
#### [ API/CLI ]
**信頼できるエンティティリストを追加およびアクティブ化するには**
1. [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html) を実行します。この信頼できるエンティティリストを作成するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
1. あるいは、次の AWS Command Line Interface コマンドを実行することによってこれを実行できます。
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` を、信頼できるエンティティリストを作成するメンバーアカウントのディテクター ID、および*赤で示される*その他のプレースホルダー値に置き換えます。
この新しく作成されたリストをアクティブ化しない場合は、 パラメータ `--activate` を `--no-activate` に置き換えます。
`expected-bucket-owner` パラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この`--detector-id`値に関連付けられた AWS アカウント ID が `--location`パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。
**脅威エンティティリストを追加およびアクティブ化するには**
1. [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html) を実行します。この脅威エンティティリストを作成するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
1. あるいは、次の AWS Command Line Interface コマンドを実行することによってこれを実行できます。
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` を、信頼できるエンティティリストを作成するメンバーアカウントのディテクター ID、および*赤で示される*その他のプレースホルダー値に置き換えます。
この新しく作成されたリストをアクティブ化しない場合は、 パラメータ `--activate` を `--no-activate` に置き換えます。
`expected-bucket-owner` パラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この`--detector-id`値に関連付けられた AWS アカウント ID が `--location`パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。
**信頼できる IP アドレスリストを追加してアクティブ化するには**
1. [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html) を実行します。この信頼されている IP アドレスリストを作成するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
1. または、次の AWS Command Line Interface コマンドを実行してこれを行うこともできます。このとき、`detector-id` を、信頼されている IP アドレスリストを更新するメンバーアカウントのディテクター ID に置き換えてください。
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` を、信頼できる IP リストを作成するメンバーアカウントのディテクター ID、および*赤で示される*その他のプレースホルダー値に置き換えます。
この新しく作成されたリストをアクティブ化しない場合は、 パラメータ `--activate` を `--no-activate` に置き換えます。
`expected-bucket-owner` パラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。`expected-bucket-owner` パラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が `--location`パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
**脅威 IP リストを追加およびアクティブ化するには**
1. [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html) を実行します。この脅威 IP アドレスリストを作成するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。
1. または、次の AWS Command Line Interface コマンドを実行してこれを行うこともできます。このとき、`detector-id` を、脅威 IP リストを更新するメンバーアカウントのディテクター ID に置き換えてください。
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id` を脅威 IP リストを作成するメンバーアカウントのディテクター ID と、*赤で示される*その他のプレースホルダー値に置き換えます。
この新しく作成されたリストをアクティブ化しない場合は、 パラメータ `--activate` を `--no-activate` に置き換えます。
`expected-bucket-owner` パラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。`expected-bucket-owner` パラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が `--location`パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
------
エンティティリストまたは IP アドレスリストを有効化すると、そのリストが有効になるまでに数分かかる場合があります。詳細については、「[GuardDuty リストに関する重要な考慮事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)」を参照してください。
# エンティティリストまたは IP アドレスリストの更新
エンティティリストと IP アドレスリストは、GuardDuty の脅威検出機能をカスタマイズするのに役立ちます。これらのリストの詳細については、「[エンティティリストと IP アドレスリストについて理解する](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets)」を参照してください。
リスト名、S3 バケットの場所、想定されるバケット所有者アカウント ID、および既存リスト内のエントリを更新できます。リストのエントリを更新する場合、GuardDuty がリストの最新バージョンを使用するには、そのリストを再度アクティブ化するステップに従う必要があります。エンティティリストまたは IP アドレスリストを更新または有効化した後、このリストが有効になるまでに数分かかる場合があります。詳細については、「[GuardDuty リストに関する重要な考慮事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)」を参照してください。
**注記**
リストのステータスが**[アクティブ化]**、**[非アクティブ化]**、または**[削除保留中]** の場合は、アクションを実行する前に数分待つ必要があります。これらのステータスについては、「[リストのステータスについて理解する](guardduty_upload-lists.md#guardduty-entity-list-statuses)」を参照してください。
アクセス方法のいずれかを選択して、エンティティリストまたは IP アドレスリストを更新します。
------
#### [ Console ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[リスト] **を選択します。
1. **[リスト]** ページで、適切なタブ - **[エンティティリスト]** または **[IP アドレスリスト]** を選択します。
1. 更新するリスト (信頼できるリストまたは脅威リスト) を 1 つ選択します。これにより、**[アクション]** メニューと**[編集]** メニューが有効になります。
1. **[編集]** を選択します。
1. リストを更新するダイアログボックスで、更新する詳細を指定します。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。
カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。
1. (オプション) **予想されるバケット所有者**には、 **Location** フィールドで指定された Amazon S3 バケットを所有する AWS アカウント ID を入力できます。
AWS アカウント ID 所有者を指定しない場合、GuardDuty はエンティティリストと IP アドレスリストの動作が異なります。エンティティリストの場合、GuardDuty は現在のメンバーアカウントが **[場所]** フィールドで指定された S3 バケットを所有していることを検証します。IP アドレスリストでは、 AWS アカウント ID 所有者を指定しない場合、GuardDuty は検証を実行しません。
GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、リストのアクティブ化時にエラーが発生します。
1. **[同意します]** チェックボックスをオンにし、**[リストを更新]** を選択します。
------
#### [ API/CLI ]
次の手順を開始するには、更新するリストリソースに関連付けられている `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet`、`threatIpSet` などの ID が必要です。
**信頼できるエンティティリストを更新してアクティブ化するには**
1. [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html) を実行します。この信頼されている IP リストを更新するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
1. または、次の AWS Command Line Interface コマンドを実行してリストの `name` を更新し、このリストをアクティブ化することもできます。
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` を、信頼できるエンティティリストを作成するメンバーアカウントのディテクター ID、および*赤で示される*その他のプレースホルダー値に置き換えます。
この新しく作成されたリストをアクティブ化しない場合は、 パラメータ `--activate` を `--no-activate` に置き換えます。
`expected-bucket-owner` パラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この`--detector-id`値に関連付けられた AWS アカウント ID が `--location`パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。
**脅威エンティティリストを更新してアクティブ化するには**
1. [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html) を実行します。この脅威エンティティリストを作成するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
1. または、次の AWS Command Line Interface コマンドを実行してリストの `name` を更新し、このリストをアクティブ化することもできます。
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` を、脅威エンティティリストを作成するメンバーアカウントのディテクター ID、および*赤で示される*その他のプレースホルダー値に置き換えます。
この新しく作成されたリストをアクティブ化しない場合は、 パラメータ `--activate` を `--no-activate` に置き換えます。
`expected-bucket-owner` パラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この`--detector-id`値に関連付けられた AWS アカウント ID が `--location`パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。
**信頼できる IP アドレスリストを更新してアクティブ化するには**
1. [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html) を実行します。この信頼されている IP アドレスリストを更新するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。
1. あるいは、リストをアクティブ化する次の AWS Command Line Interface コマンドを実行することによってこれも実行できます。
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` を、信頼できる IP リストを更新するメンバーアカウントのディテクター ID、および*赤で示される*その他のプレースホルダー値に置き換えます。
この新しく作成されたリストをアクティブ化しない場合は、 パラメータ `--activate` を `--no-activate` に置き換えます。
`expected-bucket-owner` パラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。`expected-bucket-owner` パラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が `--location`パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
**脅威 IP リストを追加およびアクティブ化するには**
1. [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html) を実行します。この脅威 IP アドレスリストを作成するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
**リストの命名に関する制約** - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (\$1) を含めることができます。
IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。
1. あるいは、リストをアクティブ化する次の AWS Command Line Interface コマンドを実行することによってこれも実行できます。
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id` を脅威 IP リストを更新するメンバーアカウントのディテクター ID と、*赤で表示される*その他のプレースホルダー値に置き換えます。
この新しく作成されたリストをアクティブ化しない場合は、 パラメータ `--activate` を `--no-activate` に置き換えます。
`expected-bucket-owner` パラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。`expected-bucket-owner` パラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が `--location`パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
------
# エンティティリストまたは IP アドレスリストの非アクティブ化
GuardDuty でリストを使用しない場合は、非アクティブ化できます。プロセスが完了するまでに数分かかることがあります。詳細については、「[GuardDuty リストに関する重要な考慮事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)」を参照してください。リストが非アクティブ化されると、エンティティリストまたは IP アドレスリストのエントリは GuardDuty での脅威検出には影響しません。
いずれかのアクセス方法を選択して、リストを非アクティブ化します。
------
#### [ Console ]
**エンティティリストまたは IP アドレスリストを無効にするには**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[リスト] **を選択します。
1. **リスト**ページで、リストを非アクティブ化するタブ - **[エンティティリスト]** または **[IP アドレスリスト]** を選択します。
1. 選択したタブで、非アクティブ化するリストを選択します。
1. **[アクション]** を選択し、**[非アクティブ化]** を選択します。
1. アクションを確認して、**[非アクティブ化]** を選択します。
------
#### [ API/CLI ]
次の手順を開始するには、非アクティブ化するリストリソースに関連付けられている `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet`、`threatIpSet` などの ID が必要です。
**信頼できるエンティティリストを非アクティブ化するには**
1. [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html) を実行します。この信頼できる IP リストを作成するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. あるいは、次の AWS Command Line Interface コマンドを実行することによってこれを実行できます。
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id` を、信頼できるエンティティリストを非アクティブ化するメンバーアカウントのディテクター ID、および*赤で示される*その他のプレースホルダー値に置き換えます。
**脅威エンティティリストを非アクティブ化するには**
1. [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html) を実行します。この脅威リストを無効にするメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. あるいは、次の AWS Command Line Interface コマンドを実行することによってこれを実行できます。
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id` を、脅威エンティティリストを作成するメンバーアカウントのディテクター ID、および*赤で示される*その他のプレースホルダー値に置き換えます。
**信頼できる IP アドレスリストを非アクティブ化するには**
1. [UpdateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html) を実行します。この信頼できる IP アドレスリストを作成するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. または、次の AWS Command Line Interface コマンドを実行してこれを行うこともできます。このとき、`detector-id` を、信頼できる IP アドレスリストを非アクティブ化するメンバーアカウントのディテクター ID に置き換えてください。
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**脅威 IP リストを非アクティブ化するには**
1. [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html) を実行します。この脅威 IP アドレスリストを非アクティブ化するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. または、次の AWS Command Line Interface コマンドを実行してこれを行うこともできます。このとき、`detector-id` を、信頼できる 脅威 IP リストを非アクティブ化するメンバーアカウントのディテクター ID に置き換えてください。
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# エンティティリストまたは IP アドレスリストの削除
エンティティセットまたは IP アドレスセット内のリストエントリを保持しなくなった場合、それを削除できます。プロセスが完了するまでに数分かかることがあります。詳細については、「[GuardDuty リストに関する重要な考慮事項](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations)」を参照してください。
リストのステータスが**アクティブ化**または**非アクティブ化**の場合は、アクションを実行する前に数分待つ必要があります。詳細については、「[リストのステータスについて理解する](guardduty_upload-lists.md#guardduty-entity-list-statuses)」を参照してください。
いずれかのアクセス方法を選択して、リストを削除します。
------
#### [ Console ]
**エンティティリストまたは IP アドレスリストを削除するには**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[リスト] **を選択します。
1. **[リスト]** ページで、リスト - **エンティティリスト**または **IP アドレスリスト**を削除するタブを選択します。
1. 選択したタブで、削除するリストを選択します。
1. **[アクション]**、**[削除]** の順に選択します。
リストのステータスは **[削除保留中]** に変わります。リストが削除されるまでに数分かかる場合があります。
------
#### [ API/CLI ]
次の手順を開始するには、削除するリストリソースに関連付けられている `trustedEntitySetId`、`threatEntitySetId`、`trustedIpSet`、`threatIpSet` などの ID が必要です。
**信頼できるエンティティリストを削除するには**
1. [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html) を実行します。この信頼できる IP リストを削除するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. あるいは、次の AWS Command Line Interface コマンドを実行することによってこれを実行できます。
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` を、信頼できるエンティティリストを削除するメンバーアカウントのディテクター ID、および*赤で示される*その他のプレースホルダー値に置き換えます。
**脅威エンティティリストを非アクティブ化するには**
1. [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html) を実行します。この脅威エンティティリストを削除するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. あるいは、次の AWS Command Line Interface コマンドを実行することによってこれを実行できます。
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` を、脅威エンティティリストを削除するメンバーアカウントのディテクター ID と、*赤で示される*その他のプレースホルダー値に置き換えます。
**信頼できる IP アドレスリストを削除するには**
1. [DeleteIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html) を実行します。この信頼できる IP アドレスリストを削除するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. または、次の AWS Command Line Interface コマンドを実行してこれを行うこともできます。このとき、`detector-id` を、信頼されている IP アドレスリストを更新するメンバーアカウントのディテクター ID に置き換えてください。
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` を、脅威エンティティリストを削除するメンバーアカウントのディテクター ID と、*赤で示される*その他のプレースホルダー値に置き換えます。
**脅威 IP リストを削除するには**
1. [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html) を実行します。この脅威 IP アドレスリストを削除するメンバーアカウントの `detectorId` を必ず指定してください。アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. または、次の AWS Command Line Interface コマンドを実行してこれを行うこともできます。このとき、`detector-id` を、脅威 IP リストを削除するメンバーアカウントのディテクター ID に置き換えてください。
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id` を、脅威エンティティリストを削除するメンバーアカウントのディテクター ID と、*赤で示される*その他のプレースホルダー値に置き換えます。
------
# 生成された GuardDuty の検出結果を Amazon S3 バケットにエクスポートする
GuardDuty は生成された検出結果を 90 日間保持します。GuardDuty はアクティブな検出結果を Amazon EventBridge (EventBridge) にエクスポートします。生成された検出結果は、必要に応じて Amazon Simple Storage Service (Amazon S3) バケットにエクスポートできます。これにより、アカウント内の疑わしいアクティビティの履歴データを追跡し、推奨される修復手順が成功したかどうかを評価することができます。
GuardDuty によって生成された新しいアクティブな検出結果はすべて、検出結果の生成後約 5 分以内に自動的にエクスポートされます。アクティブな検出結果の更新を EventBridge にエクスポートする頻度は設定できます。選択した頻度は、更新された既存の検出結果を EventBridge、S3 バケット (設定されている場合)、Detective (統合されている場合) にエクスポートするときに適用されます。GuardDuty が既存の検出結果の複数の出現を集計する方法については、「[GuardDuty の検出結果の集約](finding-aggregation.md)」を参照してください。
検出結果を Amazon S3 バケットにエクスポートするように設定する場合、GuardDuty は AWS Key Management Service (AWS KMS) を使用して S3 バケットの検出結果データを暗号化します。そのためには、GuardDuty がアクセス許可を使用してアカウント内の結果をエクスポートできるように、S3 バケットと AWS KMS キーにアクセス許可を追加する必要があります。
**Topics**
+ [考慮事項](#guardduty-export-findings-considerations)
+ [ステップ 1 – 検出結果のエクスポートに必要な許可](#guardduty_exportfindings-permissions)
+ [ステップ 2 – KMS キーにポリシーをアタッチする](#guardduty-exporting-findings-kms-policy)
+ [ステップ 3: Amazon S3 バケットにポリシーをアタッチする](#guardduty_exportfindings-s3-policies)
+ [ステップ 4 - S3 バケットに検出結果をエクスポートする (コンソール)](#guardduty_exportfindings-new-bucket)
+ [ステップ 5 – 更新されたアクティブな検出結果をエクスポートする頻度を設定する](#guardduty_exportfindings-frequency)
## 考慮事項
検出結果をエクスポートするための前提条件とステップに進む前に、次の主要な概念を検討します。
+ **エクスポート設定はリージョンレベルで行います** – GuardDuty を使用するリージョンごとにエクスポートオプションを設定する必要があります。
+ **さまざまな AWS リージョン (クロスリージョン) の Amazon S3 バケットへの検出結果のエクスポート** – GuardDuty は次のエクスポート設定をサポートしています。
+ Amazon S3 バケットまたはオブジェクト、および AWS KMS キーは、同じ に属している必要があります AWS リージョン。
+ 商用リージョンで生成された検出結果の場合、任意の商用リージョンの S3 バケットにこれらの検出結果をエクスポートすることを選択できます。ただし、これらの検出結果をオプトインリージョンの S3 バケットにエクスポートすることはできません。
+ オプトインリージョンで生成された検出結果の場合、生成されたのと同じオプトインリージョン、または任意の商用リージョンにこれらの検出結果をエクスポートすることを選択できます。ただし、あるオプトインリージョンから別のオプトインリージョンに検出結果をエクスポートすることはできません。
+ **検出結果をエクスポートする許可** – アクティブな検出結果をエクスポートする設定を行うには、GuardDuty がオブジェクトをアップロードできる許可が S3 バケットに必要です。また、GuardDuty が検出結果を暗号化するために使用できる AWS KMS キーも必要です。
+ **アーカイブされた検出結果はエクスポートされません** – デフォルトの動作では、アーカイブされた検出結果 (抑制された検出結果の新しいインスタンスを含む) はエクスポートされません。
GuardDuty の検出結果が*アーカイブ済み*として生成される場合は、*元に戻す*必要があります。これにより、**[検出結果ステータスをフィルタリング]** が **[アクティブ]** に変更されます。GuardDuty は、「[ステップ 5 – 検出結果をエクスポートする頻度](#guardduty_exportfindings-frequency)」の設定方法に基づいて、アーカイブされていない既存の検出結果に更新をエクスポートします。
+ **GuardDuty 管理者アカウントは、関連付けられたメンバーアカウントで生成された検出結果をエクスポートできます** – 管理者アカウントで検出結果のエクスポートを設定すると、同じリージョンで生成された、関連付けられたメンバーアカウントからのすべての検出結果も、管理者アカウント用に設定したのと同じ場所にエクスポートされます。詳細については、「[GuardDuty 管理者アカウントとメンバーアカウントの関係について理解する](administrator_member_relationships.md)」を参照してください。
## ステップ 1 – 検出結果のエクスポートに必要な許可
検出結果をエクスポートするための設定を行うときは、検出結果を保存できる Amazon S3 バケットと、データの暗号化に使用する AWS KMS キーを選択します。GuardDuty アクションに対する許可に加えて、検出結果をエクスポートする設定を正常に構成するには、次のアクションに対する許可も必要です。
+ `s3:GetBucketLocation`
+ `s3:PutObject`
Amazon S3 バケット内の特定のプレフィックスに検出結果をエクスポートする必要がある場合は、IAM ロールに次のアクセス許可も追加する必要があります。
+ `s3:GetObject`
+ `s3:ListBucket`
## ステップ 2 – KMS キーにポリシーをアタッチする
GuardDuty は、 を使用してバケット内の検出結果データを暗号化します AWS Key Management Service。設定を正常に構成するには、まず、KMS キーを使用する許可を GuardDuty に付与する必要があります。KMS キーに[ポリシーを添付する](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)ことで、許可を付与することができます。
別のアカウントの KMS キーを使用する場合は、キーを所有 AWS アカウント する にログインしてキーポリシーを適用する必要があります。検出結果をエクスポートする設定を行う場合、キーを所有するアカウントのキー ARN も必要になります。
**GuardDuty が検出結果を暗号化するために KMS キーポリシーを変更するには**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. エクスポートされた検出結果を暗号化するために使用するキーについて、既存の KMS キーを選択するか、「*AWS Key Management Service 開発者ガイド*」の「[Create a new key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」の手順を実行します。
**注記**
KMS キーと Amazon S3 バケット AWS リージョン の は同じである必要があります。
同じ S3 バケットと KMS キーのペアを使用して、該当する任意のリージョンから検出結果をエクスポートできます。詳細については、リージョン間の検出結果のエクスポートに関する「[考慮事項](#guardduty-export-findings-considerations)」を参照してください。
1. **[Key policy]** (キーポリシー) セクションで、**[Edit]** (編集) を選択します。
**[ポリシービューへの切り替え]** が表示された場合はそれを選択して **[キーポリシー]** を表示してから、**[編集]** を選択します。
1. 次のポリシーブロックを KMS キーポリシーにコピーして、キーを使用する許可を GuardDuty に付与します。
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
```
1. ポリシーの例で**赤**でフォーマットされている次の値を置き換えることにより、ポリシーを編集します。
1. *KMS key ARN* は、KMS キーの Amazon リソースネーム (ARN) に置き換えます。キー ARN を検索するには、「*AWS Key Management Service 開発者ガイド*」の「[Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)」を参照してください。
1. *123456789012* は、検出結果をエクスポートする GuardDuty アカウントを所有する AWS アカウント ID に置き換えます。
1. *Region2* を、GuardDuty の結果が生成される に置き換え AWS リージョン ます。
1. *SourceDetectorID* は、検出結果が生成された特定のリージョンの GuardDuty アカウントの `detectorID` に置き換えます。
アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
**注記**
オプトインリージョンで GuardDuty を使用している場合は、「Service」の値をそのリージョンのリージョンエンドポイントに置き換えます。例えば、中東 (バーレーン) (me-south-1) リージョンで GuardDuty を使用している場合は、`"Service": "guardduty.amazonaws.com"` を `"Service": "guardduty.me-south-1.amazonaws.com"` に置き換えます。オプトインリージョンごとのエンドポイントの詳細については、「[GuardDuty エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)」を参照してください。
1. 最後のステートメントの前にポリシーステートメントを追加した場合は、このステートメントを追加する前にカンマを追加します。KMS キーポリシーの JSON 構文が有効であることを確認します。
**[保存]** を選択します。
1. (オプション) 後のステップで使用するために、キー ARN をメモ帳にコピーします。
## ステップ 3: Amazon S3 バケットにポリシーをアタッチする
検出結果のエクスポート先の Amazon S3 バケットに許可を追加して、GuardDuty がこの S3 バケットにオブジェクトをアップロードできるようにします。アカウントまたは別の に属する Amazon S3 バケットを使用するかどうかにかかわらず AWS アカウント、これらのアクセス許可を追加する必要があります。
いずれかの時点で別の S3 バケットに検出結果をエクスポートすることを決定した場合、検出結果のエクスポートを継続するには、その S3 バケットに許可を追加し、検出結果のエクスポート設定を再度構成する必要があります。
これらの検出結果をエクスポートする Amazon S3 バケットがまだない場合は、「*Amazon S3 ユーザーガイド*」の「[バケットの作成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)」を参照してください。
### S3 バケットポリシーに許可をアタッチするには
1. **[バケットポリシーを編集]** ページが表示されるまで、「*Amazon S3 ユーザーガイド*」の「[バケットポリシーを作成または編集するには](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」の手順を実行します。
1. 次の**ポリシー例**は、Amazon S3 バケットに検出結果をエクスポートする許可を GuardDuty に付与する方法を示しています。検出結果のエクスポートを設定した後にパスを変更する場合は、新しい場所に対する許可を付与するように、ポリシーを変更する必要があります。
次の**ポリシー例**をコピーし、**[バケットポリシーエディタ]** に貼り付けます。
最後のステートメントの前にポリシーステートメントを追加した場合は、このステートメントを追加する前にカンマを追加します。KMS キーポリシーの JSON 構文が有効であることを確認します。
**S3 バケットポリシーの例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. ポリシーの例で**赤**でフォーマットされている次の値を置き換えることにより、ポリシーを編集します。
1. *Amazon S3 bucket ARN* は、Amazon S3 バケットの Amazon リソースネーム (ARN) に置き換えます。**[バケット ARN]** は、[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) コンソールの **[バケットポリシーを編集]** ページで確認できます。
1. *123456789012* は、検出結果をエクスポートする GuardDuty アカウントを所有する AWS アカウント ID に置き換えます。
1. *us-east-2* は、GuardDuty の検出結果が生成される AWS リージョン に置き換えます。
1. *SourceDetectorID* は、検出結果が生成された特定のリージョンの GuardDuty アカウントの `detectorID` に置き換えます。
アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. *S3 bucket ARN/[optional prefix]* プレースホルダー値の *[optional prefix]* 部分は、検出結果をエクスポートするオプションのフォルダの場所に置き換えます。プレフィックスの使用の詳細については、「*Amazon S3 ユーザーガイド*」の「[プレフィックスを使用してオブジェクトを整理する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)」を参照してください。
まだ存在していないオプションのフォルダの場所を指定した場合、GuardDuty は、S3 バケットに関連付けられたアカウントが検出結果をエクスポートしているアカウントと同じ場合にのみ、その場所を作成します。別のアカウントに属する S3 バケットに検出結果をエクスポートする場合は、このフォルダの場所が既に存在している必要があります。
1. *KMS key ARN* は、S3 バケットにエクスポートされた検出結果の暗号化に関連付けられた KMS キーの Amazon リソースネーム (ARN) に置き換えます。キー ARN を検索するには、「*AWS Key Management Service 開発者ガイド*」の「[Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)」を参照してください。
**注記**
オプトインリージョンで GuardDuty を使用している場合は、「Service」の値をそのリージョンのリージョンエンドポイントに置き換えます。例えば、中東 (バーレーン) (me-south-1) リージョンで GuardDuty を使用している場合は、`"Service": "guardduty.amazonaws.com"` を `"Service": "guardduty.me-south-1.amazonaws.com"` に置き換えます。オプトインリージョンごとのエンドポイントの詳細については、「[GuardDuty エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)」を参照してください。
1. **[保存]** を選択します。
## ステップ 4 - S3 バケットに検出結果をエクスポートする (コンソール)
GuardDuty では、別の AWS アカウントの既存のバケットに検出結果をエクスポートできます。
新しい S3 バケットを作成するか、アカウントの既存のバケットを選択するときに、オプションのプレフィックスを追加できます。検出結果のエクスポートを設定すると、GuardDuty は検出結果の S3 バケットに新しいフォルダを作成します。プレフィックスは、GuardDuty が作成したデフォルトのフォルダ構造に追加されます。例えば、オプションのプレフィックスの形式は `/AWSLogs/123456789012/GuardDuty/Region` です。
S3 オブジェクトのパス全体は `amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz` になります。`UUID` はランダムに生成され、ディテクター ID または検出結果 ID を表すものではありません。
**重要**
KMS キーおよび S3 バケットは同じリージョンにある必要があります。
これらのステップを完了する前に、KMS キーと既存の S3 バケットにそれぞれのポリシーをアタッチしていることを確認します。
**検出結果のエクスポートを設定するには**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[設定]** ページの **[検出結果のエクスポートオプション]** で、**[S3 バケット]** の **[今すぐ設定]** (または必要に応じて **[編集]**) を選択します。
1. **[S3 バケット ARN] ** で、****bucket ARN**** を入力します。バケット ARN を検索するには、「*Amazon S3 ユーザーガイド*」の「[S3 バケットのプロパティを表示するには](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)」を参照してください。
1. **[KMS キー ARN]** で、****key ARN**** を入力します。キー ARN を検索するには、「*AWS Key Management Service 開発者ガイド*」の「[Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)」を参照してください。
1.
**ポリシーをアタッチします。**
+ S3 バケットポリシーをアタッチする手順を実行します。詳細については、「[ステップ 3: Amazon S3 バケットにポリシーをアタッチする](#guardduty_exportfindings-s3-policies)」を参照してください。
+ KMS キーポリシーをアタッチする手順を実行します。詳細については、「[ステップ 2 – KMS キーにポリシーをアタッチする](#guardduty-exporting-findings-kms-policy)」を参照してください。
1. **[保存]** を選択します。
## ステップ 5 – 更新されたアクティブな検出結果をエクスポートする頻度を設定する
環境に応じて、更新されたアクティブな検出結果をエクスポートする頻度を設定します。デフォルトでは、更新された検出結果は 6 時間ごとにエクスポートされます。つまり、最新のエクスポート後に更新された検出結果が、次のエクスポートに含まれます。更新された検出結果が 6 時間ごとにエクスポートされ、エクスポートが 12:00 に発生した場合、12:00 以降に更新した検出結果が 18:00 にエクスポートされます。
**頻度を設定するには**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. **[Settings]** (設定) を選択します。
1. **[Findings export options]** (結果のエクスポートオプション) セクションで、**[Frequency for updated findings]** (更新された結果の頻度) を選択します。これにより、更新されたアクティブな検出結果を EventBridge と Amazon S3 の両方にエクスポートする頻度が設定されます。次から選択できます。
+ **[EventBridge と S3 を 15 分ごとに更新]**
+ **[EventBridge と S3 を 1 時間ごとに更新]**
+ **[EventBridge と S3 を 6 時間ごとに更新 (デフォルト)]**
1. **[Save changes]** (変更の保存) をクリックします。
# Amazon EventBridge を使用した GuardDuty 検出結果の処理
GuardDuty は、サーバーレスのイベントバスサービスである Amazon EventBridge (旧Amazon CloudWatch Events) に、検出結果をイベントとして自動的に公開 (送信) します。EventBridge は、アプリケーションやサービスから Amazon Simple Notification Service (Amazon SNS) トピック、 AWS Lambda 関数、Amazon Kinesis ストリームなどのターゲットにほぼリアルタイムのデータストリームを配信します。詳細については、「[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)」を参照してください。
EventBridge は、[イベント](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html)を受信することで GuardDuty の検出結果の自動モニタリングと処理を可能にします。EventBridge は、新規に生成された検出結果と集約された検出結果の両方に対するイベントを受信します。集約された検出結果では、既存の検出結果のその後の発生が元の検出結果と結合されます。Every GuardDuty の検出結果にはそれぞれ検索結果 ID が割り当てられます。GuardDuty によって、一意の結果 ID を持つ各検索結果に対して EventBridge イベントが作成されます。GuardDuty での集約の仕組みについては、「[GuardDuty の検出結果の集約](finding-aggregation.md)」を参照してください。
自動化されたモニタリングと処理に加えて、EventBridge を使用すると、調査結果データの長期保存が可能になります。GuardDuty は検出結果を 90 日間保存します。EventBridge を使用すると、調査結果データを好みのストレージプラットフォームに送信し、データをいつまででも保存できます。検出結果を長期間保持するために、GuardDuty は [生成された検出結果を Amazon S3 にエクスポートする](guardduty_exportfindings.md) をサポートしています。
**Topics**
+ [GuardDuty の EventBridge 通知頻度](#eventbridge-freq-notifications-gdu)
+ [Amazon SNS トピックおよびエンドポイントの設定](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [GuardDuty での EventBridge の使用](#eventbridge_events)
+ [EventBridge ルールの作成](#guardduty_eventbridge_severity_notification)
+ [マルチアカウント環境向け EventBridge ルール](#guardduty_findings_eventbridge_multiaccount)
## GuardDuty での EventBridge 通知頻度について
このセクションでは、EventBridge を介して検出通知を受け取る頻度と、以降の検出発生時の頻度を更新する方法について説明します。
**一意の検出結果 ID を含む新しく生成された検出結果の通知**
GuardDuty は、一意の検出 ID を持つ検出結果を生成した際に、これらの通知をほぼリアルタイムで送信します。通知には、通知生成プロセス中のこの検索結果 ID の後続の出現がすべて含まれます。
新規に生成された所見の通知頻度は、ほぼリアルタイムで行われます。デフォルトでは、この頻度を変更することはできません。
**以降に検出結果が見つかった場合の通知**
GuardDuty は、6 時間間隔以内で、特定の検出結果の後続のすべての発生を単一のイベントとして集計します。管理者アカウントのみが、後続の検出結果の発生について EventBridge 通知頻度を更新できます。メンバーアカウントは、自身のアカウントに対してこの頻度を更新できません。例えば、委任 GuardDuty 管理者アカウントが頻度を 1 時間に更新した場合、すべてのメンバーアカウントには、EventBridge に送信された後続の検出結果の発生に関する 1 時間の通知頻度もあります。詳細については、「[Amazon GuardDuty の複数のアカウント](guardduty_accounts.md)」を参照してください。
管理者アカウントであれば、その後の検出結果の発生に関する通知のデフォルトの頻度はカスタマイズできます。有効な値は、15 分、1 時間、またはデフォルトの 6 時間です。これらの通知の頻度の設定については、[ステップ 5 – 更新されたアクティブな検出結果をエクスポートする頻度を設定する](guardduty_exportfindings.md#guardduty_exportfindings-frequency) を参照してください。
メンバーアカウントの EventBridge 通知を受信する管理者アカウントの詳細については、「[マルチアカウント環境向け EventBridge ルール](#guardduty_findings_eventbridge_multiaccount)」を参照してください。
## Amazon SNS トピックとエンドポイントを設定する (E メール、Slack、Amazon Chime)
Amazon Simple Notification Service (Amazon SNS) は、パブリッシャーからサブスクライバーへのメッセージ配信を提供するフルマネージドサービスです。発行者は、*トピック*にメッセージを送信することで、受信者と非同期的に通信します。トピックは、Amazon Simple Queue Service (Amazon SQS) AWS Lambda、HTTP/S、E メールアドレスなどの複数のエンドポイントをグループ化できる論理アクセスポイントと通信チャネルです。
**注記**
イベントルールの作成中または作成後に、Amazon SNS トピックを優先する EventBridge イベントルールに追加できます。
**Amazon SNS トピックを作成する**
まず、Amazon Simple SNS でトピックを設定し、エンドポイントを追加する必要があります。トピックを作成するには、「*Amazon Simple Notification Service デベロッパーガイド*」の「[ステップ 1: トピックを作成する](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)」の手順を実行します。トピックが作成されたら、トピック ARN をクリップボードにコピーします。このトピック ARN を使用して、推奨される設定のいずれかを続行します。
GuardDuty の検出データを送信する場所を設定する際に、希望の方法を選択してください。
------
#### [ Email setup ]
**E メールエンドポイントを設定するには**
[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) の後、次のステップは、このトピックへのサブスクリプションを作成することです。「*Amazon Simple Notification Service デベロッパーガイド*」の「[ステップ 2: Amazon SNS トピックへのサブスクリプションを作成](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html)」の手順を実行します。
1. **トピック ARN** には、 [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) ステップで作成したトピック ARN を使用します。トピック ARN は以下のようになります。
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. [**Protocol**] で [**Email**] を選択します。
1. **[エンドポイント]** には、Amazon SNS からの通知を受信する E メールアドレスを入力してください。
サブスクリプションの作成後、E メールクライアントを通じてそれを確認する必要があります。
------
#### [ Slack setup ]
**チャット アプリケーションクライアント - Slack で Amazon Q Developer を設定するには**
[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) の後、次のステップは Slack 用にクライアントを設定することです。
「*Amazon Q Developer in chat applications 管理者ガイド*」の「[チュートリアル: Slack の使用を開始する](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html)」の手順を実行します。
------
#### [ Chime setup ]
**チャット アプリケーション - Chime で Amazon Q Developer を設定するには**
[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) の後、次のステップは Chime 用に Amazon Q Developer を設定することです。
「*チャットアプリケーションの Amazon Q Developer 管理者ガイド*」の「[チュートリアル: Amazon Chime の使用を開始する](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html)」の手順を実行します。
------
## Amazon EventBridge を使用した GuardDuty の検出結果
EventBridge では、モニタリングするイベントを指定するルールを作成します。これらのルールは、これらのイベントが発生した場合に自動化されたアクションを実行できる対象サービスおよびアプリケーションも指定します。[ターゲット](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)とは、ルールに定義されたイベントパターンにイベントがマッチしたときに、EventBridge がイベントを送信する宛先 (リソースまたあエンドポイント) です。各イベントは、 AWS イベントの EventBridge スキーマに準拠する JSON オブジェクトであり、調査結果の JSON 表現が含まれています。特定の基準を満たすイベントのみを送信するようにルールを調整できます。詳細については、「[JSON スキーマトピック〕を参照してください。検出結果データは [EventBridge イベント](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html)として構成されているため、他のアプリケーション、サービス、およびツールを使用して、検出結果をモニタリングし、処理し、それに対してアクションを取ることができます。
イベントに基づいて GuardDuty の検出結果に関する通知を受け取るには、EventBridge ルールおよび GuardDuty のターゲットを作成する必要があります。このルールでは、EventBridge は GuardDuty が生成する検出結果の通知を、ルールで指定されたターゲットに送信できます。
**注記**
EventBridge と CloudWatch のイベントは同じ基盤のサービスと API です。ただし、EventBridge には、SaaS (Software as a Service (SaaS)) アプリケーションやユーザー独自のアプリケーションからイベントを受け取るのに役立つ追加機能が含まれています。基盤となるサービスと API が同じであるため、GuardDuty の検出結果のイベントスキーマも同じです。
**GuardDuty におけるアーカイブ済みおよび非アーカイブ済みの検出結果が EventBridge と連携する方法**
手動でアーカイブされた検出結果の場合、最初の検出結果と、それ以降に発生したすべての検出結果 (アーカイブ完了後に生成された検出結果) は、特定の頻度ごとに EventBridge に送信されます。詳細については、「[GuardDuty での EventBridge 通知頻度について](#eventbridge-freq-notifications-gdu)」を参照してください。
[抑制ルール](findings_suppression-rule.md) で自動的にアーカイブされた検出結果の場合、最初の検出結果と、それ以降に発生したすべての検出結果 (アーカイブ完了後に生成された検出結果) は、EventBridge に送信*されません*。自動的にアーカイブされたこれらの検出結果は GuardDuty コンソールに表示できます。
### イベントスキーマ
[イベントパターン](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)は、EventBridge がターゲットにイベントを送信するかどうかを決定するために使用するデータを定義します。GuardDuty 向けの EventBridge イベントは、以下の形式になっています。
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
`detail` 値は、配列内で複数の検出結果をサポートする「*検出結果*」応答全体を返すのではなく、単一の検出結果の JSON の詳細をオブジェクトとして返します。
`GUARDDUTY_FINDING_JSON_OBJECT` に含まれているすべてのパラメータの完全なリストについては、「[GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax)」を参照してください。`GUARDDUTY_FINDING_JSON_OBJECT` に表示される `id` パラメータは、上記で説明した検出結果 ID です。
## GuardDuty の検出結果に対する EventBridge ルールの作成
次の手順では、Amazon EventBridge コンソールと [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) を使用して、GuardDuty の検出結果の EventBridge ルールを作成する方法について説明します。このルールは、GuardDuty の検出結果のイベントスキーマとパターンを使用する EventBridge イベントを検出し、それらのイベントを AWS Lambda 関数に送信して処理します。
AWS Lambda は、サーバーのプロビジョニングや管理を行わずにコードを実行するために使用できるコンピューティングサービスです。コードをパッケージ化し、*Lambda 関数* AWS Lambda として にアップロードします。 AWS Lambda その後、 は関数が呼び出されたときに関数を実行します。関数は、ユーザーが手動で呼び出したり、イベントに応答して自動的に呼び出したり、またはアプリケーションやサービスからのリクエストに応答したりすることができます。Lambda 関数の作成および呼び出しについては、 [AWS Lambda 開発者ガイド](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)を参照してください。
GuardDuty の検出結果をターゲットに送信する EventBridge ルールを作成する際に、お好みの方法を選択してください。
------
#### [ Console ]
Amazon EventBridge コンソールを使用して、すべての GuardDuty の検出結果イベントを Lambda 関数に自動的に送信して処理するルールを作成するには、次のステップに従います。このルールは、特定のイベントを受信したときに実行されるルールのデフォルト設定を使用します。ルール設定の詳細や、カスタム設定を使用するルールの作成方法については、*Amazon EventBridge ユーザーガイド*の[イベントに反応するルールの作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)を参照してください。
このルールを作成する前に、Lambda 関数を作成して、ルールがターゲットとして使用されるようにします。ルールを作成するときは、この関数をルールのターゲットとして指定する必要があります。ターゲットは、以前に作成した SNS トピックも選択できます。詳細については、「[Amazon SNS トピックとエンドポイントを設定する (E メール、Slack、Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint)」を参照してください。
**コンソールを使用してイベントのルールを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) で Amazon EventBridge コンソールを開きます。
1. ナビゲーションペインの **[バス]** で、**[ルール]** を選択します。
1. **** セクションで、**ルールの作成** を選択します。
1. **詳細のルール定義** で、次の操作を行います。
1. **名前** にルールの名前を入力します。
1. **説明** に、認可ルールの簡単な説明を入力します。
1. **イベントバスを選択** の下で、** デフォルトのイベントバス**が選択され、**選択したイベントバスのルールを有効にする**がオンになっていることを確認します。
1. **ルールタイプ** では、**イベントパターンを持つルール** を選択します。
1. 終了したら、**次へ** を選択します。
1. **イベントパターンの作成** で、次の操作を行います。
1. **[イベントソース]** で、**[AWS イベントまたは EventBridge パートナーイベント]** を選択してください。
1. (オプショナル) **サンプルイベント** については、GuardDuty 用のサンプル検出結果イベントを確認して、イベントに含まれる可能性がある内容を確認してください。そのためには、[**AWS イベント**] を選択します。次に、[**サンプルイベント**] で [**GuardDuty 検出結果**] を選択します。
1.
**オプション 1 - EventBridge が提供するテンプレートであるパターンフォームを使用する**
**[イベントパターン]** セクションで次を実行できます。
1. **[作成方法]** では **[パターンフォームを使用する]** を選択します。
1. **イベントソース** で **AWS のサービス** を選択してください。
1. **AWS のサービス** で、**GuardDuty** を選択します。
1. **[イベントタイプ]** では、**[GuardDuty の検出結果]** を選択します。
終了したら、**次へ** を選択します。
1.
**オプション 2 - JSON でのカスタムイベントパターンの使用**
**[イベントパターン]** セクションで次を実行できます。
1. **[作成方法]** で **[カスタムパターン (JSON エディター)]** を選択します。
1. **イベントパターン**では、以下のカスタム JSON を貼り付けてください。これにより、中程度、高、重大な検出結果に対するアラートが生成されます。詳細については、「[検出結果の重大度レベル](guardduty_findings-severity.md)」を参照してください。
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
終了したら、**次へ** を選択します。
1.
**オプション A - AWS のサービス ターゲット AWS Lambda としての選択**
**[ターゲットを選択]** ページで、次の操作を行います。
1. [**ターゲットタイプ**] で [**AWS のサービス**] を選択します。
1. **[Select a target]** (ターゲットを選択) では、**[Lambda function]** (Lambda 関数) を選択します。次に、**関数**で、結果イベントの送信先となる Lambda 関数を選択します。
1. (オプション) **バージョン/エイリアスを設定** で、ターゲットの Lambda 関数のバージョンまたはエイリアスの設定を入力します。
1. (オプショナル) [**追加設定**] で、Lambda 関数に送信するイベントデータを指定します。関数に正常に配信されないイベントを処理する方法を指定することもできます。
1. 終了したら、**次へ** を選択します。
1.
**オプション B - SNS トピックをターゲットとして選択**
**[ターゲットを選択]** ページで、次の操作を行います。
1. [**ターゲットタイプ**] で [**AWS のサービス**] を選択します。
1. **[Select a target]** (ターゲットの選択) には、**[SNS topic]** (SNS トピック) を選択してください。次に、**ターゲットロケーション**で、ターゲットロケーションに基づいて適切なオプションを選択してください。**[トピック]** で、作成した SNS トピックの名前を選択します。
1. **[追加の設定]** を展開します。**[ターゲット入力の設定]** では、[**入力トランスフォーマー**] を選択します。
1. **入力トランスフォーマーの設定** を選択します。
1. 次のコードをコピーして、**[ターゲット入力トランスフォーマー]** セクションの **[入力パス]** フィールドに貼り付けます。
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. 次のコードをコピーして **[テンプレート]** フィールドに貼り付け、E メールをフォーマットします。
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. **タグの設定** ページで、ルールに割り当てる 1 つ以上のタグをオプションで入力します。続いて、**次へ** を選択します。
1. **確認して作成する**ステップでは、ジョブの設定設定を確認し、それらが正しいことを検証します。
設定を変更するには、設定が含まれるセクションで **編集**を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。
1. 設定の確認が完了したら **Create rule** (ルールの作成) を選択します。
------
#### [ API ]
次の手順は、 AWS CLI コマンドを使用して GuardDuty の EventBridge ルールとターゲットを作成する方法を示しています。具体的には、この手順では、GuardDuty が生成するすべての検出結果について、EventBridge がイベントを送信できるようにするルールを作成し、そのルールのターゲットとして AWS Lambda 関数に送信する方法を示しています。
**注記**
この例では、EventBridge をトリガーするルールのターゲットとして Lambda 関数を使用しています。他の AWS リソースをターゲットとして設定して、EventBridge をトリガーすることもできます。GuardDuty と EventBridge は、Amazon EC2 インスタンス、Amazon Kinesis ストリーム、Amazon ECS タスク、 AWS Step Functions ステートマシン、 `run` コマンド、組み込みターゲットのターゲットタイプをサポートしています。詳細については、「*Amazon EventBridge API リファレンス*」の「[PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)」を参照してください。
**ルールおよびターゲットを作成するには**
1. GuardDuty が生成するすべての検出結果に対して、EventBridge がイベントを送信できるようにするルールを作成するには、次の EventBridge CLI コマンドを実行します。
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
GuardDuty で生成された検出結果のサブセットにのみイベントを送信するよう EventBridge に指示できるように、ルールをさらにカスタマイズできます。このサブセットは、ルールで指定されている検出結果の属性に基づきます。例えば、次の CLI コマンドを使用して、EventBridge で重大度が 5 または 8 の GuardDuty の検出結果でイベントのみ送信できるようにルールを作成します。
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
この目的のために、GuardDuty の検出結果のための JSON で利用可能な任意のプロパティ値を使用できます。
1. ステップ 1 で作成したルールのターゲットとして Lambda 関数をアタッチするには、次の CloudWatch CLI コマンドを実行します。
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
上記コマンド内の `your-target-name` を GuardDuty イベントの実際の Lambda 関数に置き換えてください。
1. ターゲットを呼び出す上で必要な許可を追加するには、次の Lambda CLI コマンドを実行します。
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
上記コマンド内の `your_function` を GuardDuty イベントの実際の Lambda 関数に置き換えてください。
------
## GuardDuty マルチアカウント環境向け EventBridge ルール
委任された GuardDuty 管理者アカウントを使用する場合、メンバーアカウントで生成されたイベントを表示し、他のアプリケーションやサービスを使用してアクションを実行できます。管理者アカウント内の EventBridge ルールは、メンバーアカウントからの該当する検出結果に基づいてトリガーされます。管理者アカウントで EventBridge を介した検出結果の設定を行うと、ご自身のアカウントとメンバーアカウントの両方からの検出結果を受け取ることができます。例えば、EventBridge を使用して、特定のタイプの検出結果を Lambda 関数に送信し、その関数でデータを処理してセキュリティインシデントおよびイベント管理 (SIEM) システムに送信することができます。
検出結果の JSON 詳細の `accountId` フィールドを使用して、GuardDuty の検出結果元となったメンバーアカウントを特定することができます。特定のメンバーアカウント向けにカスタムイベントルールを作成するには、新規ルールを作成し、**イベントパターン**で以下のテンプレートを使用してください。*123456789012* を、イベントをトリガーするメンバーアカウントの `accountId` に置き換えます。
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**注記**
この例は、指定されたアカウント ID からのすべての検出結果に一致するルールを作成します。複数のアカウント ID は、JSON 構文に従いカンマで区切って指定できます。
# CloudWatch Logs を監査する方法と、Malware Protection for EC2 スキャン中にリソースがスキップされる理由について
GuardDuty Malware Protection for EC2 は Amazon CloudWatch ロググループ **/aws/guardduty/malware-scan-events** にイベントを発行します。マルウェアスキャンに関連する各イベントについて、影響を受けるリソースのステータスとスキャン結果を監視できます。特定の Amazon EC2 リソースと Amazon EBS ボリュームが、Malware Protection for EC2 スキャン中にスキップされた可能性があります。
## GuardDuty Malware Protection for EC2 の CloudWatch Logs の監査
CloudWatch ロググループ **/aws/guardduty/malware-scan-events** でサポートされるスキャンイベントには 3 つのタイプがあります。
| Malware Protection for EC2 スキャンイベント名 | 説明 |
| --- | --- |
| `EC2_SCAN_STARTED` | GuardDuty Malware Protection for EC2 が、EBS ボリュームのスナップショットを作成する準備など、マルウェアスキャンのプロセスを開始するときに作成されます。 |
| `EC2_SCAN_COMPLETED` | 影響を受けるリソースの EBS ボリュームの少なくとも 1 つに対して GuardDuty Malware Protection for EC2 スキャンが完了したときに作成されます。このイベントには、スキャンされた EBS ボリュームに属する `snapshotId` も含まれます。スキャンが完了すると、スキャン結果は、`CLEAN`、`THREATS_FOUND`、または `NOT_SCANNED` のいずれかになります。 |
| `EC2_SCAN_SKIPPED` | GuardDuty Malware Protection for EC2 スキャンが影響を受けるリソースのすべての EBS ボリュームをスキップするときに作成されます。スキップ理由を特定するには、対応するイベントを選択し、詳細を表示します。スキップの理由の詳細については、以下の「[マルウェアスキャン中にリソースをスキップする理由](#mp-scan-skip-reasons)」を参照してください。 |
**注記**
を使用している場合 AWS Organizations、Organizations のメンバーアカウントからの CloudWatch ログイベントは、管理者アカウントとメンバーアカウントのロググループの両方に発行されます。
任意のアクセス方法を選択して、CloudWatch イベントを表示およびクエリします。
------
#### [ Console ]
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) で CloudWatch コンソールを開きます。
1. ナビゲーションペインの **[ログ]** で、**[ロググループ]** を選択します。ロググループ **/aws/guardduty/malware-scan-events** を選択し、GuardDuty Malware Protection for EC2 のスキャンイベントを表示します。
クエリを実行するには、**[Log Insights]** (ログのインサイト) を選択してください
クエリの実行については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[ CloudWatch Logs Insights によるログデータの分析](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)」を参照してください。
1. **[Scan ID]** (スキャン ID) を選択して、影響を受けたリソースとマルウェアの検出結果の詳細を監視します。例えば、次のクエリを実行し、CloudWatch ログイベントを `scanId` でフィルタリングできます。ご自身の有効な *Scan-ID* を使用してください。
```
fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
```
------
#### [ API/CLI ]
+ ロググループを操作するには、「*Amazon CloudWatch ユーザーガイド*」の「[AWS CLIを使用したログエントリの検索](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli)」を参照してください。
ロググループ **/aws/guardduty/malware-scan-events** を選択し、GuardDuty Malware Protection for EC2 のスキャンイベントを表示します。
+ ログイベントを表示してフィルタリングするには、「*Amazon CloudWatch API リファレンス*」の「[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)」および「[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)」をそれぞれ参照してください。
------
## GuardDuty Malware Protectionfor EC2 ログの保持
ロググループ **/aws/guardduty/malware-scan-events** のデフォルトのログ保持期間は 90 日で、その後ログイベントは自動的に削除されます。CloudWatch ロググループのログ保持ポリシーを変更するには、「*Amazon CloudWatch ユーザーガイド*」の「[CloudWatch Logs でのログデータ保持を変更する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)」または「*Amazon CloudWatch API リファレンス*」の「[https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)」を参照してください。
## マルウェアスキャン中にリソースをスキップする理由
マルウェアスキャンに関連するイベントでは、特定の EC2 リソースと EBS ボリュームがスキャンプロセス中にスキップされた可能性があります。次の表に、GuardDuty Malware Protection for EC2 がリソースをスキャンしない理由を示します。該当する場合は、提案された手順を使用してこれらの問題を解決し、次回 GuardDuty Malware Protection for EC2 がマルウェアスキャンを開始したときにこれらのリソースをスキャンするようにします。その他の問題は、イベントの経過を知らせるために使用されるものであり、対応不要です。
| スキップの理由 | 説明 | 提案されるステップ |
| --- | --- | --- |
| `RESOURCE_NOT_FOUND` | オンデマンドマルウェアスキャンの開始に`resourceArn`提供された は、 AWS 環境で見つかりませんでした。 | Amazon EC2 インスタンスの `resourceArn` またはコンテナのワークロードを検証して、もう一度試してください。 |
| `ACCOUNT_INELIGIBLE` | オンデマンドマルウェアスキャンを開始しようとした AWS アカウント ID で GuardDuty が有効になっていません。 | この AWS アカウントで GuardDuty が有効になっていることを確認します。 新しい で GuardDuty を有効にする AWS リージョン と、同期に最大 20 分かかる場合があります。 |
| `UNSUPPORTED_KEY_ENCRYPTION` | GuardDuty Malware Protection for EC2 は、暗号化されていないボリュームと、カスタマーマネージドキーで暗号化されたボリュームをサポートします。[Amazon EBS 暗号化](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html)を使用して暗号化された EBS ボリュームのスキャンはサポートされていません。 現在、リージョンによってはこのスキップ理由が当てはまらないことがあります。これらの詳細については AWS リージョン、「」を参照してください[リージョン固有機能の可用性](guardduty_regions.md#gd-regional-feature-availability)。 | 暗号化キーをカスタマーマネージドキーに置き換えます。GuardDuty がサポートする暗号化タイプの詳細については、「[マルウェアスキャンでサポートされている Amazon EBS ボリューム](gdu-malpro-supported-volumes.md)」を参照してください。 |
| `EXCLUDED_BY_SCAN_SETTINGS` | EC2 インスタンスまたは EBS ボリュームは、マルウェアスキャン中に除外されました。2 つの可能性があります。タグが対象リストに追加されたが、リソースがこのタグに関連付けられていないか、タグが除外リストに追加され、リソースがそのタグに関連付けられている、または、`GuardDutyExcluded` タグがそのリソースに対し `true` に設定されています。 | スキャンオプションまたは Amazon EC2 リソースに関連付けられているタグを更新します。詳細については、「[ユーザー定義タグ付きのスキャンオプション](malware-protection-customizations.md#mp-scan-options)」を参照してください。 |
| `UNSUPPORTED_VOLUME_SIZE` | ボリュームが 2,048 GB を超えています。 | 実用的ではありません。 |
| `NO_VOLUMES_ATTACHED` | GuardDuty Malware Protection for EC2 がアカウントでインスタンスを検出しましたが、このインスタンスにスキャンを続行するための EBS ボリュームがアタッチされていません。 | 実用的ではありません。 |
| `UNABLE_TO_SCAN` | 内部サービスエラー。 | 実用的ではありません。 |
| `SNAPSHOT_NOT_FOUND` | EBS ボリュームから作成され、サービスアカウントと共有されているスナップショットが見つかりませんでした。GuardDuty Malware Protection for EC2 はスキャンを続行できませんでした。 | CloudTrail をチェックして、スナップショットが意図的に削除されていないことを確認します。 |
| `SNAPSHOT_QUOTA_REACHED` | 各リージョンのスナップショットに許可されている最大ボリュームに達しました。これにより、スナップショットの保持だけでなく、新しいスナップショットの作成もできなくなります。 | 古いスナップショットを削除するか、クォータの増加をリクエストできます。リージョンごとのスナップショットのデフォルト制限と、クォータの増加をリクエストする方法については、「*AWS 全般のリファレンスガイド*」の「[Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs)」を参照してください。 |
| `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED` | EC2 インスタンスに 11 を超えた EBS ボリュームがアタッチされました。GuardDuty Malware Protection for EC2 は、`deviceName` のアルファベット順に取得された EBS ボリュームの最初の 11 個をスキャンしました。 | 実用的ではありません。 |
| `UNSUPPORTED_PRODUCT_CODE_TYPE` | GuardDuty は、`productCode` を `marketplace` として持つほとんどのインスタンスをスキャンできます。一部のマーケットプレイスインスタンスはスキャンの対象外となる場合があります。GuardDuty はそのようなインスタンスをスキップし、理由を `UNSUPPORTED_PRODUCT_CODE_TYPE` としてログに記録します。このサポートは、 AWS GovCloud (US) および中国リージョンによって異なります。詳細については、「[リージョン固有機能の可用性](guardduty_regions.md#gd-regional-feature-availability)」を参照してください。 詳細については、「*Amazon EC2 ユーザーガイド*」の「[有料 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html)」を参照してください。`productCode` の詳細については、「*Amazon EC2 API リファレンス*」の「[https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html)」を参照してください。 | 実用的ではありません。 |
# Malware Protection for EC2 の誤検出の報告
GuardDuty Malware Protection for EC2 スキャンにより、Amazon EC2 インスタンスまたはコンテナワークロード内の無害なファイルが悪質または有害であると識別されることがあります。Malware Protection for EC2 と GuardDuty サービスのエクスペリエンスを向上させるために、スキャン中に悪質または有害であると識別されたファイルに実際にはマルウェアが含まれていないと思われる場合は、誤検出結果を報告できます。
**Amazon EC2 マルウェアスキャンの結果を偽陽性として報告するには**
プロセスを開始するには、 にお問い合わせください サポート。スキャンされたリソースの詳細を指定するには、次の手順に従います。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. **[EC2 マルウェアスキャン]** を選択します。
1. スキャンを選択してその **[Finding ID]** (検出結果 ID) を表示します。
1. **[Finding ID]** (検出結果 ID) を指定します。ファイルの SHA-256 ハッシュを指定する必要があります。これは、GuardDuty Malware Protection for EC2 が正しいファイルを受信していることを確認するために必要です。
1. サポート チームは、悪意のある可能性のあるファイルと SHA-256 ハッシュをアップロードするために使用できる Amazon Simple Storage Service (Amazon S3) の署名付き URL を提供します。スキャンされたオブジェクトをアップロードする手順については、「*Amazon S3 ユーザーガイド*」の「[署名付き URL を使用したオブジェクトのアップロード](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)」を参照してください。
1. ファイルをアップロードしたら、 サポート チームに通知します。
サポート は、ファイルを受信した後、確認応答を提供します。GuardDuty サービスのチームメンバーは提出物を分析し、Malware Protection for EC2 と GuardDuty サービスのエクスペリエンスを向上させるための適切な措置を講じます。 サポート チームはケースのステータス更新を引き続き提供します。GuardDuty で S3 オブジェクトが保持される期間は最大 30 日です。
# Malware Protection for S3 で S3 オブジェクトスキャンの結果を偽陽性として報告
Malware Protection for S3 スキャンによって、オブジェクトが悪意を秘めているか害を及ぼす可能性があるものとして識別されることがあります。指摘された S3 オブジェクトにマルウェアは含まれていないと考えられる場合は、このマルウェアスキャンの結果を偽陽性として報告してください。
Malware Protection for S3 を個別に使用しているときでも、偽陽性レポートを発行できます。この場合、GuardDuty は検出結果を生成しません。スキャンのステータスと結果のステータスを確認する方法については、「[S3 オブジェクトスキャンのモニタリング](monitoring-malware-protection-s3-scans-gdu.md)」を参照してください。
**S3 オブジェクトマルウェアスキャンの結果を偽陽性として報告するには**
プロセスを開始するには、 にお問い合わせください サポート。次の手順を使用して、スキャンされた S3 オブジェクトの詳細を提供します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ユースケースに応じて、適切な手順を選択します。
------
#### [ Using Malware Protection for S3 with GuardDuty ]
1. ナビゲーションペインで **調査検出結果** を選択します。
1. **[検出結果]** ページで、偽陽性検出を選択してその詳細を表示します。
1. 検出結果の詳細を確認して、**[検出結果 ID]**、**[リージョン]**、保護された S3 バケットの **[名前]**、スキャンされたオブジェクトの **[キー]** を指定します。
**[項目パス]** の詳細から、オブジェクトの **[ハッシュ]** を指定します。これは、GuardDuty が正しいファイルを受信していることを確認するために必要です。
------
#### [ Using Malware Protection for S3 independently ]
保護された S3 バケット名、スキャンされたオブジェクト名、 AWS リージョンを指定します。
------
1. サポート チームは、悪意のある可能性のあるファイルとハッシュをアップロードするために使用できる Amazon Simple Storage Service (Amazon S3) の署名付き URL を提供します。スキャンされたオブジェクトをアップロードする手順については、「*Amazon S3 ユーザーガイド*」の「[署名付き URL を使用したオブジェクトのアップロード](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)」を参照してください。
1. S3 オブジェクトをアップロードしたら、 サポート チームに通知します。
サポート は、オブジェクトの受信を承認します。GuardDuty サービスのチームメンバーは提出物を分析し、Malware Protection for S3 と GuardDuty サービスのエクスペリエンスを向上させるための適切な措置を講じます。 サポート チームはケースのステータス更新を引き続き提供します。GuardDuty で S3 オブジェクトが保持される期間は最大 30 日です。
# Malware Protection for Backup での誤検出の報告
GuardDuty Malware Protection for Backup の使用体験を向上させるために、潜在的な誤検出と誤検出を報告する場合があります。
****Malware Protection for Backup で特定された潜在的な誤検出または誤検出を報告するには****
プロセスを開始するには、 にお問い合わせください サポート。スキャンされたリソースの詳細を指定するには、次の手順に従います。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. **[Malware Scans]** (マルウェアのスキャン) を選択します。
1. スキャンを選択してその **[Finding ID]** (検出結果 ID) を表示します。
1. **[Finding ID]** (検出結果 ID) を指定します。ファイルの SHA-256 ハッシュを指定する必要があります。これは、GuardDuty が正しいファイルを受信していることを確認するために必要です。また、サンプルを提供するリージョンも指定してください。
1. サポート チームは、悪意のある可能性のあるファイルと SHA-256 ハッシュをアップロードするために使用する Amazon Simple Storage Service (Amazon S3) の署名付き URL を提供します。スキャンされたリソースをアップロードする手順については、*Amazon S3ユーザーガイド*[」の「署名付き URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)」を参照してください。
1. ファイルをアップロードしたら、 サポート チームに通知します。
サポート は、ファイルを受信した後、確認応答を提供します。GuardDuty サービスチームのメンバーが送信を分析し、Malware Protection for EC2 の使用体験を向上させるための適切な手順を実行します。 サポート チームはケースのステータス更新を引き続き提供します。GuardDuty で S3 オブジェクトが保持される期間は最大 30 日です。