View a markdown version of this page

GuardDuty 調査 (プレビュー) - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty 調査 (プレビュー)

GuardDuty 調査は、GuardDuty の検出結果とアカウントの AI を活用したセキュリティ分析を提供します。調査を作成すると、GuardDuty はナレッジグラフを使用して、検出結果コンテキスト、過去 90 日間の関連アクティビティ、影響を受けたリソース、脅威インテリジェンス、脅威インジケータを調べます。各調査では、信頼スコア、MITRE ATT&CK® 手法分類、サポート証拠、実用的な推奨事項を含む脅威処理評価が提供されます。

各調査では、次のインサイトが生成されます。

  • リスクレベル – 全体的なリスクの評価: Info、Low、Medium、High、Critical。

  • 信頼度 – 評価の信頼度: Unknown、Low、Medium、High。

  • 概要 – 調査結果と主要な観察結果の説明。

  • 調査の詳細 – 調査に関連する追加情報とコンテキスト。

  • 推奨されるアクション – CLI コマンドを含む詳細なアクションは、特定された問題に対処するために実行できます。

注記

GuardDuty 調査は、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、カナダ (中部)、欧州 (フランクフルト)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (パリ)、欧州 (ストックホルム)、アジアパシフィック (東京) の 10 の商用 AWS リージョンでのみ利用できます。

分析タイプ

GuardDuty 調査では、次の 3 種類の分析がサポートされています。

  • 検出結果の分析 – 検出結果 ID (32 文字の 16 進数) を指定すると、特定の GuardDuty の検出結果を分析します。プレビューでは、GuardDuty 調査はすべての拡張脅威検出 (XTD) 検出結果をサポートし、基盤、S3、ランタイムプランから検出結果を選択します。

  • アカウント分析 – 12 桁の AWS アカウント ID を指定すると、 AWS アカウントの脅威体制を分析します。

  • 組織分析 – 組織の脅威体制を分析します。プレビューでは、最大 100 個のアカウントを分析します。

クロスリージョン推論

GuardDuty Investigation は Cross-Region Inference Service (CRIS) を活用します。CRIS は、調査分析を処理し、調査レポートを生成するために、地理的な AWS リージョン 最適な を自動的に選択します。これにより、利用可能なコンピューティングリソース、モデルの可用性を最大化し、最高のカスタマーエクスペリエンスを実現できます。

データは、調査リクエストが発生したリージョンにのみ保存されます。ただし、調査データと概要結果は、そのリージョン外で処理される場合があります。すべてのデータは Amazon の安全なネットワーク経由で暗号化されて送信されます。

GuardDuty Investigation は、次の表に示すように、推論リクエストを、リクエストが発生した地理的領域内の利用可能なコンピューティングリソースに安全にルーティングします。

クロスリージョン推論ルーティング
サポートされている 地域 GuardDuty リージョン 推論リージョン
アメリカ 米国東部 (バージニア北部) 米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)
アメリカ 米国東部 (オハイオ) 米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)
アメリカ 米国西部 (オレゴン) 米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)
アメリカ カナダ (中部) カナダ (中部)、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)
欧州 欧州 (フランクフルト) 欧州 (フランクフルト)、欧州 (ストックホルム)、欧州 (ミラノ)、欧州 (スペイン)、欧州 (アイルランド)、欧州 (パリ)
欧州 欧州 (アイルランド) 欧州 (フランクフルト)、欧州 (ストックホルム)、欧州 (ミラノ)、欧州 (スペイン)、欧州 (アイルランド)、欧州 (パリ)
欧州 欧州 (ロンドン) 欧州 (フランクフルト)、欧州 (ストックホルム)、欧州 (ミラノ)、欧州 (スペイン)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (パリ)
欧州 欧州 (パリ) 欧州 (フランクフルト)、欧州 (ストックホルム)、欧州 (ミラノ)、欧州 (スペイン)、欧州 (アイルランド)、欧州 (パリ)
欧州 欧州 (ストックホルム) 欧州 (フランクフルト)、欧州 (ストックホルム)、欧州 (ミラノ)、欧州 (スペイン)、欧州 (アイルランド)、欧州 (パリ)
日本 アジアパシフィック (東京) アジアパシフィック (東京)、アジアパシフィック (大阪)

前提条件

GuardDuty 調査を使用する前に、次の前提条件を満たしていることを確認してください。

  • 調査 AWS リージョン を作成する には、アクティブな GuardDuty ディテクターが必要です。GuardDuty 有効化の詳細については、「GuardDuty の開始方法」を参照してください。

  • ディテクターで GuardDuty 調査機能を有効にする必要があります。

    Console
    1. GuardDuty コンソールを開きます。

    2. ナビゲーションペインで [設定] を選択します。

    3. AI を活用した調査 - プレビューで、有効化を選択します。

    API/CLI

    UpdateDetector API を呼び出し、ディテクターでAI_ANALYSTこの機能を有効にします。

    aws guardduty update-detector \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  • IAM ID には、調査アクションを実行するために必要なアクセス許可が必要です。次の IAM アクションが必要です。

    • guardduty:CreateInvestigation – 新しい調査を作成するために必要です。

    • guardduty:GetInvestigation – 調査結果を取得するために必要です。

    • guardduty:ListInvestigations – ディテクターの調査を一覧表示するために必要です。

次の IAM ポリシーの例では、すべての GuardDuty 調査アクションを使用するアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }

管理者アカウントとメンバーアカウントのアクセスモデル

GuardDuty 調査には、管理者アカウントとメンバーアカウントのどちらを使用するかに応じて、次のアクセスルールが適用されます。

  • 管理者アカウント – 自分自身とメンバーアカウントに関する調査を作成、取得、一覧表示できます。

  • メンバーアカウント – 自分のアカウントの調査のみを取得して一覧表示できます。メンバーアカウントは調査を作成できず、他のアカウントまたは管理者アカウントに属する調査にアクセスできません。

調査の作成

調査を作成して、環境内の GuardDuty の検出結果とアカウントを AWS 分析できます。調査はバックグラウンドで非同期的に実行されます。調査を作成したら、調査 ID を使用してそのステータスを確認し、結果を取得します。

重要

プレビュー中、1 日 1 アカウントあたり最大 10 件の調査を開始し、合計 1 アカウントあたり 100 件の調査を開始できます。失敗した調査は、これらのクォータにはカウントされません。API/CLI を使用している場合、トリガープロンプトは最大 2,048 文字です。

任意のアクセス方法を選択して、調査を作成します。

Console
  1. GuardDuty コンソールを開き、左側のナビゲーションで調査に移動します。

  2. 調査の開始 を選択します。

  3. 調査範囲を選択します。

    • 特定の検出結果 – 分析する検出結果 ID を入力します。

    • 自分のアカウント (スタンドアロンのみ) – 追加の入力は必要ありません。GuardDuty はアカウントを分析します。

    • 特定のアカウント (管理者のみ) – 12 桁の AWS アカウント ID を入力します。

    • 組織内のすべてのアカウント (管理者のみ) – 追加の入力は必要ありません。

  4. 調査の開始 を選択して分析を開始します。

API/CLI

CreateInvestigation API オペレーションを実行して、新しい調査を開始します。ディテクター ID と、調査対象を説明するトリガープロンプトを指定する必要があります。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

前述のコマンドで、 detector-id を独自のディテクター ID に置き換え、 trigger-prompt を調査対象の説明に置き換えます。

必要に応じて、べき等性の--client-tokenパラメータを含めることができます。同じクライアントトークンでリクエストを再試行すると、GuardDuty は重複を作成する代わりに既存の調査を返します。

出力の例:

{ "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890" }

トリガープロンプトの要件

トリガープロンプトは、調査対象を記述する必要があります。GuardDuty は、プロンプトの内容に基づいて分析タイプを決定します。

  • 検出結果の分析 – プロンプトには、検出結果 ID (32 文字の 16 進文字列) を 1 つだけ含めます。検出結果が存在し、発信者のアカウントまたはメンバーアカウントに属している必要があります。1 つのプロンプトに複数の検出結果 IDs を含めることはできません。

  • アカウント分析 – プロンプトには 12 桁の AWS アカウント ID を 1 つだけ含めます。発信者は、そのアカウントの管理者である必要があります。1 つのプロンプトに複数のアカウント IDs を含めることはできません。

  • 組織分析 – プロンプトに組織全体のセキュリティ上の懸念を記述します。調査では、組織全体 (最大 100 個のアカウント) のシグナルを分析します。

GuardDuty は AI を使用して自由形式のプロンプトを解釈し、適切な分析範囲を決定します。結果 ID を含めると、結果分析が実行されます。アカウント ID を含めると、アカウント分析が実行されます。プロンプトが組織全体の懸念を説明する場合は、組織分析を実行します。プロンプトが特定の分析タイプと一致しない場合、調査はデフォルトで発信者自身のアカウントを分析します。

以下は、各分析タイプのトリガープロンプトの例です。

  • 検出結果の分析"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

  • アカウント分析"Analyze findings in account with id 123456789012"

  • 組織分析"Analyze findings in my organization"

メンバーアカウントの調査の作成

管理者アカウントの場合は、トリガープロンプトにメンバーアカウント ID を含めることで、メンバーアカウントの調査を作成できます。コマンドで管理者アカウントのディテクター ID を使用します。調査結果には、指定されたメンバーアカウントの結果が含まれます。

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Analyze findings in account with id 111122223333"

前述のコマンドで、 detector-id を管理者アカウントのディテクター ID に置き換えます。トリガープロンプトの 12 桁のアカウント ID は、調査するメンバーアカウントを識別します。

調査結果の表示

調査を作成したら、概要、調査の詳細、信頼度、推奨事項などの結果を取得できます。調査には、次のいずれかのステータスがあります。

  • RUNNING – 調査はまだ進行中です。

  • COMPLETED – 調査は正常に終了し、結果が利用可能になりました。

  • FAILED – 調査でエラーが発生しました。詳細については、エラーフィールドを確認してください。

任意のアクセス方法を選択して、調査結果を表示します。

AI が生成した分析と推奨事項には、エラーや不完全な評価が含まれている場合があります。人間によるレビューが推奨されます。

Console
  1. GuardDuty コンソールを開き、左側のナビゲーションで調査に移動します。

  2. 調査テーブルで、レビューする完了した調査を見つけます。

  3. 調査タイトルリンクを選択して、詳細ページを開きます。

注記

調査タイトルは、ステータスが完了している場合にのみクリックできます。

API/CLI

GetInvestigation API オペレーションを実行して、完了した調査の完全な詳細を取得します。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty get-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --investigation-id a1b2c3d4-5678-90ab-cdef-ef1234567890

完了した調査の出力例:

{ "Investigation": { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "TriggeredBy": "123456789012", "RiskLevel": "Critical", "Risk": "Detection logic is valid but no live resources are compromised.", "Confidence": "High", "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}", "Cloud": { "Provider": "AWS", "Region": "us-east-1", "Account": "123456789012" }, "Metadata": { "Product": { "Name": "Amazon GuardDuty AI Analyst", "Feature": "Investigation" }, "Version": "1.0.0" }, "StartTime": 1705319400.0, "EndTime": 1705319700.0 } }

Summary フィールドには、主要な観測結果、CLI コマンドによる対策、MITRE ATT&CK® 脅威評価など、完全な調査結果を含む JSON 文字列が含まれています。

調査結果の解釈

次の表は、調査が返すことができるリスクレベルを示しています。

調査リスクレベル
リスクレベル 説明
Info 環境に差し迫ったリスクのない情報検出結果。
即時のアクションが必要になる可能性が低い軽微なリスク。
レビューする必要がある中程度のリスクがあり、修復が必要になる場合があります。
迅速な調査と修復を必要とする重大なリスク。
重大 さらなる侵害を防ぐために即時のアクションを必要とする重大なリスク。

次の表に、信頼レベルを示します。

調査の信頼度
信頼度 説明
不明 評価の信頼度を判断するためのデータが不十分です。
限られた証拠が評価をサポートします。
中程度の証拠は評価をサポートします。
強力な証拠は評価をサポートします。

調査の一覧表示

ディテクターのすべての調査を、オプションのソートとページ分割を使用して一覧表示できます。これにより、複数の調査のステータスを確認および追跡できます。

任意のアクセス方法を選択して、調査を一覧表示します。

Console
  1. GuardDuty コンソールを開き、左側のナビゲーションで調査に移動します。

  2. 調査テーブルには、現在のディテクターのすべての調査が、ステータス、リスクレベル、タイムスタンプとともに表示されます。

API/CLI

ListInvestigations API オペレーションを実行して、ディテクターの調査概要を一覧表示します。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --max-results 10

--sort-criteria パラメータを指定して結果をソートできます。次の の例では、開始時刻でソートされた調査を降順で一覧表示します。

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \ --max-results 10

使用可能なソート属性は、START_TIME、、END_TIMESTATUSRISK_LEVEL、および ですCONFIDENCE。(昇順) または ASC (DESC降順) でソートできます。

出力の例:

{ "Investigations": [ { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "RiskLevel": "Critical", "Confidence": "High", "StartTime": 1705319400.0, "EndTime": 1705319700.0, "AccountId": "123456789012" }, { "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in account with id 123456789012", "RiskLevel": "High", "Confidence": "High", "StartTime": 1705315800.0, "EndTime": 1705316100.0, "AccountId": "123456789012" }, { "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in my organization", "RiskLevel": "Medium", "Confidence": "Medium", "StartTime": 1705312200.0, "EndTime": 1705312500.0, "AccountId": "123456789012" } ] }

レスポンスにNextToken値が含まれている場合は、後続のリクエストに渡して結果の次のページを取得します。1 ページあたり最大 50 件の結果を取得できます。