翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon GuardDuty の概念と主要な用語 Amazon GuardDuty の使用を開始するにあたり、その概念と関連する主要な用語を確認しておくと利点があります。 **アカウント** AWS リソースを含む標準の Amazon Web Services (AWS) アカウント。アカウント AWS で にサインインし、GuardDuty を有効にできます。 他のアカウントを招待して、GuardDuty を有効にし、GuardDuty の AWS アカウントに関連付けることもできます。招待が承諾されると、アカウントは GuardDuty アカウントの**管理者アカウント**として指定され、これに追加されたアカウントは**メンバー**アカウントになります。これにより、代わりにそれらのアカウントの GuardDuty の検出結果を表示および管理することができます。 管理者アカウントのユーザーは、自分のアカウントおよびすべてのメンバーアカウントの GuardDuty の検出結果を表示および管理できるだけでなく、GuardDuty の設定もできます。管理者アカウントが管理できるメンバーアカウントの数については、「[GuardDuty クォータ](guardduty_limits.md)」を参照してください。 メンバーアカウントのユーザーは、GuardDuty マネジメントコンソールまたは GuardDuty API を使用して、自分のアカウントの GuardDuty の検出結果を表示および管理するだけでなく、GuardDuty の設定もできます。メンバーアカウントのユーザーは、他のメンバーアカウントの検出結果を表示または管理することはできません。 は、GuardDuty 管理者アカウントとメンバーアカウントを同時に AWS アカウント 使用することはできません。 AWS アカウント で承諾できるメンバーシップの招待は 1 つのみです。メンバーシップの招待の承諾はオプションです。 詳細については、「[Amazon GuardDuty の複数のアカウント](guardduty_accounts.md)」を参照してください。 **攻撃シーケンス** 攻撃シーケンスとは、GuardDuty が観測した複数のイベントが特定の順序で発生し、不審な活動のパターンに一致する相関関係です。GuardDuty は、その [Extended Threat Detection](guardduty-extended-threat-detection.md) 機能を使用して、アカウント内の基本的なデータソース、 AWS リソース、タイムラインにまたがるこれらのマルチステージ攻撃を検出します。 以下のリストでは、攻撃シーケンスに関連する主要な用語を簡単に説明します。 + **インジケータ** – 一連のイベントが疑わしいアクティビティと一致する理由に関する情報を提供します。 + **シグナル** – シグナルは、GuardDuty が観測した API アクティビティ、またはアカウントで既に検出された GuardDuty の検出結果です。アカウント内で特定の順序で観測されたイベントを相関分析することで、GuardDuty は攻撃シーケンスを特定します。 アカウント内のイベントには、潜在的な脅威を示すものではないものがあります。GuardDuty はそれらを**弱い**シグナルと見なします。ただし、弱いシグナルと GuardDuty の検出結果が特定の順序で観測され、相関分析によって潜在的に不審な活動と一致する場合、GuardDuty は攻撃シーケンス検出を生成します。 + **エンドポイント** – 脅威アクターが攻撃シーケンスで使用した可能性のあるネットワークエンドポイントに関する情報。 **ディテクター** Amazon GuardDuty はリージョンレベルのサービスです。特定の で GuardDuty を有効にすると AWS リージョン、 AWS アカウント はディテクター ID に関連付けられます。この英数字 32 文字の ID は、そのリージョンのアカウントに固有です。例えば、別のリージョンで同じアカウントに対して GuardDuty を有効にすると、アカウントは別のディテクター ID に関連付けられます。detectorId の形式は `12abc34d567e8fa901bc2d34e56789f0` です。 すべての GuardDuty の検出結果、アカウント、検出結果の管理に関するアクションおよび GuardDuty サービスは、ディテクター ID を使用して API オペレーションを実行します。 アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。 複数アカウント環境では、メンバーアカウントのすべての検出結果が管理者アカウントのディテクターに関連付けられます。 CloudWatch Events の通知頻度の設定や、GuardDuty が処理するオプションの保護プランの有効化または無効化など、GuardDuty の一部の機能は、ディテクターを介して設定されます。 **GuardDuty 内での Malware Protection for S3 の使用** GuardDuty が有効になっているアカウントで Malware Protection for S3 を有効にすると、保護されたリソースの有効化、編集、無効化などの Malware Protection for S3 アクションは、ディテクター ID に関連付けられません。 GuardDuty を有効にせず、Malware Protection for S3 の脅威検出オプションを選択した場合、アカウントにディテクター ID は作成されません。 **基本データソース** データのセットのオリジンまたは場所です。 AWS 環境内の不正または予期しないアクティビティを検出するには。GuardDuty は、 AWS CloudTrail イベントログ、 AWS CloudTrail 管理イベント、S3 AWS CloudTrail のデータイベント、VPC フローログ、DNS ログのデータを分析して処理します。「」を参照してください[GuardDuty 基本データソース](guardduty_data-sources.md)。 **機能** GuardDuty 保護プラン用に設定された機能オブジェクトは、 AWS 環境内の不正または予期しないアクティビティを検出するのに役立ちます。各 GuardDuty 保護プランでは、データを分析および処理するために対応する機能オブジェクトを設定します。機能オブジェクトには、EKS 監査ログ、RDS ログインアクティビティモニタリング、Lambda ネットワークアクティビティログ、EBS ボリュームなどがあります。詳細については、「[GuardDuty API の保護プランの機能名](guardduty-features-activation-model.md)」を参照してください。 **結果** GuardDuty によって発見された潜在的なセキュリティの問題。詳細については、「[Amazon GuardDuty の検出結果の理解と生成](guardduty_findings.md)」を参照してください。 検出結果は、セキュリティ問題に関する詳細な説明と合わせて、GuardDuty コンソールに表示されます。[GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html) および [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API オペレーションを呼び出して生成された検出結果を取得することもできます。 GuardDuty の検出結果は、Amazon CloudWatch Events を使用して確認することもできます。GuardDuty は、検出結果を HTTPS プロトコルを介して Amazon CloudWatch に送信します。詳細については、「[Amazon EventBridge を使用した GuardDuty 検出結果の処理](guardduty_findings_eventbridge.md)」を参照してください。 **IAM ロール** これは、S3 オブジェクトをスキャンするために必要なアクセス許可を持つ IAM ロールのことです。スキャンされたオブジェクトのタグ付けを有効にする場合、IAM PassRole アクセス許可により、スキャンされたオブジェクトに GuardDuty がタグを追加することができます。 **Malware Protection プランのリソース** バケットの Malware Protection for S3 を有効にすると、GuardDuty は Malware Protection プランのリソースを作成します。このリソースは、保護されたバケットを一意に識別する Malware Protection プラン ID に関連付けられます。Malware Protection プランのリソースを使用して、保護されたリソースに対して API オペレーションを実行します。 **保護されたバケット (保護されたリソース)** Amazon S3 バケットは、このバケットで Malware Protection for S3 を有効にし、その保護ステータスが **[アクティブ]** に変わると、保護されているとみなされます。 GuardDuty は、保護されたリソースとして S3 バケットのみをサポートします。 **保護ステータス** Malware Protection プランのリソースに関連付けられているステータス。バケットで Malware Protection for S3 を有効にすると、このステータスはバケットが正しく設定されているかどうかを表します。 **S3 オブジェクトプレフィックス** Amazon Simple Storage Service (Amazon S3) バケットでは、プレフィックスを使用してストレージを整理できます。プレフィックスは、S3 バケット内のオブジェクトの論理グループです。詳細については、「*Amazon S3 ユーザーガイド*」の「[オブジェクトの整理とリスト化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/organizing-objects.html)」を参照してください。 **スキャンオプション** GuardDuty Malware Protection for EC2 が有効になっている場合、スキャンまたはスキップする Amazon EC2 インスタンスと Amazon Elastic Block Store (EBS) ボリュームを指定できます。この機能を使用すると、EC2 インスタンスおよび EBS ボリュームに関連付けられている既存のタグを、包含タグリストまたは除外タグリストのいずれかに追加できます。包含タグリストに追加するタグに関連付けられているリソースは、マルウェアのスキャンが行われ、除外タグリストに追加されたリソースはスキャンされません。詳細については、「[ユーザー定義タグ付きのスキャンオプション](malware-protection-customizations.md#mp-scan-options)」を参照してください。 **スナップショットの保持** GuardDuty Malware Protection for EC2 を有効にすると、EBS ボリュームのスナップショットを AWS アカウント内に保持するオプションが提供されます。GuardDuty は、EBS ボリュームのスナップショットに基づいてレプリカ EBS ボリュームを生成します。Malware Protection for EC2 スキャンがレプリカ EBS ボリュームでマルウェアを検出した場合にのみ、EBS ボリュームのスナップショットを保持できます。レプリカ EBS ボリュームでマルウェアが検出されない場合、GuardDuty は、スナップショットの保持設定に関係なく、EBS ボリュームのスナップショットを自動的に削除します。詳細については、「[スナップショットの保持](malware-protection-customizations.md#mp-snapshots-retention)」を参照してください。 **抑制ルール** 抑制ルールを使用すると、特定の属性の組み合わせを作成して検出結果数を抑えることができます。例えば、特定の VPC のインスタンス、特定の AMI を実行するインスタンス、特定の EC2 タグがあるインスタンスなどのみで、`Recon:EC2/Portscan` を自動アーカイブするために、GuardDuty フィルターを使ってルールを定義できます。このルールにより、ポートスキャンの検出結果は、条件を満たすインスタンスから自動的にアーカイブされます。ただし、暗号化通貨のマイニングなど、他の悪意のあるアクティビティを行っているインスタンスが GuardDuty によって検出された場合には、アラートが出されます。 GuardDuty 管理者アカウントで定義された抑制ルールは、GuardDuty メンバーアカウントに適用されます。GuardDuty メンバーアカウントは抑制ルールを変更できません。 抑制ルールでは、GuardDuty は依然としてすべての検出結果を生成します。抑制ルールは、すべてのアクティビティの完全で不変な履歴を維持しながら、検出結果の数を抑えます。 通常、抑制ルールの使用目的は、環境に対して誤検知と判断した検出結果を非表示にし、重大度の低い検出結果からのノイズを減らして、より大きな脅威に集中できるようにすることです。詳細については、「[GuardDuty の抑制ルール](findings_suppression-rule.md)」を参照してください。 **信頼できる IP リスト** AWS 環境と高度に安全な通信を行うための、信頼できる IP アドレスのリスト GuardDuty では、信頼できる IP リストに基づく検出結果は生成されません。詳細については、「[Customizing threat detection with entity lists and IP address lists](guardduty_upload-lists.md)」を参照してください。 **脅威 IP リスト** 悪意のある既知の IP アドレスのリスト GuardDuty は、疑わしいアクティビティの可能性があるために検出結果を生成するだけでなく、これらの脅威リストに基づく検出結果も生成します。詳細については、「[Customizing threat detection with entity lists and IP address lists](guardduty_upload-lists.md)」を参照してください。