翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# GuardDuty 基本データソース
GuardDuty は基本データソースを使用して、既知の悪質なドメインや IP アドレスとの通信を検出し、潜在的に異常な動作と不正なアクティビティを特定します。これらのソースから GuardDuty への通信中、ログデータはすべて暗号化されます。GuardDuty は、プロファイリングや異常の検出用のログソースから様々なフィールドを抽出して、これらのログを破棄します。
リージョンで初めて GuardDuty を有効にするときは、すべての基本データソースの脅威検出を含む 30 日間の無料トライアルがあります。この無料トライアルでは、基本データソースごとに分類された月単位の推定使用量をモニタリングできます。委任 GuardDuty 管理者アカウントは、組織に属し、GuardDuty を有効にしているメンバーアカウントごとに分類された月単位の推定使用コストを表示できます。30 日間のトライアルが終了したら、 を使用して使用コスト AWS Billing に関する情報を得ることができます。
GuardDuty がこれらの基本データソースからのイベントとログにアクセスする場合、追加料金はかかりません。
で GuardDuty を有効にすると AWS アカウント、次のセクションで説明するログソースのモニタリングが自動的に開始されます。GuardDuty がこれらのデータソースの分析と処理を開始して関連付けられたセキュリティ検出結果を生成するのに、他のものを有効にする必要は**ありません**。
**Topics**
+ [AWS CloudTrail 管理イベント](#guardduty_controlplane)
+ [VPC フローログ](#guardduty_vpc)
+ [Route53 Resolver DNS クエリログ](#guardduty_dns)
## AWS CloudTrail 管理イベント
AWS CloudTrail は、、 AWS マネジメントコンソール AWS SDKs、コマンドラインツール、および特定の AWS サービスを使用して行われた AWS API コールなど、アカウントの API コールの履歴を提供します。CloudTrail は、CloudTrail をサポートするサービスの AWS APIs を呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しが呼び出された時間を特定するのにも役立ちます。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[AWS CloudTrailとは](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)」を参照してください。
GuardDuty は、コントロールプレーンイベントとも呼ばれる CloudTrail 管理イベントをモニタリングします。これらのイベントは、 のリソースで実行される管理オペレーションに関するインサイトを提供します AWS アカウント。
次は、GuardDuty がモニタリングする CloudTrail 管理イベントの例です。
+ セキュリティの設定 (IAM `AttachRolePolicy` API オペレーション)
+ データをルーティングするルールの設定 (Amazon EC2 `CreateSubnet` API オペレーション)
+ ログ記録の設定 (AWS CloudTrail `CreateTrail` API オペレーション)
GuardDuty を有効にすると、イベントの独立した重複ストリームを通して CloudTrail 管理イベントが直接 CloudTrail から読み込まれ、CloudTrail イベントログが分析されます。
GuardDuty は CloudTrail イベントを管理したり、既存の CloudTrail 設定に影響を与えたりすることはありません。同様に、CloudTrail の設定は GuardDuty がイベントログを消費する方法や処理する方法に影響しません。CloudTrail イベントのアクセスと保持を管理するには、CloudTrail サービスコンソールまたは API を使用します。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[Viewing events with CloudTrail event history](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。
### GuardDuty が AWS CloudTrail グローバルイベントを処理する方法
ほとんどの AWS サービスでは、CloudTrail イベントは作成された AWS リージョン に記録されます。 AWS Identity and Access Management (IAM) AWS Security Token Service 、(AWS STS)、Amazon Simple Storage Service (Amazon S3)、Amazon CloudFront、Amazon Route 53 (Route 53) などのグローバルサービスの場合、イベントは発生したリージョンでのみ生成されますが、グローバルに重要です。
GuardDuty がネットワーク設定やユーザーアクセス許可などのセキュリティ値を持つ CloudTrail [グローバルサービスイベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events) (GSE) を消費すると、それらのイベントが複製され、GuardDuty が有効な各リージョンで処理されます。その結果、異常なイベントの検出に不可欠な各リージョンのユーザーとロールのプロファイルを GuardDuty で維持しやすくなります。
**注記**
これらのグローバルサービスイベントから生成された検出結果について、検出結果内の地域値は、 GuardDuty が検出を作成した地域と異なる場合があります。例えば、GuardDuty が別のリージョンで検出を作成しても、検出結果がリージョン `us-east-1` として表示される場合があります。
で使用できるすべての で GuardDuty AWS リージョン を有効にすることをお勧めします AWS アカウント。特定のリージョンにリソースを展開していなくても、GuardDuty を有効にすることでアカウントを潜在的な脅威から保護できます。脅威アクターは、グローバルサービス (IAM、 AWS STS Amazon CloudFront など) を介して攻撃を仕掛ける可能性があります。存在が制限されているリージョンを悪用するために、不正なリソースを作成しようとする可能性があります。GuardDuty は、デフォルトリージョンとオプトインリージョンの両方で、サービスが有効化されているすべてのリージョンにおけるグローバルサービスイベントを処理します。これにより、GuardDuty は、リソースをアクティブに使用していないリージョンなど、 AWS アカウント全体で疑わしい可能性のあるアクティビティを検出するのに役立ちます。
## VPC フローログ
Amazon VPC の VPC フローログ機能は、 AWS 環境内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続されたネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャします。
GuardDuty を有効にすると、アカウント内の Amazon EC2 インスタンスからの VPC フローログデータの分析がすぐに開始されます。GuardDuty は、フローログの独立した重複ストリームを介してこのデータを消費します。GuardDuty がこのデータにアクセスするために、アカウントで VPC フローログを作成または設定する必要はありません。このプロセスによる既存のフローログ設定への影響はありません。
[Lambda Protection](lambda-protection.md)
Lambda Protection は Amazon GuardDuty の拡張機能です (オプション)。現在、Lambda Network Activity Monitoring には、VPC ネットワークを使用しないログも含め、アカウントのすべての Lambda 関数からの Amazon VPC フローログが含まれています。Lambda 関数を潜在的なセキュリティ脅威から保護するには、GuardDuty アカウントで Lambda 保護を設定する必要があります。詳細については、「[Lambda Protection](lambda-protection.md)」を参照してください。
[GuardDuty Runtime Monitoring](runtime-monitoring.md)
EKS Runtime Monitoring または Runtime Monitoring for EC2 インスタンスで (手動または GuardDuty を介して) セキュリティエージェントを管理し、GuardDuty が現在 Amazon EC2 インスタンスにデプロイされ、このインスタンス[収集されたランタイムイベントタイプ](runtime-monitoring-collected-events.md)から を受け取る場合、GuardDuty はこの Amazon EC2 インスタンスからの VPC フローログの分析 AWS アカウント に対して に課金しません。これにより、GuardDuty はアカウントでの二重課金を回避できます。
GuardDuty はフローログを管理したり、アカウントへのアクセスを可能にしたりしません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。
## Route53 Resolver DNS クエリログ
Amazon EC2 インスタンスに AWS DNS リゾルバーを使用する場合 (デフォルト設定)、GuardDuty は内部 DNS リゾルバーを介して Route53 Resolver DNS AWS クエリログにアクセスしてリクエストとレスポンスを処理できます。OpenDNS や GoogleDNS などの別の DNS リゾルバーを使用している場合、または独自の DNS リゾルバーを設定している場合、GuardDuty は、このデータソースのデータにアクセスして処理できません。
GuardDuty を有効にすると、独立データストリームから Route53 Resolver DNS クエリログの分析がすぐに開始されます。このデータストリームは、[Route 53 リゾルバークエリログ記録](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html?)機能を通じて提供されるデータとは別のものです。この機能の設定は、GuardDuty の解析には影響しません。
**注記**
GuardDuty は、 Amazon Route 53 Resolver クエリログ記録機能がその環境で使用できない AWS Outposts ため、 で起動された Amazon EC2 インスタンスの DNS ログのモニタリングをサポートしていません。