

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# GuardDuty の検出結果の形式
<a name="guardduty_finding-format"></a>

GuardDuty は AWS 、環境で疑わしい動作や予期しない動作を検出すると、検出結果を生成します。検出結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。[GuardDuty コンソールで生成された検出結果を表示する](guardduty_working-with-findings.md) には、何が起こったか、疑わしいアクティビティに関与した AWS リソース、このアクティビティがいつ発生したか、根本原因を理解するのに役立つ関連情報が含まれます。

検出結果の詳細で最も役立つ情報の 1 つは、**[finding type]** (結果タイプ) です。検出結果タイプの目的は、潜在的なセキュリティ問題について簡潔でわかりやすい説明を提供することです。例えば、GuardDuty *Recon:EC2/PortProbeUnprotectedPort* 検出結果タイプは、 AWS 環境内のどこかにEC2 インスタンスに保護されていないポートがあり、潜在的な攻撃者が調査していることをすばやく知らせます。

GuardDuty では、次のフォーマットを使って、生成するさまざまな検出結果タイプに名前を付けます。

**ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism\$1Artifact**

このフォーマットの各部分は、検出結果タイプの特徴を表します。これらの特徴には、次のような説明があります。
+ **ThreatPurpose** - 攻撃型または潜在的な攻撃型の脅威の主な目的についての説明です。GuardDuty 脅威の目的の一覧表については、次のセクションを参照してください。
+ **ResourceTypeAffected** - この検出結果でどの AWS リソースが攻撃対象の候補として特定されたかを示します。現在、GuardDuty は「[GuardDuty のアクティブな検出結果タイプ](guardduty_finding-types-active.md#findings-table)」にリストされているリソースタイプの検出結果を生成できます。
+ **ThreatFamilyName** - GuardDuty で検出された全体的な脅威または潜在的な悪意のあるアクティビティの説明です。例えば、**NetworkPortUnusual** の値は、GuardDuty の検出結果で識別された EC2 インスタンスに、識別された特定のリモートポートでの通信履歴がないことを示します。
+ **DetectionMechanism** - どの GuardDuty が検出結果を検出した方法を説明します。これは、一般的な検出結果タイプの変動や、GuardDuty が特定のメカニズムを使用して検出した検出結果を示すために使用できます。例えば、**Backdoor:EC2/DenialOfService.Tcp** は、TCP 上でサービス拒否 (DoS) が検出されたことを示します。UDP バリアントは **Backdoor:EC2/DenialOfService.Udp** です。

  **.Custom** の値は、GuardDuty がカスタム脅威リストに基づいて検出結果を検出したことを示します。詳細については、「[エンティティリストおよび IP アドレスリスト](guardduty_upload-lists.md)」を参照してください。

  **.Reputation** の値は、GuardDuty がドメインレピュテーションスコアモデルを使用して検出結果を検出したことを示します。詳細については、[「 がクラウドの最大のセキュリティ脅威 AWS を追跡し、それらをシャットダウンするのに役立つ方法](https://aws.amazon.com/blogs/security/how-aws-tracks-the-clouds-biggest-security-threats-and-helps-shut-them-down/)」を参照してください。
+ **Artifact** - 悪意のあるアクティビティで使用されたツールが所有する特定のリソースを示します。例えば、検出結果タイプ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) の **DNS** は、Amazon EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを示します。
**注記**  
Artifact はオプションであり、すべての GuardDuty 検出結果タイプで使用できるとは限りません。

## 脅威の目的
<a name="guardduty_threat_purposes"></a>

GuardDuty において、*[threat purpose]* (脅威の目的) は、攻撃型または潜在的な攻撃の段階など脅威の主な目的について説明します。例えば、**バックドア**などの脅威の目的は、攻撃型であると示します。ただし、[MITRE ATT&CK 戦術](https://attack.mitre.org/tactics/TA0010/)と一致する **[Impact]** (影響) などの脅威の目的があります。MITRE ATT&CK 戦術は、攻撃者の攻撃サイクルにおける異なるフェーズを示します。現行の GuardDutyリリースの発売で、ThreatPurpose は次の値に設定できます。

**Backdoor**  
この値は、攻撃者が AWS リソースを侵害し、そのリソースを変更して、ホームコマンドアンドコントロール (C&C) サーバーに連絡して悪意のあるアクティビティに関する詳細な指示を受けられるようにしたことを示します。

**Behavior**  
この値は、GuardDutyは特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンを検出したことを示します。

**CredentialAccess**  
この値は、ユーザーの環境からパスワード、ユーザー名、アクセスキーなどの認証情報を盗むために攻撃者が使用する可能性のあるアクティビティパターンを GuardDuty が検出したことを示します。この脅威の目的は、[MITRE ATT&CK 戦術](https://attack.mitre.org/matrices/enterprise/cloud/aws/)に基づいています。

**Cryptocurrency**  
この値は、GuardDuty が環境内の AWS リソースが暗号通貨 (Bitcoin など) に関連付けられたソフトウェアをホストしていることを検出したことを示します。

**DefenseEvasion**  
この値は、ユーザーの環境に侵入している間、GuardDuty は攻撃者が検出を回避するために使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的は、[MITRE ATT&CK 戦術](https://attack.mitre.org/matrices/enterprise/cloud/aws/)に基づいています。

**Discovery**  
この値は、GuardDuty がシステムおよび内部ネットワークに関する知識を拡張するために使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的は、[MITRE ATT&CK 戦術](https://attack.mitre.org/matrices/enterprise/cloud/aws/)に基づいています。

**実行**  
この値は、GuardDuty が攻撃者が AWS 環境を探索したり、データを盗んだりするために実行を試みたり、悪意のあるコードを既に実行したりする可能性があることを検出したことを示します。この脅威の目的は、[MITRE ATT&CK 戦術](https://attack.mitre.org/tactics/TA0002/)に基づいています。

**Exfiltration**  
この値は、GuardDuty が環境からデータを盗もうとするときに攻撃者が使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。この脅威の目的は、[MITRE ATT&CK 戦術](https://attack.mitre.org/tactics/TA0010/)に基づいています。

**Impact**  
この値は、GuardDuty がアクティビティまたはアクティビティパターンを検出することにより、ユーザーのシステムおよびデータを操作、中断、または破壊しようとしていることを示しています。この脅威の目的は、[MITRE ATT&CK 戦術](https://attack.mitre.org/matrices/enterprise/cloud/aws/)に基づいています。

**InitialAccess**  
この値は、攻撃者がユーザーの環境へのアクセスを確立しようとするときの、攻撃の初期アクセス段階に一般的に関連しています。この脅威の目的は、[MITRE ATT&CK 戦術](https://attack.mitre.org/matrices/enterprise/cloud/aws/)に基づいています。

**Pentest**  
 AWS リソースの所有者や承認された担当者は、 AWS アプリケーションに対して意図的にテストを実行して、オープンなセキュリティグループや過度に寛容なアクセスキーなどの脆弱性を見つける場合があります。これらの侵入テストは、攻撃者が気づく前に脆弱なリソースを特定してロックダウンする目的で実行されます。ただし、承認済みペンテスターが使用する一部のツールは一般的なものであるため、不正なユーザーや攻撃者がこのテストに便乗して利用する場合があります。GuardDuty は、このようなアクティビティの真の意図は特定できませんが、**[Pentest]** (侵入テスト) 値により、GuardDuty がこのようなアクティビティを検出し、および既知の侵入テストツールで生成したアクティビティと類似しユーザーのネットワークへの悪意のある調査を示します。

**Persistence**  
この値は、GuardDuty が初期アクセスルートが切断された場合でも、攻撃者がシステムへのアクセスを維持するために使用する可能性のあるアクティビティまたはアクティビティパターンを検出したことを示します。例えば、既存のユーザーの侵入して得た認証情報を介してアクセスした後に、新しい IAM ユーザーを作成することが含まれます。既存のユーザーの認証情報が削除されると、攻撃者はオリジナルイベントの一部として検出されなかった新しいユーザーへのアクセスを保持します。この脅威の目的は、[MITRE ATT&CK 戦術](https://attack.mitre.org/matrices/enterprise/cloud/aws/)に基づいています。

**Policy**  
この値は、 AWS アカウント が推奨されるセキュリティのベストプラクティスに反する動作をしていることを示します。例えば、 AWS リソースまたは環境に関連付けられたアクセス許可ポリシーの意図しない変更や、ほとんどまたはまったく使用すべきでない特権アカウントの使用などです。

**PrivilegeEscalation**  
この値は、ユーザーの AWS 環境下の関連プリンシパルが、攻撃者にネットワークへのより高いレベルの許可を取得するために使用する可能性のあることを通知します。この脅威の目的は、[MITRE ATT&CK 戦術](https://attack.mitre.org/matrices/enterprise/cloud/aws/)に基づいています。

**Recon**  
この値は、攻撃者が環境の偵察を実行するときに、アクセスを拡大したり、リソースを利用したりする方法を決定するために使用する可能性のあるアクティビティまたはアクティビティパターンを GuardDuty が検出したことを示します。例えば、このアクティビティには、ポートを調査したり、ユーザーをリストアップしたり、特にデータベーステーブルをリストアップしたりして、 AWS 環境の脆弱性を探そうとすることを含めることができます。

**Stealth**  
この値は、攻撃者が積極的にアクションを隠そうとしていることを示します。例えば、匿名化したプロキシサーバーを使用し、アクティビティの本質の判断を非常に難しくしています。

**Trojan**  
この値は、悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示します。このソフトウェアは合法的なプログラムを装う場合があります。ユーザーは、このソフトウェアを誤って実行することがあります。脆弱性を特定して自動的に実行されることもあります。

**UnauthorizedAccess**  
この値は、承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します。