翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 検出結果の詳細
Amazon GuardDuty コンソールでは、検出結果の概要セクションで検出結果の詳細を見ることができます。検出結果の詳細は検出結果のタイプによって異なります。
検出結果にどのような情報が表示されるかを決める基本的な情報が 2 つあります。1 つ目はリソースタイプです。これは、`Instance`、`AccessKey`、`S3Bucket`、`S3Object`、`Kubernetes cluster`、`ECS cluster`、`Container`、`RDSDBInstance`、`RDSLimitlessDB`、または `Lambda` です。情報の検出結果を決定する 2 つ目の詳細は **[リソースロール]** です。リソースロールは、`Target` である可能性があります。つまり、リソースが疑わしいアクティビティのターゲットであったことを意味します。インスタンスタイプの検出結果については、リソースロールが `Actor` である場合があります。つまり、リソースが不審なアクティビティを実行するアクターだったことを意味します。このトピックでは、検出結果の一般的に入手可能な詳細をいくつか説明します。「[GuardDuty Runtime Monitoring の検出結果タイプ](findings-runtime-monitoring.md)」および「[Malware Protection for S3 の検出結果タイプ](gdu-malware-protection-s3-finding-types.md)」の場合、リソースロールは入力されません。
**Topics**
+ [検出結果の概要](#findings-summary-section)
+ [[リソース]](#findings-resource-affected)
+ [攻撃シーケンスの検出結果の詳細](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [RDS データベース (DB) ユーザーの詳細](#rds-pro-db-user-details)
+ [Runtime Monitoring の検出結果の詳細](#runtime-monitoring-runtime-details)
+ [EBS ボリュームのスキャンの詳細](#mp-ebs-volumes-scan-details)
+ [Malware Protection for EC2 の検出結果の詳細](#malware-protection-scan-details)
+ [Malware Protection for S3 の検出結果の詳細](#gdu-malware-protection-for-s3-finding-details)
+ [Action](#finding-action-section)
+ [アクターまたはターゲット](#finding-actor-target)
+ [位置情報の詳細](#guardduty-finding-details-geolocation)
+ [追加情報](#finding-additional-info)
+ [証拠](#finding-evidence)
+ [異常な動作](#finding-anomalous)
## 検出結果の概要
検出結果の**概要**のセクションには、次の情報を含む、検索条件の最も基本的な識別機能が含まれています。
+ **アカウント ID** - GuardDuty がこの検出結果を生成する原因となったアクティビティを実行した AWS アカウントのID
+ **[カウント]** - GuardDuty が、このパターンとこの検出結果 ID の一致するアクティビティを集約した回数。
+ **作成時刻** - この検出結果が初めて生成された日時。この値が **[Updated at]** (更新時刻) と異なる場合は、そのアクティビティが複数回発生しており、現在も進行中の問題でありことを示しています。
**注記**
GuardDuty コンソールの検出結果のタイムスタンプはローカルタイムゾーンで表示されます。一方、JSON エクスポートおよび CLI 出力では UTC 中にタイムスタンプが表示されます。
+ **[Finding ID]** (結果 ID) - この検出結果タイプおよびパラメータセットに対応する一意の識別子です。このパターンに一致するアクティビティが新しく出現した場合は、同じ ID に集約されます。
+ **[結果タイプ]** - 検出結果をトリガーしたアクティビティのタイプを表す、書式設定された文字列。詳細については、「[GuardDuty の検出結果の形式](guardduty_finding-format.md)」を参照してください。
+ **リージョン** – 結果が生成された AWS リージョン。サポートされるリージョンについては、「[リージョンとエンドポイント](guardduty_regions.md)」を参照してください。
+ **リソース ID** - GuardDuty がこの検出結果を生成する原因となったアクティビティを実行した AWS リソースの ID。
+ **スキャン ID** — GuardDuty Malware Protection for EC2 が有効な場合に検出結果に適用されます。これは、侵害された可能性がある EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームで実行されるマルウェアスキャンの識別子です。詳細については、「[Malware Protection for EC2 の検出結果の詳細](#malware-protection-scan-details)」を参照してください。
+ **重大度** - 重大、高、中、低のいずれかで割り当てられた検出結果の重大度。詳細については、「[検出結果の重大度レベル](guardduty_findings-severity.md)」を参照してください。
+ **[結果タイプ]** - GuardDuty がこの検出結果を生成する原因となったパターンに一致する新しいアクティビティにより、この検出結果が最後に更新された時刻。
## [リソース]
**影響を受けるリソース**は、開始アクティビティのターゲットとなった AWS リソースに関する詳細を提供します。利用可能な情報は、リソースタイプとアクションタイプによって異なります。
**リソースロール** – 検出結果を開始した AWS リソースのロール。値は **[TARGET]** または **[ACTOR]** で、それぞれの値は、リソースが疑わしいアクティビティの対象であったか、疑わしいアクティビティを実行したアクターであったことを表します。
**リソースタイプ** - 該当するリソースのタイプ。複数のリソースが関係していた場合は、複数のリソースタイプが検出結果に含まれる可能性があります。リソースタイプは、**Instance**、**AccessKey**、**S3Bucket**、**S3Object**、**KubernetesCluster**、**ECSCluster**、**Container**、**RDSDBInstance**、**RDSLimitlessDB** および **Lambda** です。リソースタイプによって、使用可能な検出結果の詳細が異なります。リソースオプションタブを選択して、そのリソースで使用可能な詳細について説明します。
------
#### [ Instance ]
**インスタンスの詳細:**
**注記**
インスタンスが既に停止している場合、またはクロスリージョン API コールを行うときに別のリージョンの EC2 インスタンスから基盤となる API コールが発生した場合、インスタンスの詳細が欠落することがあります。
+ **インスタンス ID** - GuardDuty がその検出結果を生成する原因となったアクティビティに含まれる EC2 インスタンスの ID。
+ **インスタンスタイプ** - 検出結果に関連する EC2 インスタンスのタイプ。
+ **[起動時刻]** - インスタンスが開始された日時
+ **Outpost ARN** – の Amazon リソースネーム (ARN) AWS Outposts。 AWS Outposts インスタンスにのみ適用されます。詳細については、「*Outposts ラックのユーザーガイド*」の「[AWS Outpostsとは](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)」を参照してください。
+ **[セキュリティグループ名]** - 関連するインスタンスに付属するセキュリティグループの名前。
+ **[セキュリティグループ ID]** - 関係するインスタンスに付属するセキュリティグループの ID。
+ **[インスタンスの状態]**- ターゲットインスタンスの現在の状態。
+ **[アベイラビリティーゾーン]** - 関連するインスタンスが配置されている AWS リージョンアベイラビリティーゾーン。
+ **[イメージ ID]** - アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID。
+ **[イメージの説明]** - アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID に関する説明。
+ **[タグ]** - このリソースにアタッチされているタグのリスト。リストの形式は `key`:`value` です。
------
#### [ AccessKey ]
**アクセスキーの詳細:**
+ **アクセスキー ID** - GuardDuty がその検出結果を生成する原因となったアクティビティを行ったユーザーのアクセスキー ID。
+ **[プリンシパル ID]** - GuardDuty がその検出結果を生成する原因となったアクティビティを行ったユーザーのプリンシパル ID。
+ **[ユーザータイプ]** - GuardDuty がその検出結果を生成する原因となったアクティビティを行ったユーザーのタイプ。詳細については、「[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields)」を参照してください。
+ **[ユーザー名]** - GuardDuty がその検出結果を生成する原因となったアクティビティを行ったユーザーの名前。
------
#### [ S3Bucket ]
**Amazon S3 バケットの詳細**
+ **[名前]** - 検出結果に関連するバケットの名前。
+ **[ARN]** – 検出結果に関連するバケットの ARN。
+ **[所有者]** - 検出結果に関連するバケットを所有するユーザーの正規ユーザー ID。正規ユーザー ID の詳細については、「[AWS アカウント ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)」を参照してください。
+ **[タイプ]** - バケット検出結果のタイプで、**[送信先]** または **[ソース]** になります。
+ **デフォルトのサーバー側暗号化** - バケットの暗号化に関する詳細。
+ **バケットタグ** - このリソースにアタッチされたタグのリスト。リストの形式は `key`:`value` です。
+ **[有効な許可]** - 関連するバケットが公開されているかどうかを示す、バケットに関するすべての有効な許可とポリシーの評価。値は **[公開]** または **[非公開]** です。
------
#### [ S3Object ]
+ **[S3 オブジェクトの詳細]** – スキャンされた S3 オブジェクトに関する以下の情報が含まれます。
+ **[ARN]** – スキャンされた S3 オブジェクトの Amazon リソースネーム (ARN)。
+ **[キー]** – S3 バケットでファイルの作成時にファイルに割り当てられた名前。
+ **[Version Id]** – バケットのバージョニングを有効にすると、このフィールドには、スキャンされた S3 オブジェクトの最新バージョンに関連付けられたバージョン ID が表示されます。詳細については、*『Amazon S3 ユーザーガイド』*の[「S3 バケットでのバージョニングの使用」](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)を参照してください。
+ **[eTag]** – スキャンされた S3 オブジェクトの特定のバージョンを表します。
+ **[ハッシュ]** – この検出結果で検出された脅威のハッシュ。
+ **[S3 バケットの詳細]** – スキャンされた S3 オブジェクトに関連付けられた Amazon S3 バケットに関する以下の情報が含まれます。
+ **[名前]** – オブジェクトが含まれている S3 バケットの名前を示します。
+ **[ARN]** – S3 バケットの Amazon リソースネーム (ARN)。
+ **[所有者]** – S3 バケット所有者の正規 ID。
------
#### [ EKSCluster ]
**Kubernetes クラスターの詳細:**
+ **名前** — Kubernetes クラスターの名前。
+ **ARN** — クラスターを識別する ARN。
+ **作成時刻** - このクラスターが生成された日時。
**注記**
GuardDuty コンソールの検出結果のタイムスタンプはローカルタイムゾーンで表示されます。一方、JSON エクスポートおよび CLI 出力では UTC 中にタイムスタンプが表示されます。
+ **VPC ID** — クラスターに関連付けられている VPC ID。
+ **状態** – クラスターの現在の状態。
+ **タグ** - クラスターに適用し、クラスターの分類と整理に役立つメタデータ。各タグは、`key`:`value` 形式でリストされているキーとオプションの値で構成されます。キーと値の両方を定義できます。
クラスタータグは、クラスターに関連付けられた他のリソースには伝達されません。
**Kubernetes ワークロードの詳細:**
+ **タイプ** - ポッド、デプロイ、ジョブなどの Kubernetes ワークロードのタイプ。
+ **名前** - Kubernetes ワークロードの名前。
+ **UID** - Kubernetes ワークロードの固有の ID。
+ **作成時刻** - このワークロードが生成された日時。
+ **ラベル** - Kubernetes ワークロードにアタッチされたキーと値のペア。
+ **コンテナ** - Kubernetes ワークロードの一部として実行されているコンテナの詳細。
+ **名前空間** - ワークロードはこの Kubernetes 名前空間に属します。
+ **ボリューム** - Kubernetes ワークロードが使用するボリューム。
+ **ホストパス** - ボリュームがマッピングされるホストマシン上の既存のファイルまたはディレクトリを示します。
+ **名前** - ボリュームの名前。
+ **ポッドセキュリティコンテキスト** - ポッド内のすべてのコンテナの権限とアクセスコントロール設定を定義します。
+ **ホストネットワーク** - ポッドが Kubernetes ワークロードに含まれている場合は `true` に設定します。
**Kubernetes ユーザーの詳細**
+ **グループ** — 検出結果を生成したアクティビティに関与したユーザーの Kubernetes RBAC (ロールアクセスベースのコントロール) グループ。
+ **ID** — Kubernetes ユーザーの固有の ID。
+ **ユーザー名** — 検出結果を生成したアクティビティに関係した Kubernetes ユーザーの名前。
+ **セッション名** — Kubernetes RBAC アクセス許可を持つ IAM ロールを引き受けたエンティティ。
------
#### [ ECSCluster ]
**ECS クラスターの詳細**
+ **ARN** — クラスターを識別する ARN。
+ **名前** - クラスターの名前。
+ **状態** – クラスターの現在の状態。
+ **アクティブサービスの数** — `ACTIVE` 状態のクラスター内で実行されているサービスの数。[ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html) でこれらのサービスを確認できます。
+ **登録されたコンテナインスタンス数** — クラスターに登録されているコンテナインスタンスの数。これには、`ACTIVE` および `DRAINING` 状態の両方のコンテナインスタンスが含まれます
+ **実行中のタスク数** — `RUNNING` 状態のクラスターのタスクの数。
+ **タグ** - クラスターに適用し、クラスターの分類と整理に役立つメタデータ。各タグは、`key`:`value` 形式でリストされているキーとオプションの値で構成されます。キーと値の両方を定義できます。
+ **コンテナ** – タスクに関連付けられたコンテナの詳細:
+ **コンテナ名** – コンテナの名前。
+ **コンテナイメージ** – コンテナのイメージ。
+ **タスクの詳細** — クラスター内のタスクの詳細。
+ **ARN** – タスクの Amazon リソースネーム (ARN)。
+ **定義 ARN** – タスクを作成するタスク定義の Amazon リソースネーム(ARN)。
+ **バージョン**– タスクのバージョンカウンター。
+ **タスクの作成時刻** – タスクが作成されたときの Unix タイムスタンプ。
+ **タスクの開始時刻** – タスクが開始されたときの Unix タイムスタンプ。
+ **タスクの開始ユーザー** – タスクの開始時に指定されたタグ。
------
#### [ Container ]
**コンテナの詳細:**
+ **コンテナランタイム** — コンテナの実行に使用されたコンテナランタイム (`docker` または `containerd` など)。
+ **ID** — コンテナインスタンスのコンテナインスタンス ID または完全な ARN エントリ。
+ **名前** — コンテナの名前。
+ **イメージ** — コンテナインスタンスのイメージ。
+ **ボリュームマウント** — コンテナボリュームのマウントのリスト。コンテナは、そのファイルシステムの下にボリュームをマウントできます。
+ **セキュリティコンテキスト** — コンテナセキュリティコンテキストは、コンテナの権限とアクセス制御設定を定義します。
+ **プロセスの詳細** — 検出結果に関連付けられているプロセスの詳細が記述されます。
------
#### [ RDSDBInstance ]
**RDSDBInstance の詳細:**
**注記**
このリソースは、データベースインスタンスに関連する RDS Protection の検出結果で利用できます。
+ **[Database Instance ID]** (データベースインスタンス ID) — GuardDuty の検出に関与したデータベースインスタンスに関連付けられた識別子
+ **[Engine]** (エンジン) — 検出に関与したデータベースインスタンスのデータベースエンジン名。指定できる値は、Aurora MySQL 互換または Aurora PostgreSQL 互換です。
+ **[Engine version]** (エンジンバージョン) – GuardDuty の検出に関与したデータベースエンジンのバージョン
+ **[Database cluster ID]** (データベースクラスター ID) — GuardDuty の検出に関与したデータベースインスタンス ID を含むデータベースクラスターの識別子
+ **[データベースインスタンス ARN]** — GuardDuty の検出に関与したデータベースインスタンスを識別する ARN
------
#### [ RDSLimitlessDB ]
**RDSLimitlessDB の詳細:**
このリソースは、サポートされている Limitless Database のエンジンバージョンに関連する RDS Protection の検出結果で利用可能です。
+ **DB シャードグループ識別子** – Limitless DB シャードグループに関連付けられた名前。
+ **DB シャードグループのリソース ID** – Limitless DB 内の DB シャードグループのリソース識別子。
+ **DB シャードグループ ARN** – DB シャードグループを識別する Amazon リソースネーム (ARN)。
+ **エンジン** – 検出結果に関連する Limitless DB の識別子。
+ **エンジンバージョン** – Limitless DB エンジンのバージョン。
+ **DB クラスター識別子** – Limitless DB の一部であるデータベースクラスターの名前。
影響を受ける可能性のあるデータベースのユーザーと認証の詳細については、「[RDS データベース (DB) ユーザーの詳細](#rds-pro-db-user-details)」を参照してください。
------
#### [ Lambda ]
**Lambda 関数の詳細**
+ **関数名** - 検出結果に含まれた Lambda 関数の名前。
+ **関数バージョン** - 検出結果に含まれる Lambda 関数のバージョン。
+ **関数の説明** - 検出結果に含まれた Lambda 関数の説明。
+ **関数 ARN** - 検出結果に含まれた Lambda 関数の Amazon リソースネーム (ARN)。
+ **リビジョン ID** - Lambda 関数バージョンのリビジョン ID。
+ **ロール** - 検出結果に関係する Lambda 関数の実行ロール。
+ **VPC 設定** - Lambda 関数に関連付けられた VPC ID、セキュリティグループ、サブネット ID を含む Amazon VPC 設定。
+ **VPC ID** - 検出結果に含まれた Lambda 関数に関連付けられた Amazon VPC の ID。
+ **サブネット ID** - Lambda 関数に関連付けられているサブネットの ID。
+ **セキュリティグループ** - 関連する Lambda 関数にアタッチされたセキュリティグループ。これには、セキュリティグループ名とグループ ID が含まれます。
+ **タグ** - このリソースにアタッチされているタグのリスト。リストの形式は `key`:`value` ペアです。
------
## 攻撃シーケンスの検出結果の詳細
GuardDuty は、アカウントで生成された各検出結果の詳細を提供します。これらの詳細により、検出結果の背後にある理由を把握することができます。このセクションでは、[攻撃シーケンスの検出結果タイプ](guardduty-attack-sequence-finding-types.md) に関連する詳細に焦点を当てます。これには、影響を受ける可能性のあるリソース、イベントのタイムライン、指標、シグナル、および検出結果に関連するエンドポイントなどのインサイトが含まれます。
GuardDuty の検出結果であるシグナルに関連する詳細を確認するには、このページの関連するセクションを参照してください。
GuardDuty コンソールで攻撃シーケンスの検出結果を選択すると、詳細サイドパネルは以下のタブに分割されます。
+ **概要** – 攻撃シーケンスの詳細 (シグナル、MITRE 戦術、影響を受ける可能性のあるリソースなど) をコンパクトに表示します。
+ **シグナル** – 攻撃シーケンスに関連するイベントのタイムラインを表示します。
+ **リソース** – 影響を受ける可能性のあるリソース、またはリスクにさらされている可能性のあるリソースに関する情報を提供します。
以下のリストは、攻撃シーケンスの検出結果の詳細に関連する説明を示しています。
**シグナル**
シグナルとは、GuardDuty が攻撃シーケンスの検出に使用する API アクティビティまたは検出結果です。GuardDuty は、明確な脅威として現れない微弱なシグナルを考慮し、それらを組み合わせて、個別に生成された検出結果と相関させます。より詳細なコンテキストについては、**[シグナル]** タブには、GuardDuty が観測したシグナルのタイムラインが表示されます。
GuardDuty の検出結果である各シグナルには、独自の重大度レベルと値が割り当てられます。GuardDuty コンソールでは、各シグナルを選択して、関連する詳細を表示できます。
**アクター**
攻撃シーケンスの脅威アクターに関する詳細を提供します。詳細については、「*Amazon GuardDuty API Reference*」の「[アクター](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html)」を参照してください。
**エンドポイント**
この攻撃シーケンスで使用されたネットワークエンドポイントの詳細を提供します。詳細については、「*Amazon GuardDuty API リファレンス*」の「[NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)」を参照してください。GuardDuty が場所を決定する方法については、「[位置情報の詳細](#guardduty-finding-details-geolocation)」を参照してください。
**インジケータ**
セキュリティ問題のパターンに一致する観察データが含まれます。このデータは、GuardDuty が疑わしいアクティビティの可能性を示す理由を指定します。たとえば、インジケータ名が の場合`HIGH_RISK_API`、これは脅威アクターが一般的に使用するアクション、または認証情報へのアクセスやリソースの変更など AWS アカウント、 に潜在的な影響を引き起こす可能性のある機密アクションを示します。
以下の表に、潜在的な指標とその説明のリストを示します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_findings-summary.html)
**MITRE の戦術**
このフィールドは、脅威アクターが攻撃シーケンスを通じて試みる MITRE ATT&CK 戦術を指定します。GuardDuty は、攻撃シーケンス全体にコンテキストを追加する [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes) フレームワークを使用します。GuardDuty コンソールが脅威アクターによって使用された脅威の目的を指定するために使用する色は、重大、高、中、低の [検出結果の重大度レベル](guardduty_findings-severity.md) を示す色と一致します。
**ネットワークインジケータ**
インジケータには、ネットワークが疑わしい動作を示す理由を説明する、ネットワークインジケータ値の組み合わせが含まれます。このセクションは、**インジケータ**に `SUSPICIOUS_NETWORK` または `MALICIOUS_IP` が含まれている場合にのみ適用されます。以下の例は、ネットワークインジケータをインジケータに関連付ける方法を示しています。
+ *AnyCompany* は自律システム (AS) です。
+ `TUNNEL_VPN`、`IS_ANONYMOUS`、`ALLOWS_FREE_ACCESS` はネットワークインジケータです。
```
...{
"key": "SUSPICIOUS_NETWORK",
"values": [{
"AnyCompany": [
"TUNNEL_VPN",
"IS_ANONYMOUS",
"ALLOWS_FREE_ACCESS"
]
}]
}
...
```
以下の表に、ネットワークインジケータの値とその説明を示します。これらのタグは、GuardDuty が Spur などのソースから収集する脅威インテリジェンスに基づいて追加されます
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_findings-summary.html)
## RDS データベース (DB) ユーザーの詳細
**注記**
このセクションは、GuardDuty で RDS Protection 機能を有効にしたときの検出結果に適用されます。詳細については、「[GuardDuty RDS Protection](rds-protection.md)」を参照してください。
GuardDuty の検出結果から、侵害の可能性があるデータベースに関する、以下のユーザー情報と認証情報が得られます。
+ **[User]** (ユーザー) - 異常なログイン試行に使用されたユーザー名
+ **[Application]** (アプリケーション) — 異常なログイン試行に使用されたアプリケーション名
+ **[Database]** (データベース) — 異常なログイン試行に関与したデータベースインスタンスの名前
+ **[SSL]** — ネットワークに使用された Secure Socket Layer (SSL) のバージョン
+ **[認証方法]** — 検出に関与したユーザーが使用した認証方法
侵害された可能性のあるリソースの詳細については、「[[リソース]](#findings-resource-affected)」を参照してください。
## Runtime Monitoring の検出結果の詳細
**注記**
これらの詳細を確認できるのは、GuardDuty が次のいずれかの [GuardDuty Runtime Monitoring の検出結果タイプ](findings-runtime-monitoring.md) を生成した場合だけです。
このセクションには、プロセスの詳細や必要なコンテキストなど、ランタイムの詳細が含まれています。プロセスの詳細には、観察されたプロセスに関する情報が記述され、ランタイムのコンテキストには、潜在的に疑わしいアクティビティに関する追加情報が記述されます。
**プロセスの詳細**
+ **名前** - プロセスの名前。
+ **実行可能ファイルのパス** - プロセスの実行可能ファイルの絶対パス。
+ **実行可能ファイル SHA-256** - プロセスの実行可能ファイルの `SHA256` ハッシュ。
+ **名前空間 PID** - ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。
+ **現在の作業ディレクトリ** - プロセスの現在の作業ディレクトリ。
+ **プロセス ID** - オペレーティングシステムによってプロセスに割り当てられた ID。
+ **startTime** - プロセスが開始された時間。これは UTC 日付文字列形式 (`2023-03-22T19:37:20.168Z`) です。
+ **UUID** - GuardDuty で、プロセスに割り当てられた一意の ID。
+ **親 UUID** - 親プロセスの固有の ID。この ID は GuardDuty によって親プロセスに割り当てられます。
+ **ユーザー** - プロセスを実行したユーザー。
+ **ユーザー ID** - プロセスを実行したユーザーの ID。
+ **有効なユーザー ID** - イベント発生時のプロセスの有効な実効ユーザー ID。
+ **系列** - プロセスの先祖に関する情報。
+ **プロセス ID** - オペレーティングシステムによってプロセスに割り当てられた ID。
+ **UUID** - GuardDuty で、プロセスに割り当てられた一意の ID。
+ **実行可能ファイルのパス** - プロセスの実行可能ファイルの絶対パス。
+ **有効なユーザー ID** - イベント発生時のプロセスの有効な実効ユーザー ID。
+ **親 UUID** - 親プロセスの固有の ID。この ID は GuardDuty によって親プロセスに割り当てられます。
+ **開始時間** - プロセスが開始された時間。
+ **名前空間 PID** - ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。
+ **ユーザー ID** - プロセスを実行したユーザーのユーザー ID。
+ **名前** - プロセスの名前。
**ランタイムのコンテキスト**
次のフィールドから、生成された検出結果には、その検出結果タイプに関連するフィールドのみが含まれる場合があります。
+ **マウントソース** - コンテナによってマウントされたホスト上のパス。
+ **マウントターゲット** - ホストディレクトリにマッピングされているコンテナ内のパス。
+ **ファイルシステムタイプ** - マウントされたファイルシステムのタイプを示します。
+ **フラグ** - この検出結果に関係するイベントの動作をコントロールするオプションを示します。
+ **プロセスの変更** - 実行時にコンテナ内でバイナリ、スクリプト、またはライブラリを作成または変更したプロセスに関する情報。
+ **修正日時** - 実行時にプロセスがコンテナ内のバイナリ、スクリプト、またはライブラリを作成または変更したときのタイムスタンプ。このフィールドは、UTC 日付文字列形式 (`2023-03-22T19:37:20.168Z`)です。
+ **ライブラリパス** - ロードされた新しいライブラリへのパス。
+ **LD プリロード値** - `LD_PRELOAD` 環境変数の値。
+ **ソケットパス** - アクセスされた Docker ソケットへのパス。
+ **Runc バイナリパス** - `runc` バイナリへのパス。
+ **リリースエージェントパス** - `cgroup` リリースエージェントファイルへのパス。
+ **コマンドラインの例** – 潜在的に疑わしいアクティビティに関連するコマンドラインの例。
+ **ツールカテゴリ** – ツールが属するカテゴリ。この例としては、Backdoor Tool、Pentest Tool、Network Scanner、Network Sniffer などがあります。
+ **ツール名** – 潜在的に疑わしいツールの名前。
+ **スクリプトパス** – 検出結果を生成した実行済みスクリプトへのパス。
+ **脅威ファイルパス** – 脅威インテリジェンスの詳細が見つかった疑わしいパス。
+ **サービス名** – 無効化されたセキュリティサービスの名前。
+ **モジュール名** – カーネルにロードされるモジュールの名前。
+ **モジュール SHA256** – モジュールの SHA256 ハッシュ。
+ **モジュールファイルパス** – カーネルにロードされたモジュールへのパス。
## EBS ボリュームのスキャンの詳細
**注記**
このセクションは、[Malware Protection for EC2](malware-protection.md) で GuardDuty 実行型マルウェアスキャンをオンにした場合の検出結果に適用されます。
EBS ボリュームスキャンは、侵害された可能性のある EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームに関する詳細を提供します。
+ **スキャン** — マルウェアスキャンの識別子。
+ **スキャン開始日** — マルウェアスキャンが開始された日時。
+ **スキャン完了日** — 不正プログラムのスキャンの完了日時。
+ **検出結果 ID** — このマルウェアスキャンを開始した GuardDuty の検出結果 ID。
+ **ソース** – 想定される値は、`Bitdefender` と `Amazon` です。
マルウェアの検出に使用されるスキャンエンジンの詳細については、「[GuardDuty マルウェア検出のスキャンエンジン](guardduty-malware-detection-scan-engine.md)」を参照してください。
+ **スキャン検出** — 各マルウェアスキャンの詳細と結果の全情報。
+ **スキャンされたアイテム数** — スキャンされたファイルの合計数。`totalGb`、`files`、および `volumes` などの詳細を提供します。
+ **脅威が検出されたアイテム数** — スキャン中に検出された悪意のある `files` の合計数。
+ **最も重大度の高い脅威の詳細** — スキャン中に検出された、重大度が最も高い脅威の詳細と、悪意のあるファイルの数。`severity`、`threatName`、および `count` などの詳細を提供します。
+ **名前で検出された脅威** — すべての重大度レベルの脅威をグループ化するコンテナ要素。`itemCount`、`uniqueThreatNameCount`、`shortened`、および `threatNames` などの詳細を提供します。
## Malware Protection for EC2 の検出結果の詳細
**注記**
このセクションは、[Malware Protection for EC2](malware-protection.md) で GuardDuty 実行型マルウェアスキャンをオンにした場合の検出結果に適用されます。
Malware Protection for EC2 スキャンでマルウェアが検出された場合は、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールで「**検出結果**」のページで対応する結果を選択すると、スキャンの詳細を表示できます。Malware Protection for EC2 の検出結果の重大度は、GuardDuty の検出結果の重大度によります。
次の情報は、詳細パネルの「**検出された脅威**」セクションでご覧になれます。
+ **名前** — 検出によってファイルをグループ化することによって取得された脅威の名前。
+ **重大度** — 検出された脅威の重大度。
+ **ハッシュ** – ファイルの SHA-256 ハッシュ。
+ **ファイルパス** — EBS ボリューム内の悪意のあるファイルの場所。
+ **ファイル名** — 脅威が検出されたファイルの名前。
+ **ボリューム ARN** — スキャンされた EBS ボリュームの ARN。
次の情報は、詳細パネルの「**マルウェアスキャンの詳細**」のセクションでご覧になれます。
+ **スキャン** — 不正プログラムスキャンのスキャン ID。
+ **スキャン開始日** — スキャンが開始された日時。
+ **スキャン完了日** — スキャンの完了日時。
+ **スキャンされたファイル** — スキャンされたファイルとディレクトリの合計数。
+ **スキャンされた合計 GB** — プロセス中にスキャンされたストレージの容量。
+ **検出結果 ID** — このマルウェアスキャンを開始した GuardDuty の検出結果 ID。
+ 次の情報は、詳細パネルの「**ボリュームの詳細**」のセクションでご覧になれます。
+ **ボリューム ARN** — ボリュームの Amazon リソースネーム (ARN)。
+ **SnapshotARN** — EBS ボリュームのスナップショットの ARN。
+ **ステータス** — `Running`、`Skipped`、および `Completed` などのボリュームのスキャン状態。
+ **暗号化タイプ** — ボリュームの暗号化に使用される暗号化のタイプ。例えば、`CMCMK`。
+ **デバイス名** - デバイスの名前。例えば、`/dev/xvda`。
## Malware Protection for S3 の検出結果の詳細
AWS アカウントで GuardDuty と Malware Protection for S3 の両方を有効にすると、次のマルウェアスキャンの詳細を利用できます。
+ **脅威** – マルウェアスキャン中に検出された脅威のリスト。
**アーカイブファイル内の複数の潜在的な脅威**
潜在的な脅威が複数含まれるアーカイブファイルがある場合、Malware Protection for S3 は最初に検出された脅威のみを報告します。この後、スキャンステータスは完了とマークされます。GuardDuty は、関連付けられた検出結果タイプを生成し、生成した EventBridge イベントも送信します。EventBridge イベントを使用した Amazon S3 オブジェクトスキャンのモニタリングの詳細については、「[S3 オブジェクトスキャンの結果](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)」の「**THREATS\$1FOUND** の通知スキーマの例」を参照してください。
+ **項目パス** – スキャンされた S3 オブジェクトのネストされた項目パスとハッシュの詳細のリスト。
+ **ネストされた項目パス** – 脅威が検出されたスキャンされた S3 オブジェクトの項目パス。
このフィールドの値は、最上位レベルのオブジェクトがアーカイブであり、アーカイブ内で脅威が検出された場合にのみ使用できます。
+ **[ハッシュ]** – この検出結果で検出された脅威のハッシュ。
+ **ソース** – 想定される値は、`Bitdefender` と `Amazon` です。
マルウェアの検出に使用されるスキャンエンジンの詳細については、「[GuardDuty マルウェア検出のスキャンエンジン](guardduty-malware-detection-scan-engine.md)」を参照してください。
## Action
検出結果の **[Action]** (アクション) は、その検出をトリガーしたアクティビティのタイプに関する詳細を示します。利用可能な情報は、アクションタイプによって異なります。
**[アクションタイプ]** - 検出結果アクティビティのタイプ。この値は、**NETWORK\$1CONNECTION**、**PORT\$1PROBE**、**DNS\$1REQUEST**、**AWS\$1API\$1CALL**、**RDS\$1LOGIN\$1ATTEMPT** のいずれかになります。利用可能な情報は、アクションタイプによって異なります。
+ **NETWORK\$1CONNECTION** - ネットワークトラフィックが識別済み EC2 インスタンスとリモートホスト間で交わされたことを示します。このアクションタイプには、次の追加情報が含まれています。
+ **[接続方向]** - GuardDuty がその検出結果を生成する原因となったアクティビティで確認されたネットワークの接続方向。これには、次のいずれかの値を指定できます。
+ **インバウンド** - リモートホストがアカウントの識別済み EC2 インスタンスのローカルポートへの接続を開始したことを示します。
+ **アウトバウンド** - 識別済み EC2 インスタンスがリモートホストへの接続を開始したことを示します。
+ **不明** - GuardDuty が接続の方向を判別できなかったことを示します。
+ **プロトコル** - GuardDuty がその検出結果を生成する原因となったアクティビティで確認されたネットワークの接続プロトコル。
+ **ローカル IP** (ローカル IP) - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。
+ **[ブロック]** - ターゲットポートがブロックされているかどうかを示します。
+ **PORT\$1PROBE** - リモートホストが複数のオープンポートで識別済みの EC2 インスタンスを調査したことを示します。このアクションタイプには、次の追加情報が含まれています。
+ **ローカル IP** - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。
+ **[ブロック]** - ターゲットポートがブロックされているかどうかを示します。
+ **DNS\$1REQUEST** - 識別済みの EC2 インスタンスがドメイン名を照会したことを示します。このアクションタイプには、次の追加情報が含まれています。
+ **プロトコル** - GuardDuty がその検出結果を生成する原因となったアクティビティで確認されたネットワークの接続プロトコル。
+ **[ブロック]** - ターゲットポートがブロックされているかどうかを示します。
+ **AWS\$1API\$1CALL** - AWS API が呼び出されたことを示します。このアクションタイプには、次の追加情報が含まれています。
+ **API** - 呼び出された API オペレーションの名前で、GuardDuty がこの検出結果を生成する原因となった API。
**注記**
これらのオペレーションは、 AWS CloudTrailによってキャプチャされる API 以外のイベントを含めることもできます。詳細については、「[CloudTrail によってキャプチャされる API 以外のイベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html)」を参照してください。
+ **[ユーザーエージェント]** – API リクエストを実行したユーザーエージェント。この値は、呼び出しが 、 AWS サービス AWS マネジメントコンソール、 AWS SDKs、または のいずれから行われたかを示します AWS CLI。
+ **エラーコード** - API コールの失敗によって検出結果がトリガーされた場合、そのコールに対してエラーコードが表示されます。
+ **サービス名** - 検出結果をトリガーした API コールを実行しようとしたサービスの DNS 名。
+ **RDS\$1LOGIN\$1ATTEMPT** — 侵害された可能性のあるデータベースに、リモート IP アドレスからログインが試行されたことを示します。
+ **[IP アドレス]** — 疑わしいログイン試行に使用されたリモート IP アドレス。
## アクターまたはターゲット
**[リソースロール]** が `TARGET` の場合には、検出結果に **[アクター]** セクションが表示されます。これは、リソースが疑わしいアクティビティの対象であったことを示します。また、**[Actor]** (アクター) セクションには、リソースを対象としたエンティティの詳細が含められます。
**[リソースロール]** が `ACTOR` の場合には、検出結果に **[ターゲット]** セクションが表示されます。これは、リソースがリモートホストに対する不審なアクティビティに関与していたことを示します。また、このセクションには、リソースのターゲットになった IP またはドメインに関する情報が含められます。
**[アクター]** セクションまたは **[ターゲット]** セクションには、次の情報を含めることができます。
+ **[Affiliated]** (関連) – リモート API コール実行者の AWS アカウントが GuardDuty 環境に関連しているかどうかの詳細です。この値が `true` の場合、API コール実行者は何らかの形でアカウントに関連しています。`false` の場合、API コール実行者は環境外です。
+ **[リモートアカウント ID]** – 最終的なネットワークでリソースにアクセスするために使用されたアウトバウンド IP アドレスを所有するアカウント ID。
+ **IP アドレス** - GuardDuty がその検出結果を生成する原因となったアクティビティに関係のある IP アドレス。
+ **場所** - GuardDuty がその検出結果を生成する原因となったアクティビティに関係のある IP アドレスの位置情報。
+ **[組織]** - GuardDuty がその検出結果を生成する原因となったアクティビティに関係のある IP アドレスの ISP 組織情報。
+ **ポート** - GuardDuty がその検出結果を生成する原因となったアクティビティに関係のあるポート番号。
+ **ドメイン** - GuardDuty がその検出結果を生成する原因となったアクティビティに関係のあるドメイン。
+ **サフィックス付きのドメイン** — GuardDuty がその検出結果を生成する原因となった可能性があるアクティビティに関連する 2 番目および最上位レベルのドメイン。最上位ドメインとセカンドレベルドメインのリストについては、「[public suffix list](https://publicsuffix.org/)」を参照してください。
## 位置情報の詳細
GuardDuty が MaxMind GeoIP データベースを使用してリクエストの場所とネットワークを決定します。MaxMind は、国レベルでの非常に高精度なデータを報告しますが、精度は国や IP アドレスの種類などの要因によって異なります。
MaxMind の詳細については、「[MaxMind IP Geolocation](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)」を参照してください。GeoIP データに誤りがあると思われる場合は、[[MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)] ページから MaxMind に修正リクエストを送信できます。
## 追加情報
すべての検出結果には **[追加情報]** セクションがあり、次のような情報が含まれます。
+ **脅威リスト名** - GuardDuty がこの検出結果を生成する原因となったアクティビティに関する IP アドレスまたはドメイン名が含まれている脅威リストの名前。
+ **サンプル** - サンプル検出結果であるかどうかを示す true または false の値。
+ **アーカイブ** - 検出結果がアーカイブ済みかどうかを示す true または false の値。
+ **[異常]** - 履歴で確認されていないアクティビティの詳細 これらには、異常な (以前に確認されていない) ユーザー、場所、時間、バケット、ログイン動作、または ASN Org などが含まれます。
+ **異常プロトコル** - GuardDuty がその検出結果を生成する原因となったアクティビティに関係のあるネットワークの接続プロトコル。
+ **エージェント詳細** - AWS アカウントの EKS クラスターに現在導入されているセキュリティエージェントに関する詳細。これは EKS Runtime Monitoring の検出結果タイプにのみ適用されます。
+ **エージェントバージョン** - GuardDuty セキュリティエージェントのバージョン。
+ **エージェント ID** - GuardDuty セキュリティエージェントの固有識別子。
## 証拠
脅威インテリジェンスに基づく検出結果には **[証拠]** セクションがあり、次のような情報が含まれます。
+ **脅威インテリジェンスの詳細** - 認識された `Threat name` が表示される脅威リストの名前。
+ **脅威名** - 脅威に関連付けられているマルウェアファミリーの名前、またはその他の識別子。
+ **脅威ファイル SHA256** – 検出結果を生成したファイルの SHA256。
## 異常な動作
**AnomalousBehavior** で終わる検出結果タイプは、GuardDuty 異常検出機械学習 (ML) モデルによって検出されたことを示します。機械学習モデルは、アカウントへのすべての API リクエストを評価し、相手が使用するタクティクスに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。
CloudTrail ユーザーアイデンティティ において、API リクエストの原因となった、異常のある要因についての詳細は、「検出結果の詳細」を参照してください。アイデンティティは、[CloudTrail userIdentity エレメント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)で定義され、指定できる値は、`Root`、`IAMUser`、`AssumedRole`、`FederatedUser`、`AWSAccount` または `AWSService` です。
API アクティビティに関連付けられているすべての GuardDuty の検出結果で使用できる詳細に加えて、**AnomalousBehavior** 検出結果には、次のセクションで概説される追加の詳細が含まれています。これらの詳細はコンソールで表示でき、検出結果の JSON でも確認できます。
+ **異常な API** - 検出結果に関連付けられたプライマリ API リクエストに近いユーザーアイデンティティが原因の API リクエストのリスト。このペインでは、次の方法で API イベントの詳細をさらに分類します。
+ 最初にリストされている API はプライマリ API です。プライマリ API は、観測された最も高いリスクアクティビティに関連付けられた API リクエストです。これは、発見をトリガーし、検出結果タイプの攻撃ステージと相関する API です。これは、コンソールの **[アクション]** セクションおよび検出結果の JSON で詳述されている API でもあります。
+ リストされている他の API は、プライマリ API の近くで観察されるリストされたユーザーアインデンティティからの追加の異常 API です。リストに API が 1 つしかない場合、機械学習モデルはそのユーザーアイデンティティからの追加の API リクエストを異常として識別しませんでした。
+ API のリストは、API が**正常に呼び出された**かどうかに基づいて分類され、API が正常に呼び出されなかった場合は、エラーレスポンスが受信されたことを意味します。受信したエラーレスポンスのタイプは、それぞれ正常に呼び出されなかった API の上に一覧表示されます。考えられるエラーレスポンスのタイプは、`access denied`、`access denied exception`、`auth failure`、`instance limit exceeded`、`invalid permission - duplicate`、`invalid permission - not found`、および `operation not permitted` です。
+ API は、関連するサービスによって分類されます。
+ その他のコンテキストについては、**[Historical APIs]** (過去の API) を選択し、上位 API の詳細を確認します。通常は、ユーザーアイデンティティとアカウント内のユーザーすべての両方で表示される最大 20 個の API です。API は、**[めったにない(月に 1 回未満)]**、**[頻繁でない(月に数回)]**、または **[頻繁(毎日から毎週)]** でマークされ、アカウント内で使用されている頻度によって異なります。
+ **[Unusual Behavior (Account)]** (異常な動作 (アカウント)) - このセクションでは、アカウントでプロファイリングされた動作に関する詳細について説明します。
**プロファイルされた動作**
GuardDuty は、配信されたイベントに基づき、アカウント内のアクティビティについて継続的に学習します。これらのアクティビティと観測されたその頻度は、プロファイルされた動作と呼ばれます。
このパネルで追跡される情報は次のとおりです。
+ **[ASN 組織]** - 異常な API コールが行われた AS 番号 (ASN) 組織。
+ **[ユーザー名]** - 異常な API コールを行ったユーザーの名前。
+ **ユーザーエージェント** - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、`aws-cli` または `Botocore` などのコールを行うために使用されるメソッドです。
+ **[ユーザータイプ]** - 異常な API コールを行ったユーザーの名前。可能な値は、`AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER` または `ROLE` です。
+ **バケット** — アクセスされている S3 バケットの名前。
+ **[Unusual Behavior (User Identity)]** (異常な動作 (ユーザー ID)) - このセクションでは、検出に関与した**ユーザーアイデンティティ**のプロファイリングされた動作の詳細について説明します。動作が履歴として識別されない場合は、GuardDuty 機械学習モデルが、トレーニング期間内にこの方法で API コールを行うユーザー ID を認識していないことを意味します。**ユーザーアイデンティティ** に関する詳細については、次を参照してください。
+ **[ASN 組織]** - 異常な API コールが行われた元の ASN 組織。
+ **ユーザーエージェント** - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、`aws-cli` または `Botocore` などのコールを行うために使用されるメソッドです。
+ **バケット** — アクセスされている S3 バケットの名前。
+ **[Unusual Behavior (Bucket)]** (異常な動作 (バケット)) - このセクションでは、検出結果に関連する、S3 バケットのプロファイリングされた動作に関する詳細について説明します。動作が履歴として識別されない場合は、GuardDuty 機械学習モデルが、トレーニング期間内にこの方法によるバケットへの API コールを認識していないことを意味します。このセクションで追跡される情報は次のとおりです。
+ **[ASN 組織]** - 異常な API コールが行われた元の ASN 組織。
+ **[ユーザー名]** - 異常な API コールを行ったユーザーの名前。
+ **ユーザーエージェント** - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、`aws-cli` または `Botocore` などのコールを行うために使用されるメソッドです。
+ **[ユーザータイプ]** - 異常な API コールを行ったユーザーの名前。可能な値は、`AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER` または `ROLE` です。
**注記**
過去の動作の詳細については、**[Unusual behavior (Account)]** (異常な動作 (アカウント))、**[User ID]** (ユーザー ID)、または **[Bucket]** (バケット) セクションのいずれかで、**[Historical behavior]** (過去の動作) を選択して、アカウント内での使用頻度に応じて、**[Rare (less than once a month)]** (頻度が低い (月に数回))、**[Infrequent (a few times a month)]** (頻繁でない (月に数回))、または **[Frequent (daily to weekly)]** (頻度が高い (毎日から毎週)) の各カテゴリのアカウントで予想される動作に関する詳細を表示します。
+ **異常な動作 (データベース)** - このセクションでは、検出結果に関連するデータベースインスタンスの、プロファイリングされた動作に関する詳細について説明します。動作が履歴として識別されない場合は、GuardDuty 機械学習モデルが、トレーニング期間内にこの方法によるデータベースインスタンスへのログイン試行を認識していないことを意味します。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。
+ **[User name]** (ユーザー名) - 異常なログイン試行に使用されたユーザー名
+ **[ASN Org]** (ASN 組織) - 異常なログイン試行が行われた ASN 組織
+ **[Application name]** (アプリケーション名) — 異常なログイン試行に使用されたアプリケーション名
+ **[データベース名]** — 異常なログイン試行に関与したデータベースインスタンス名
**[履歴動作]** セクションでは、関連するデータベースの **[ユーザー名]**、**[ASN 組織]**、**[アプリケーション名]**、**[データベース名]** について、以前に確認した内容について詳しく説明しています。固有の値にはそれぞれ、ログインが成功した際にその値が確認された回数を示すカウントが関連付けられています。
+ **異常動作 (アカウント Kubernetes クラスター、Kubernetes 名前空間、 Kubernetes ユーザー名)** - このセクションでは、検出結果に関連する、Kubernetes クラスターと名前空間の、プロファイリングされた動作に関する詳細を説明します。動作が履歴として識別されない場合、GuardDuty ML モデルが、アカウント、クラスター、名前空間、ユーザー名を認識していないことを意味します。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。
+ **ユーザー名** — 検出結果に関連付けられた Kubernetes API を呼び出したユーザー。
+ **偽装されたユーザー名** – `username` に偽装されているユーザー。
+ **名前空間** — アクションが発生した Amazon EKS クラスター内の Kubernetes 名前空間。
+ **ユーザーエージェント** — Kubernetes API コールに関連付けられたユーザーエージェント。ユーザーエージェントは、`kubectl` などのコールを行うために使用されるメソッドです。
+ **API** — Amazon EKS クラスター内で `username` によって呼び出される Kubernetes API。
+ **ASN 情報** — この呼び出しを行うユーザーの IP アドレスに関連付けられた、組織や ISP などの ASN 情報。
+ **曜日** — Kubernetes API コールが行われた曜日。
+ **アクセス権限** — `username` が Kubernetes API を使用できるかどうかのアクセスの確認を受ける Kubernetes の動詞とリソース。
+ **サービスアカウント名** – ワークロードに ID を提供する Kubernetes ワークロードに関連付けられたサービスアカウント。
+ **レジストリ** — Kubernetes ワークロードにデプロイした、コンテナイメージに関連付けられたコンテナレジストリ。
+ **イメージ** — Kubernetes ワークロードにデプロイされた、関連するタグやダイジェストを含まないコンテナイメージ。
+ **イメージプレフィックス設定** — イメージを使用するコンテナの、`hostNetwork` または `privileged` などのコンテナとワークロードセキュリティ設定が有効になっているイメージプレフィックス。
+ **サブジェクト名** — `RoleBinding` や `ClusterRoleBinding` 内の参照ロールにバインドされている `user`、`group`、`serviceAccountName` などのサブジェクト。
+ **ロール名** — ロールまたは `roleBinding` API の作成や変更に関係するロールの名前。
### S3 ボリュームベースの異常
このセクションでは、S3 ボリュームベースの異常についてのコンテキスト情報について詳しく説明します。ボリュームベースの検出結果 ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) は、ユーザーの S3 バケットに対する異常な数の S3 API コールをモニタリングし、データ漏えいの可能性を示します。以下の S3 の API 呼び出しは、ボリュームベースの異常検出のために監視されます。
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`
以下のメトリクスは、IAM エンティティが S3 バケットにアクセスするときの通常の動作のベースラインを構築するのに役立ちます。データの流出を検出するために、ボリュームベースの異常検出結果は通常の行動ベースラインに対してすべてのアクティビティを評価します。次のメトリクスを表示するには、**[異常な動作 (ユーザーアイデンティティ)]**、**[確認されたボリューム (ユーザーアイデンティティ)]**、および **[確認されたボリューム (バケット)]** セクションで **[過去の動作]** を選択します。
+ 過去 24 時間に、影響を受ける S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された `s3-api-name` API コールの数。
+ 過去 24 時間に、すべての S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された `s3-api-name` API コールの数。
+ 過去 24 時間に、影響を受ける S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された `s3-api-name` API コールの数。
### RDS ログインアクティビティベースの異常
このセクションは、異常なアクターが行ったログイン試行回数の詳細について説明するものであり、ログイン試行の結果ごとにグループ分けされています。[RDS Protection の検出結果タイプ](findings-rds-protection.md) はログインイベントをモニタリングして `successfulLoginCount`、`failedLoginCount`、`incompleteConnectionCount` などの異常なパターンがないかを確認し、異常な動作を特定します。
+ **successfulLoginCount** — このカウンターは、異常なアクターがデータベースインスタンスに対して行った、成功した接続 (ログイン属性の正しい組み合わせ) の合計を表します。ログイン属性には、ユーザー名、パスワード、データベース名が含まれます。
+ **failedLoginCount** — このカウンターは、データベースインスタンスへの接続を確立しようとして失敗した (不成功の) ログイン試行の合計を表します。これは、ユーザー名、パスワード、データベース名など、ログイン情報の組み合わせの属性が 1 つ以上、正しくなかったことを示します。
+ **incompleteConnectionCount** — このカウンターは、成功または失敗に分類できない接続試行の回数を表します。これらの接続は、データベースが応答する前に閉じられています。例えば、データベースポートは接続されているものの情報がデータベースに送信されないポートスキャンや、ログインが成功または失敗して完了する前に接続が中止された場合などです。