翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# GuardDuty の開始方法
このチュートリアルでは、GuardDuty の実践入門を学習します。でスタンドアロンアカウントまたは GuardDuty 管理者として GuardDuty を有効にするための最小要件 AWS Organizations については、ステップ 1 で説明します。ステップ 2 ~ 5 では、検出結果を最大限に活用するために、GuardDuty が推奨する追加機能の使用をカバーします。
**Topics**
+ [[開始する前に]](#setup-before)
+ [ステップ 1: Amazon GuardDuty を有効にする](#guardduty_enable-gd)
+ [ステップ 2: サンプル検出結果を生成し、ベーシックなオペレーションの詳細を確認する](#startup-samples)
+ [ステップ 3: Amazon S3 バケットへの GuardDuty の検出結果のエクスポートを設定する](#setup-export)
+ [ステップ 4: SNS を使用して GuardDuty の検出結果アラートを設定する](#setup-sns)
+ [次のステップ](#setup_beyond)
## [開始する前に]
GuardDuty は、 AWS CloudTrail 管理イベント、Amazon VPC フローログ、DNS Amazon Route 53 Resolver クエリログ[基本データソース](guardduty_data-sources.md)などの をモニタリングする脅威検出サービスです。また、GuardDuty は、保護タイプに関連する機能を個別に有効にした場合にのみ分析します。[機能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html)には、Kubernetes 監査ログ、RDS ログインアクティビティ、Amazon S3 AWS CloudTrail のデータイベント、Amazon EBS ボリューム、ランタイムモニタリング、Lambda ネットワークアクティビティログなどがあります。 Amazon S3 これらのデータソースおよび機能 (有効である場合) を使用して、GuardDuty はアカウントのセキュリティ結果を生成します。
GuardDuty を有効にすると、基本的なデータソースのアクティビティに基づいて、潜在的な脅威がないかアカウントのモニタリングが開始されます。デフォルトでは、GuardDuty が有効になってい AWS アカウント るすべての に対して [Extended Threat Detection](guardduty-extended-threat-detection.md)が有効になっています。この機能は、アカウント内の複数の基本的なデータソース、 AWS リソース、および時間にわたるマルチステージ攻撃シーケンスを検出します。特定の AWS リソースに対する潜在的な脅威を検出するには、GuardDuty が提供するユースケースに焦点を当てた保護プランを有効にすることを選択できます。詳細については、「[GuardDuty の機能](what-is-guardduty.md#features-of-guardduty)」を参照してください。
基礎データソースのいずれかを明示的に有効にする必要はありません。S3 Protection を有効にした場合は、Amazon S3 データイベントのログ記録を明示的に有効にする必要はありません。同様に、EKS Protection を有効にした場合は、Amazon EKS 監査ログを明示的に有効にする必要はありません。Amazon GuardDuty は、これらのサービスから直接、データの独立したストリームを取得します。
新しい GuardDuty アカウントでは、 でサポートされている利用可能な保護タイプの一部 AWS リージョン が有効になり、デフォルトで 30 日間の無料トライアル期間に含まれます。それらのいずれか、またはすべての設定をオプトアウトできます。GuardDuty を有効に AWS アカウント した既存の がある場合は、リージョンで利用可能な保護プランのいずれかまたはすべてを有効にすることができます。保護プランの概要とデフォルトで有効になる保護プランについては、「[GuardDuty の料金](guardduty-pricing.md)」を参照してください。
**GuardDuty を有効にするときは、次の項目を考慮してください**。
+ GuardDuty はリージョンレベルのサービスです。つまり、このページで行う設定手順はすべて、GuardDuty を使用してモニタリングするリージョンごとに繰り返す必要があります。
サポートされているすべての AWS リージョンで GuardDuty を有効にすることを強くお勧めします。このように設定することで、GuardDuty はアクティブに使用されていないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検出結果を生成できます。これにより、GuardDuty は IAM などのグローバル AWS サービスの AWS CloudTrail イベントをモニタリングすることもできます。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。GuardDuty を使用できるリージョンのリストについては、「[リージョンとエンドポイント](guardduty_regions.md)」を参照してください。
+ AWS アカウントの管理者権限を持つユーザーは誰でも GuardDuty を有効にできますが、最小特権のセキュリティのベストプラクティスに従って、GuardDuty を特に管理するための IAM ロール、ユーザー、またはグループを作成することをお勧めします。GuardDuty を有効にするために必要なアクセス権限の詳細については、「[GuardDuty の有効化に必要な許可](security_iam_id-based-policy-examples.md#guardduty_enable-permissions)」を参照してください。
+ GuardDuty を任意の で初めて有効にすると AWS リージョン、デフォルトでは、Malware Protection for EC2 など、そのリージョンでサポートされているすべての利用可能な保護タイプも有効になります。GuardDuty は、サービスにリンクされた `AWSServiceRoleForAmazonGuardDuty` という名前のロールをアカウントに作成します。このロールには、GuardDuty がセキュリティ検出結果を生成するために、[GuardDuty 基本データソース](guardduty_data-sources.md) から直接イベントを消費および分析することを可能にする許可と信頼ポリシーが含まれます。Malware Protection for EC2 は、別のサービスにリンクされた `AWSServiceRoleForAmazonGuardDutyMalwareProtection` という名前のロールをアカウントに作成します。このロールには、Malware Protection for EC2 がエージェントレススキャンを実行して GuardDuty アカウント内のマルウェアを検出できるようにするアクセス許可と信頼ポリシーが含まれます。これにより、GuardDuty はアカウントに EBS ボリュームスナップショットを作成し、そのスナップショットを GuardDuty サービスアカウントと共有できます。詳細については、「[GuardDuty のためのサービスにリンクされたロールの許可](slr-permissions.md)」を参照してください。サービスにリンクされたロールの詳細については、「[サービスリンクロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。
+ 任意のリージョンで初めて GuardDuty を有効にすると、そのリージョンの 30 日間の GuardDuty 無料トライアルに AWS アカウントが自動的に登録されます。
次の動画では、管理者アカウントで GuardDuty の使用を開始し、その後複数のメンバーアカウントで有効にする方法について説明します。
[](http://www.youtube.com/watch?v=0vIzHOQvjYU)
## ステップ 1: Amazon GuardDuty を有効にする
GuardDuty を使用する最初のステップは、アカウントでそれを有効にすることです。有効にすると、GuardDuty は、直ちに現在のリージョンでセキュリティ脅威のモニタリングを開始します。
GuardDuty 管理者として、組織内の他のアカウントの GuardDuty の検出結果を管理する場合は、メンバーアカウントを追加し、それらのアカウントに対して GuardDuty を有効にする必要があります。
**注記**
GuardDuty は有効にしないで GuardDuty Malware Protection for S3 を有効にする場合の手順については、「[GuardDuty Malware Protection for S3](gdu-malware-protection-s3.md)」を参照してください。
------
#### [ Standalone account environment ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. **[Amazon GuardDuty - すべての機能]** オプションを選択します。
1. **[開始する]** を選択します。
1. **[GuardDuty にようこそ]** ページで、サービス条件を表示します。**[GuardDuty を有効にする]** を選択します。
------
#### [ Multi-account environment ]
**重要**
このプロセスの前提条件として、組織内の GuardDuty の管理者を委任するには、管理するすべてのアカウントと同じ組織に存在し、 AWS Organizations 管理アカウントにアクセスできる必要があります。管理者の委任には追加の許可が必要になる場合があります。詳細については、「[委任 GuardDuty 管理者アカウントの指定に必要な許可](organizations_permissions.md)」を参照してください。
**委任 GuardDuty 管理者アカウントを指定するには**
1. 管理アカウントを使用して、[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/) で AWS Organizations コンソールを開きます。
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
アカウント内で GuardDuty が既に有効になっていますか?
+ GuardDuty がまだ有効になっていない場合は、**[Get Started]** (今すぐ始める) を選択し、**[Welcome to GuardDuty]** (GuardDuty にようこそ) ページで GuardDuty の委任された管理者を指定できます。
+ GuardDuty が有効になっている場合、**[Settings]** (設定) ページで GuardDuty の委任された管理者を指定することができます。
1. 組織の GuardDuty 委任管理者として指定する AWS アカウントの 12 桁のアカウント ID を入力し、**Delegate** を選択します。
**注記**
GuardDuty がまだ有効になっていない場合、委任された管理者を指定すると、そのアカウントに対し現在のリージョンで GuardDuty が有効になります。
**メンバーアカウントを追加するには**
この手順では、 を介してメンバーアカウントを GuardDuty 委任管理者アカウントに追加する方法について説明します AWS Organizations。招待でメンバーを追加するオプションもあります。GuardDuty でメンバーを関連付ける 2 つの方法については、「[Amazon GuardDuty の複数のアカウント](guardduty_accounts.md)」を参照してください。
1. 委任された管理者のアカウントにログイン
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションパネルで **[設定]** を選択してから、**[アカウント]** を選択します。
アカウントの一覧に組織内のすべてのアカウントが表示されます。
1. アカウント ID の横にあるチェックボックスを選択し、メンバーとして追加したいアカウントを選択します。その後、**[アクション]** メニューから、**[メンバーの追加]** を選びます。
**ヒント**
新しいアカウントをメンバーとして追加するには、**[Auto-enable]** (自動有効化) の機能をオンにします。ただし、この機能は、機能を有効にした後に組織に参加したアカウントにのみ適用されます。
------
## ステップ 2: サンプル検出結果を生成し、ベーシックなオペレーションの詳細を確認する
GuardDuty がセキュリティ上の問題を検出すると、検出結果が生成されます。GuardDuty の検出結果は、その固有のセキュリティ問題に関する詳細を含むデータセットです。検出結果の詳細を使用して、問題の調査に役立てることができます。
GuardDuty は、placeholder 値を使用したサンプル検出結果の生成をサポートしています。このサンプルを使用して、GuardDuty の機能をテストし、検出結果を理解してから GuardDuty によって発見された実際のセキュリティ問題に馴染むために使われます。GuardDuty で利用可能な各検出結果タイプのサンプル検出結果を生成するには、以下のガイドに従ってください。アカウント内でシミュレートされたセキュリティイベントを生成するなど、サンプル検出結果を生成するその他の方法については、「[サンプルの検出結果](sample_findings.md)」を参照してください。
**サンプル検出結果を作成して調査するには**
1. ナビゲーションペインで **[設定]** を選択します。
1. **[設定]** ページの **[結果のサンプル]** で、**[結果サンプルの生成]** を選択します。
1. ナビゲーションペインで、**概要** を選択して、 AWS 環境で生成された結果に関するインサイトを表示します。概要ダッシュボードのコンポーネントの詳細については、「[Amazon GuardDuty の [要約] ダッシュボード](guardduty-summary.md)」を参照してください。
1. ナビゲーションペインで **[結果]** を選択します。**[Current findings]** (最近の結果) ページに **[SAMPLE]** とプレフィックスされたサンプル検出結果が表示されます。
1. リストから検出結果を選択して、検出結果の詳細を表示します。
1. 検出結果の詳細ペインで使用可能なさまざまな情報フィールドを確認できます。検出結果のタイプが異なると、フィールドが異なる場合があります。すべての検出結果タイプで使用可能なフィールドの詳細については、「[検出結果の詳細](guardduty_findings-summary.md)」を参照してください。詳細ペインから、次のアクションを実行できます。
+ ペインの一番上の **[結果 ID]** を選択し、検出結果のための完全な JSON 詳細を開きます。完全な JSON ファイルは、このパネルからダウンロードすることもできます。JSON には、コンソールビューに含まれない追加情報が含まれており、他のツールやサービスで取り込むことができる形式です。
+ **[影響を受けるリソース]** セクションを表示します。実際の検出結果では、ここに記載されている情報は、調査すべきアカウント内のリソースを特定するのに役立ち、実用的なリソース AWS マネジメントコンソール に適した へのリンクが含まれます。
+ 「\+」または「-」の虫眼鏡アイコンを選択して、その詳細の包括的または排他的なフィルターを作成します。検出結果フィルターの詳細については、「[GuardDuty での検出結果のフィルタリング](guardduty_filter-findings.md)」を参照してください。
1. サンプル検出結果をすべてアーカイブする
1. リストの上部にあるチェックボックスを選んで、すべての検出結果を選択します。
1. 保持したい検出結果を選択解除します。
1. **[アクション]** メニューを選択し、**[アーカイブ]** をクリックして、サンプルの検出結果を非表示にします。
**注記**
Actions メニューを見るために、**[最新]** を選択し、検出結果ビューを切り替えるために **[アーカイブ]** を選択してください。
## ステップ 3: Amazon S3 バケットへの GuardDuty の検出結果のエクスポートを設定する
GuardDuty では、検出結果のエクスポートを設定することをお勧めします。これにより、GuardDuty の 90 日間の保持期間を超えた無期限のストレージとして S3 バケットに検出結果をエクスポートできます。これにより、検出結果の記録を保持したり、 AWS 環境内の問題を経時的に追跡したりできます。GuardDuty は、 AWS Key Management Service () を使用して S3 バケットの検出結果データを暗号化しますAWS KMS key。設定を構成するには、GuardDuty に KMS キーへのアクセス許可を 付与する必要があります。より詳細なステップについては、「[生成された検出結果を Amazon S3 にエクスポートする](guardduty_exportfindings.md)」を参照してください。
**GuardDuty の検出結果を Amazon S3 バケットにエクスポートするには**
1.
**KMS キーにポリシーをアタッチする**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。
1. 既存の KMS キーを選択するか、「 *AWS Key Management Service デベロッパーガイド*」の「[対称暗号化 KMS キーを作成する](https://docs.aws.amazon.com/kms/latest/developerguide/create-symmetric-cmk.html)」の手順を実行します。
KMS キーのリージョンおよび Amazon S3 バケットは同じである必要があります。
後のステップで使用するために、キー ARN をメモ帳にコピーします。
1. KMS キーの **[キーポリシー]** セクションで、**[編集]** を選択します。**[ポリシービューへの切り替え]** が表示された場合はそれを選択して **[キーポリシー]** を表示してから、**[編集]** を選択します。
1. 以下のポリシーブロックを KMS キーポリシーにコピーしてください:
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "{{KMS key ARN}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:{{Region2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
}
```
ポリシーの例で*{{赤}}*でフォーマットされている次の値を置き換えることにより、ポリシーを編集します。
1. {{KMS key ARN}} は、KMS キーの Amazon リソースネーム (ARN) に置き換えます。キー ARN を検索するには、「*AWS Key Management Service 開発者ガイド*」の「[Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)」を参照してください。
1. {{123456789012}} は、検出結果をエクスポートする GuardDuty アカウントを所有する AWS アカウント ID に置き換えます。
1. {{Region2}} を、GuardDuty の結果が生成される AWS リージョン に置き換えます。
1. {{SourceDetectorID}} は、検出結果が生成された特定のリージョンの GuardDuty アカウントの `detectorID` に置き換えます。
アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1.
**Amazon S3 バケットにポリシーをアタッチする**
これらの検出結果をエクスポートする Amazon S3 バケットがまだない場合は、「*Amazon S3 ユーザーガイド*」の「[バケットの作成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)」を参照してください。
1. **[バケットポリシーを編集]** ページが表示されるまで、「*Amazon S3 ユーザーガイド*」の「[バケットポリシーを作成または編集するには](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」の手順を実行します。
1. 次の**ポリシー例**は、Amazon S3 バケットに検出結果をエクスポートする許可を GuardDuty に付与する方法を示しています。検出結果のエクスポートを設定した後にパスを変更する場合は、新しい場所に対する許可を付与するように、ポリシーを変更する必要があります。
次の**ポリシー例**をコピーし、**[バケットポリシーエディタ]** に貼り付けます。
最後のステートメントの前にポリシーステートメントを追加した場合は、このステートメントを追加する前にカンマを追加します。KMS キーポリシーの JSON 構文が有効であることを確認します。
**S3 バケットポリシーの例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}",
"aws:SourceArn": "arn:aws:guardduty:{{us-east-2}}:{{123456789012}}:detector/{{SourceDetectorID}}"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:{{us-east-2}}:{{111122223333}}:key/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. ポリシーの例で*{{赤}}*でフォーマットされている次の値を置き換えることにより、ポリシーを編集します。
1. {{Amazon S3 bucket ARN}} は、Amazon S3 バケットの Amazon リソースネーム (ARN) に置き換えます。**[バケット ARN]** は、[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) コンソールの **[バケットポリシーを編集]** ページで確認できます。
1. {{123456789012}} は、検出結果をエクスポートする GuardDuty アカウントを所有する AWS アカウント ID に置き換えます。
1. {{Region2}} は、GuardDuty の検出結果が生成される AWS リージョン に置き換えます。
1. {{SourceDetectorID}} は、検出結果が生成された特定のリージョンの GuardDuty アカウントの `detectorID` に置き換えます。
アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。
1. {{S3 bucket ARN/[optional prefix]}} プレースホルダー値の {{[optional prefix]}} 部分は、検出結果をエクスポートするオプションのフォルダの場所に置き換えます。プレフィックスの使用の詳細については、「*Amazon S3 ユーザーガイド*」の「[プレフィックスを使用してオブジェクトを整理する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)」を参照してください。
まだ存在していないオプションのフォルダの場所を指定した場合、GuardDuty は、S3 バケットに関連付けられたアカウントが検出結果をエクスポートしているアカウントと同じ場合にのみ、その場所を作成します。別のアカウントに属する S3 バケットに検出結果をエクスポートする場合は、このフォルダの場所が既に存在している必要があります。
1. {{KMS key ARN}} は、S3 バケットにエクスポートされた検出結果の暗号化に関連付けられた KMS キーの Amazon リソースネーム (ARN) に置き換えます。キー ARN を検索するには、「*AWS Key Management Service 開発者ガイド*」の「[Finding the key ID and ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)」を参照してください。
1.
**GuardDuty コンソールのステップ**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[設定]** ページの **[検出結果のエクスポートオプション]** で、**[S3 バケット]** の **[今すぐ設定]** (または必要に応じて **[編集]**) を選択します。
1. **S3 バケット ARN** には、検出結果を送信する **bucket ARN** を入力します。バケット ARN を表示するには、「*Amazon S3 ユーザーガイド*」の「[S3 バケットのプロパティの表示](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)」を参照してください。
1. **[KMS キー ARN]** で、**key ARN** を入力します。キー ARN を検索するには、「*AWS Key Management Service デベロッパーガイド*」の「[キー ID とキー ARN を検索する](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)」を参照してください。
1. **[保存]** を選択します。
## ステップ 4: SNS を使用して GuardDuty の検出結果アラートを設定する
GuardDuty は、Amazon EventBridge と統合されており、これを使用して、検出結果データを他のアプリケーションやサービスに送信して処理することができます。EventBridge では、GuardDuty の検出結果を使用して、検出結果イベントを AWS Lambda 関数、Amazon EC2 Systems Manager オートメーション、Amazon Simple Notification Service (SNS) などのターゲットに接続することで、検出結果への自動応答を開始できます。
この例では、EventBridge ルールのターゲットとなる SNS トピックを作成し、EventBridge を使用して GuardDuty から検出結果データをキャプチャするルールを作成します。結果として得られるルールは、検出結果の詳細をメールアドレスに転送します。検出結果を Slack または Amazon Chime に送信する方法、および送信される検出結果のアラートタイプを変更する方法については、「[Amazon SNS トピックおよびエンドポイントの設定](guardduty_findings_eventbridge.md#guardduty-eventbridge-set-up-sns-and-endpoint)」を参照してください。
**検出結果アラートの SNS トピックを作成するには**
1. Amazon SNS コンソール ([https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)) を開きます。
1. ナビゲーションペインで、**[トピック]** を選択してください。
1. **[トピックの作成]** を選択します。
1. **[Type]** (タイプ) に、**[Standard]** (標準) を選択します。
1. [**名前**] に **GuardDuty** と入力します。
1. **[トピックの作成]** を選択します。新しいトピックのトピック詳細が開きます。
1. **[サブスクリプション]** セクションで、**[サブスクリプションの作成]** を選択します。
1. **[プロトコル]** で **[E メール]** を選択します。
1. **[Endpoint]** (エンドポイント) に、通知を送信する先の E メールアドレスを入力します。
1. **[Create subscription]** (サブスクリプションの作成) を選択します。
サブスクリプションを作成した後に、E メールを通してサブスクリプションを確認する必要があります。
1. サブスクリプションメッセージを確認するには、E メールの受信ボックスに移動して、サブスクリプションメッセージで **[Confirm subscription]** (サブスクリプションの確認) を選択します。
**注記**
メール確認のステータスを確認するには、SNS コンソールに移動して **[Subscriptions]** (サブスクリプション) を選択します。
**GuardDuty の検出結果をキャプチャしてフォーマットする EventBridge ルールを作成するには**
1. [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) で EventBridge コンソールを開きます。
1. ナビゲーションペインで **[ルール]** を選択します。
1. **[ルールの作成]** を選択します。
1. ルールの名前と説明を入力します。
ルールには同じリージョン内および同じイベントバス上の別のルールと同じ名前を付けることはできません。
1. **[イベントバス]** として、**[デフォルト]** を選択します。
1. **[ルールタイプ]** では、**[イベントパターンを持つルール]** を選択します。
1. **[Next]** (次へ) を選択します。
1. **[Event source]** (イベントソース) で、**[AWS events]** (イベント) を選択します。
1. **[イベントパターン]** で、**[イベントパターンフォーム]** を選択します。
1. **[イベントパターンフォーム]** では、**AWS [サービス]** を選択します。
1. **[AWS service]** ( サービス) では、**[GuardDuty]** を選択します。
1. **[Event Type]** (イベントタイプ) では、**[GuardDuty Finding]** (GuardDuty の検出結果) を選択します。
1. **[Next]** (次へ) を選択します。
1. **[ターゲットタイプ]** では、**AWS [サービス]** を選択します。
1. **[Select a target]** (ターゲットの選択) では、**[SNS topic]** (SNS トピック) を選択し、**[Topic]** (トピック) では、以前に作成した SNS トピックの名前を選択します。
1. **[Additional settings]** (追加設定) セクションの **[Configure target input]** (ターゲット入力の設定) では、**[Input transformer]** (入力トランスフォーマー) を選択します。
入力トランスフォーマーを追加すると、GuardDuty から送信される JSON 検出結果データが、人が読み取り可能なメッセージに書式設定されます。
1. **[Configure input transformer]** (入力トランスフォーマーの設定) を選択します。
1. **[Target input transformer]** (ターゲット入力トランスフォーマー) セクションで、**[Input path]** (入力パス) に以下のコードを貼り付けます。
```
{
"severity": "$.detail.severity",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_Description": "$.detail.description"
}
```
1. E メールをフォーマットするには、**[テンプレート]** に次のコードを貼り付けて、赤色のテキストを自分のリージョンに適した値に置き換えてください。
```
"You have a severity <{{severity}}> GuardDuty finding type <{{Finding_Type}}> in the <{{region}}> region."
"Finding Description:"
"<{{Finding_Description}}>."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<{{region}}>#/findings?search=id%3D<{{Finding_ID}}>"
```
1. **[確認]** を選択します。
1. **[次へ]** をクリックします。
1. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、*Amazon EventBridge ユーザーガイド*の[Amazon EventBridge のタグ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)を参照してください。
1. **次へ**をクリックします。
1. ルールの詳細を確認し、**[ルールの作成]** を選択します。
1. (オプション) ステップ 2 のプロセスでサンプル検出結果を生成して、新しいルールをテストします。生成されたサンプル検出結果ごとにメールが届きます。
## 次のステップ
GuardDuty を引き続き使用すると、環境に関連する検出結果の種類を理解できるようになります。新しい検出結果を受け取ったときはいつでも、検出結果の詳細ペイン中の検出結果の記述から **[詳細はこちら]** を選択することにより、あるいは [GuardDuty 検出結果タイプ](guardduty_finding-types-active.md) の検出結果名を探すことにより、その検出結果に関する修復に関するレコメンデーションを含む情報を検索できます。
以下の機能は、GuardDuty を調整して AWS 、環境に最も関連性の高い検出結果を提供できるようにするのに役立ちます。
+ インスタンス ID、アカウント ID、S3 バケット名などの特定の条件に基づいて検出結果を簡単に並べ替えるには、GuardDuty 内でフィルターを作成して保存できます。詳細については、「[GuardDuty での検出結果のフィルタリング](guardduty_filter-findings.md)」を参照してください。
+ 環境内で予想される動作に関する検出結果を受け取っている場合は、[[suppression rules]](findings_suppression-rule.md) (抑制ルール) で定義した基準に基づいて検出結果を自動的にアーカイブできます。
+ 信頼できる IP のサブセットから検出結果を生成しないようにしたり、GuardDuty が通常のモニタリング範囲外の IP をモニタリングするには、[[Trusted IP and threat lists]](guardduty_upload-lists.md) (信頼されている IP および脅威リスト) をセットアップできます。