翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# GuardDuty が使用する収集されたランタイムイベントタイプ
GuardDuty セキュリティエージェントは、以下のイベントタイプを収集し、脅威の検出と分析のために GuardDuty バックエンドに送信します。GuardDuty では、これらのイベントにはアクセスできません。GuardDuty が潜在的な脅威を検出し、「[Runtime Monitoring の検出結果タイプ](findings-runtime-monitoring.md)」を生成した場合は、対応する検出結果の詳細を表示できます。
GuardDuty が Runtime Monitoring で収集したイベントタイプをどのように使用するかについては、「[サービス改善のためのデータ使用をオプトアウトする](guardduty-opting-out-using-data.md)」を参照してください。
## イベントを処理する
プロセスイベントは、Amazon EC2 インスタンスとコンテナワークロードで実行されているプロセスに関連する情報を表します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するプロセスイベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| プロセス名 | 監視されたプロセスの名前。 |
| プロセスパス | プロセスの実行可能ファイルの絶対パス。 |
| プロセス ID | オペレーティングシステムによってプロセスに割り当てられた ID。 |
| 名前空間 PID | ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。 |
| プロセスユーザー ID | プロセスを実行したユーザーの固有 ID。 |
| プロセス UUID。 | GuardDuty によってプロセスに割り当てられた一意の ID。 |
| プロセス GID。 | プロセスグループのプロセス ID。 |
| プロセス EGID。 | プロセスグループの実効グループ ID。 |
| プロセス EUID。 | プロセスの実効ユーザー ID。 |
| プロセスユーザー名 | プロセスを実行したユーザー名。 |
| プロセス開始時間 | プロセスが作成された時間。このフィールドは、UTC 日付文字列形式 (`2023-03-22T19:37:20.168Z`)です。 |
| プロセスの実行可能ファイル SHA-256 | プロセスの実行可能ファイルの `SHA256` ハッシュ。 |
| プロセススクリプトパス | 実行されたスクリプトファイルのパス。 |
| プロセス環境変数 | プロセスで利用可能になった環境変数。`LD_PRELOAD` および `LD_LIBRARY_PATH` のみ収集可能です。 |
| プロセス現在の作業ディレクトリ (PWD) | プロセスの現在の作業ディレクトリ。 |
| 親プロセス | 親プロセスのプロセス詳細。親プロセスとは、監視対象のプロセスを作成したプロセスです。 |
| コマンドライン引数 現在、このフィールドはリソースタイプに対応する特定のエージェントバージョンに制限されています。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/runtime-monitoring-collected-events.html) 詳細については、「[GuardDuty セキュリティエージェントのリリースバージョン](runtime-monitoring-agent-release-history.md)」を参照してください。 | プロセスの実行時に提供されるコマンドライン引数。このフィールドには機密の顧客データが含まれている可能性があります。 |
## コンテナイベント
コンテナイベントは、コンテナワークロードのアクティビティに関連する情報を表します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するコンテナワークロードイベントのフィールド名と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| コンテナ名 | コンテナの名前。 使用可能な場合、このフィールドには `io.kubenetes.container.name` ラベルの値が表示されます。 |
| コンテナ UID | コンテナランタイムによって割り当てられたコンテナの固有の ID。 |
| コンテナランタイム | コンテナの実行に使用されたコンテナランタイム (`docker` または `containerd` など)。 |
| コンテナイメージ ID | コンテナのイメージの ID。 |
| コンテナイメージ名 | コンテナイメージの名前。 |
## AWS Fargate (Amazon ECS のみ) タスクイベント
Fargate-Amazon ECS タスクイベントは、Fargate コンピューティングで実行されている Amazon ECS タスクに関連付けられたアクティビティを表します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する Amazon ECS-Fargate タスクイベントのフィールド名と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| タスク Amazon リソースネーム (ARN) | タスクの ARN。 |
| クラスター名 | Amazon ECS クラスターの名前。 |
| [Family Name] (姓) | タスク定義のファミリー名。`family` は、タスクを起動するために使用されるタスク定義の名前として使用されます。 |
| サービス名 | タスクがサービスの一部として起動された場合の Amazon ECS サービスの名前。 |
| 起動タイプ | タスクが実行されるインフラストラクチャ。`ECSCluster` のリソースタイプの Runtime Monitoring では、起動タイプは `EC2` または `FARGATE` のどちらかになります。 |
| CPU | タスク定義に示されている、タスクで使用される CPU ユニットの数。 |
## Kubernetes ポッドイベント
次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する Kubernetes ポッドイベントのフィールド名と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| ポッド ID | Kubernetes ポッドの ID。 |
| ポッド名 | Kubernetes ポッドの名前。 |
| ポッド名前空間 | Kubernetes ワークロードが属する Kubernetes 名前空間の名前。 |
| Kubernetes クラスター名 | Kubernetes クラスターの名前。 |
## ドメインネームシステム (DNS) イベント
ドメインネームシステム (DNS) イベントには、リソースタイプと対応するレスポンスによって行われた DNS クエリの詳細が含まれます。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する DNS イベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| ソケットタイプ | 通信セマンティクスを示すソケットのタイプ。例えば、`SOCK_RAW`。 |
| アドレスファミリー | アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー `AF_INET` は IP v4 プロトコルに使用されます。 |
| 方向 ID | 接続方向の ID。 |
| プロトコル番号 | レイヤー 4 プロトコル番号。例えば UDP の場合は 17、TCP の場合は 6 です。 |
| DNS リモートエンドポイント IP | 接続のリモート IP。 |
| DNS リモートエンドポイントポート | 接続のポート番号。 |
| DNS ローカルエンドポイント IP | 接続のローカル IP。 |
| DNS ローカルエンドポイントポート | 接続のポート番号。 |
| DNS ペイロード | DNS クエリと応答を含む DNS パケットのペイロード。 |
## オープンイベント
オープンイベントは、ファイルアクセスと変更に関連付けられます。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するオープンイベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| Filepath | このイベントで開かれるファイルのパス。 |
| フラグ | 読み込み専用、書き込み専用、読み込み/書き込みなどのファイルアクセスモードについて説明します。 |
## ロードモジュールのイベント
次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するロードモジュールイベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| モジュール名 | カーネルにロードされたモジュールの名前。 |
## モプロテクトイベント
Mprotect イベントは、モニタリング対象のシステムで実行されているプロセスのメモリ保護設定の変更に関する情報を提供します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する Mprotect イベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| アドレス範囲 | アクセス保護が変更されたアドレス範囲。 |
| メモリ領域 | スタックやヒープなど、プロセスのアドレス空間のリージョンを指定します。 |
| フラグ | このイベントの動作をコントロールするオプションを示します。 |
## マウントイベント
マウントイベントは、モニタリング対象のリソースでのファイルシステムのマウントとアンマウントに関連する情報を提供します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するマウントイベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| マウントターゲット | マウントソースがマウントされているパス。 |
| マウントソース | マウントターゲットにマウントされているホスト上のパス。 |
| ファイルシステムタイプ | マウントされているファイルシステムのタイプを示します。 |
| フラグ | このイベントの動作をコントロールするオプションを示します。 |
## リンクイベント
リンクイベントは、モニタリング対象のリソース内のファイルシステムリンク管理アクティビティを可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するリンクイベントのフィールド名と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| リンクパス | ハードリンクが作成されるパス。 |
| ターゲットパス | ハードリンクが指すファイルのパス。 |
## Symlink イベント
Symlink イベントは、モニタリング対象のリソース内のファイルシステムのシンボリックリンク管理アクティビティを可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するシンボリックリンクイベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| リンクパス | Symlink リンクが作成されるパス。 |
| ターゲットパス | Symlink リンクが指すファイルのパス。 |
## Dup イベント
Dup イベントは、モニタリング対象のリソースで実行されているプロセスによるファイル記述子の重複を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する dup イベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| 古いファイルディスクリプタ | 開いているファイルオブジェクトを表すファイル記述子。 |
| 新規ファイルディスクリプタ | 古いファイル記述子の複製である新しいファイル記述子。古いファイル記述子と新しいファイル記述子はどちらも同じ開いているファイルオブジェクトを示します。 |
| Dup リモートエンドポイント IP | 古いファイル記述子で表されるネットワークソケットのリモート IP アドレス。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。 |
| Dup リモートエンドポイントポート | 古いファイル記述子で表されるネットワークソケットのリモートポート。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。 |
| Dup ローカルエンドポイント IP | 古いファイルディスクリプタで表されるネットワークソケットのローカル IP アドレス。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。 |
| Dup ローカルエンドポイントポート | 古いファイル記述子で表されるネットワークソケットのローカルポート。古いファイル記述子がネットワークソケットを示す場合にのみ適用されます。 |
## メモリマッピングイベント
次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するメモリマップイベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| Filepath | メモリがマッピングされているファイルのパス。 |
## ソケットイベント
ソケットイベントは、モニタリング対象のリソースのアクティビティで使用されるネットワークソケット接続に関する情報を提供します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するソケットイベントのフィールド名と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| アドレスファミリー | アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー `AF_INET` は IP バージョンの 4 プロトコルに使用されます。 |
| ソケットタイプ | 通信セマンティクスを示すソケットのタイプ。例えば、`SOCK_RAW`。 |
| プロトコル番号 | アドレスファミリー内の特定のプロトコルを指定します。通常、アドレスファミリーには単一のプロトコルがあります。例えば、アドレスファミリー `AF_INET` には IP プロトコルしかありません。 |
## イベントを接続
接続イベントは、モニタリング対象のリソース上のプロセスによって確立されたネットワーク接続を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する接続イベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| アドレスファミリー | アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー `AF_INET` は IP v4 プロトコルに使用されます。 |
| ソケットタイプ | 通信セマンティクスを示すソケットのタイプ。例えば、`SOCK_RAW`。 |
| プロトコル番号 | アドレスファミリー内の特定のプロトコルを指定します。通常、アドレスファミリーには単一のプロトコルがあります。例えば、アドレスファミリー `AF_INET` には IP プロトコルしかありません。 |
| Filepath | アドレスファミリーが `AF_UNIX` の場合のソケットファイルのパス。 |
| リモートエンドポイント IP | 接続のリモート IP。 |
| リモートエンドポイントポート | 接続のポート番号。 |
| ローカルエンドポイント IP | 接続のローカル IP。 |
| ローカルエンドポイントポート | 接続のポート番号。 |
## VM Readv イベントの処理
プロセス VM readv イベントは、プロセスによって独自の仮想メモリ領域で実行される読み取り操作を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するプロセス VM readv イベントのフィールド名と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| フラグ | このイベントの動作をコントロールするオプションを示します。 |
| ターゲット PID | メモリを読み込んでいるプロセスのプロセス ID。 |
| ターゲットプロセスの UUID | ターゲットプロセスの一意の ID。 |
| ターゲットの実行可能ファイルのパス | ターゲットプロセスの実行可能ファイルの絶対パス。 |
## VM Writev イベントの処理
プロセス VM writev イベントは、プロセスによって独自の仮想メモリ領域で実行される書き込み操作を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するプロセス VM writev イベントのフィールド名と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| フラグ | このイベントの動作をコントロールするオプションを示します。 |
| ターゲット PID | メモリが書き込まれているプロセスのプロセス ID。 |
| ターゲットプロセスの UUID | ターゲットプロセスの一意の ID。 |
| ターゲットの実行可能ファイルのパス | ターゲットプロセスの実行可能ファイルの絶対パス。 |
## プロセストレース (Ptrace) イベント
プロセストレース (Ptrace) システムコールは、あるプロセス (トレーサー) が別のプロセス (トレース) の実行を監視および制御できるようにするデバッグおよびトレースメカニズムです。これにより、トレーサーはターゲットプロセスのメモリ、レジスタ、実行フローを検査および変更できます。
Ptrace イベントは、モニタリング対象のリソースで実行されているプロセスによる ptrace システムコールの使用を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する ptrace イベントのフィールド名と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| ターゲット PID | ターゲットプロセスのプロセス ID。 |
| ターゲットプロセスの UUID | ターゲットプロセスの一意の ID。 |
| ターゲットの実行可能ファイルのパス | ターゲットプロセスの実行可能ファイルの絶対パス。 |
| フラグ | このイベントの動作をコントロールするオプションを示します。 |
## バインドイベント
バインドイベントは、モニタリング対象のリソースで実行されているプロセスによるネットワークソケットのバインドを可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するバインドイベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| アドレスファミリー | アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー `AF_INET` は IP v4 プロトコルに使用されます。 |
| ソケットタイプ | 通信セマンティクスを示すソケットのタイプ。例えば、`SOCK_RAW`。 |
| プロトコル番号 | レイヤー 4 プロトコル番号。例えば UDP の場合は 17、TCP の場合は 6 です。 |
| ローカルエンドポイント IP | 接続のローカル IP。 |
| ローカルエンドポイントポート | 接続のポート番号。 |
## リッスンイベント
リッスンイベントは、ネットワークソケットのリッスン状態を可視化し、ネットワークソケットが受信接続を受け入れる準備ができているかどうかを示します。モニタリング対象のリソースで実行されるプロセスは、ネットワークソケットをリッスン状態に設定します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集するリスンイベントのフィールド名と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| アドレスファミリー | アドレスに関連付けられた通信プロトコルを示します。例えば、アドレスファミリー `AF_INET` は IP v4 プロトコルに使用されます。 |
| ソケットタイプ | 通信セマンティクスを示すソケットのタイプ。例えば、`SOCK_RAW`。 |
| プロトコル番号 | レイヤー 4 プロトコル番号。例えば UDP の場合は 17、TCP の場合は 6 です。 |
| ローカルエンドポイント IP | 接続のローカル IP。 |
| ローカルエンドポイントポート | 接続のポート番号。 |
## 名前変更イベント
名前変更イベントは、モニタリング対象のリソースで実行されているプロセスによるファイルとディレクトリの名前変更に関する情報を提供します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する名前変更イベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| Filepath | 名前が変更されたファイルがあるパス。 |
| ターゲット | ファイルの新しいパス。 |
## ユーザー ID (UID) 設定イベント
ユーザー ID (UID) 設定イベントは、モニタリング対象のリソースで実行中のプロセスに関連付けられたユーザー ID (UID) に加えられた変更を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する UID 設定イベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| 新しい EUID | プロセスの新しい実効ユーザー ID。 |
| 新しい UID | プロセスの新しいユーザー ID。 |
## Chmod イベント
Chmod イベントは、モニタリング対象のリソース上のファイルとディレクトリのアクセス許可 (モード) の変更を可視化します。次の表に、Runtime Monitoring が潜在的な脅威を検出するために収集する chmod イベントの名前と説明を示します。
| フィールド名 | 説明 |
| --- | --- |
| Filepath | このイベントを呼び出すファイルのパス。 |
| Filemode | 関連付けられたファイルの更新されたアクセス許可。 |