翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon GuardDuty とは
Amazon GuardDuty は、 AWS 環境内の AWS データソースとログを継続的にモニタリング、分析、処理する脅威検出サービスです。GuardDuty は、悪意のある IP アドレスとドメインのリスト、ファイルハッシュ、機械学習 (ML) モデルなどの脅威インテリジェンスフィードを使用して、 AWS 環境内の疑わしいアクティビティや悪意のある可能性のあるアクティビティを特定します。次に、GuardDuty で検出可能な脅威シナリオの概要を示します。
+ 漏洩した AWS 認証情報。
+ データを引き出し破棄することでランサムウェアイベントを引き起こす。Amazon Aurora と Amazon RDS データベースに対応したエンジンバージョンで、ログインイベントの異常なパターンが異常な動作を示唆する。
+ Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとコンテナワークロードに不正なクリプトマイニングアクティビティが見られる。
+ Amazon EC2 インスタンスとコンテナワークロードにマルウェアが存在し、Amazon Simple Storage Service (Amazon S3) バケットにファイルが新規にアップロードされる。
+ オペレーティングシステムレベルイベント、ネットワークイベント、ファイルイベントにより、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター、Amazon Elastic Container Service (Amazon ECS)、 AWS Fargate タスク、Amazon EC2 インスタンス、コンテナワークロードでの不正な動作が示唆される。
次の動画では、GuardDuty で AWS 環境内の脅威をどのように検出できるのかを簡単に説明しています。
[](http://www.youtube.com/watch?v=ng14ToMXnTA)
**Topics**
+ [GuardDuty の機能](#features-of-guardduty)
+ [PCI DSS コンプライアンス](#guardduty-pci-dss-compliance)
+ [GuardDuty の料金](guardduty-pricing.md)
+ [GuardDuty へのアクセス](guardduty-access.md)
## GuardDuty の機能
Amazon GuardDuty が AWS 環境内の潜在的な脅威のモニタリング、検出、管理に役立つ主な方法をいくつか紹介します。
**特定のデータソースとイベントログを継続してモニタリングする**
+ **基本的な脅威の検出** – で GuardDuty を有効にすると AWS アカウント、GuardDuty はそのアカウントに関連付けられた基本的なデータソースの取り込みを自動的に開始します。こうしたデータソースには、 AWS CloudTrail 管理イベント、VPC フローログ (Amazon EC2 インスタンスから生成)、DNS ログなどがあります。GuardDuty がこれらのデータソースの分析と処理を開始して関連付けられたセキュリティ検出結果を生成するのに、他のものを有効にする必要はありません。詳細については、「[GuardDuty 基本データソース](guardduty_data-sources.md)」を参照してください。
+ **拡張脅威検出** – この機能は、 内の基本的なデータソース、複数のタイプの AWS リソース、および時間にわたるマルチステージ攻撃を検出します AWS アカウント。アカウントには、個々に見れば脅威として現れないイベントが複数存在する場合があります。ただし、これらのイベントが疑わしいアクティビティを示すシーケンスで観察された場合、GuardDuty はそれを攻撃シーケンスとして識別します。GuardDuty は、関連する攻撃シーケンスの検出結果タイプを生成して通知し、観測された攻撃シーケンスに関する詳細を提供します。
追加コストなしで、拡張脅威検出は GuardDuty を有効にする AWS アカウント と、それぞれに対して自動的に有効になります。この機能では、ユースケースに特化した保護プランを有効にする必要はありません。ただし、Amazon S3 リソースに対するセキュリティの幅を広げるために、GuardDuty ではアカウントで S3 Protection を有効にすることをお勧めします。これにより、Extended Threat Detection は、Amazon S3 リソースに影響を与える可能性のあるマルチステージ攻撃を特定するのに役立ちます。
この機能の仕組みと対象となる脅威シナリオの詳細については、「[GuardDuty Extended Threat Detection](guardduty-extended-threat-detection.md)」を参照してください。
+ **ユースケースに焦点を当てた GuardDuty 保護プラン** – AWS 環境のセキュリティに対する脅威検出の可視性を強化するために、GuardDuty は有効にできる専用の保護プランを提供します。保護プランは、他の AWS サービスのログとイベントをモニタリングするのに役立ちます。こうしたソースには、EKS 監査ログ、RDS ログインアクティビティ、CloudTrail の Amazon S3 データイベント、EBS ボリュームのほか、Amazon EKS、Amazon EC2、Amazon ECS-Fargate 全体にわたる Runtime Monitoring や Lambda ネットワークアクティビティログなどがあります。GuardDuty では、こうしたログとイベントソースをまとめて「[機能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html)」と呼んでいます。サポートされている で 1 つ以上の専用保護プラン AWS リージョン をいつでも有効にできます。どの保護プランを有効にしているかに基づいて、GuardDuty がアクティビティのモニタリング、処理、分析を開始します。各保護プランとその仕組みの詳細については、対応する保護プランのドキュメントを参照してください。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/what-is-guardduty.html)
**Malware Protection for S3 を個別に有効にする**
GuardDuty には、Amazon GuardDuty サービスを有効にすることなく Malware Protection for S3 を個別に使用できるという柔軟性があります。Malware Protection for S3 のみを開始する方法については、「[GuardDuty Malware Protection for S3](gdu-malware-protection-s3.md)」を参照してください。これ以外の保護プランを使用する場合は、GuardDuty サービスを有効にする必要があります。
**マルチアカウント環境を管理する**
マルチアカウント AWS 環境を管理するには、 AWS Organizations (推奨) または従来の招待方法を使用します。詳細については、「[GuardDuty の複数のアカウント](guardduty_accounts.md)」を参照してください。
**検出された脅威に関するセキュリティ検出結果を生成する**
GuardDuty は、 AWS リソースに関して潜在するセキュリティ脅威を検出すると、セキュリティ検出結果の生成を開始して侵害された可能性のあるリソースを記録します。アカウントで GuardDuty を有効にしたら、[サンプルの検出結果](sample_findings.md)を生成して関連付けられた[検出結果の詳細](guardduty_findings-summary.md)を表示します。セキュリティ検出結果の詳細なリストについては、「[GuardDuty 検出結果タイプ](guardduty_finding-types-active.md)」を参照してください。
GuardDuty では、テスタースクリプトを使用して特定の GuardDuty セキュリティ検出結果を生成することもできす。これにより、GuardDuty の検出結果を確認して対応する方法を理解できます。詳細については、「[専用アカウントでの GuardDuty の検出結果のテスト](guardduty_findings-scripts.md)」を参照してください。
**セキュリティ検出結果の評価および管理**
GuardDuty は、複数のアカウントにわたるセキュリティ検出結果をまとめて、結果を GuardDuty コンソールの [概要] ダッシュボードに表示します。API、 AWS Security Hub CSPM AWS Command Line Interface、または AWS SDK を使用して検出結果を取得することもできます。現在のセキュリティ状態を全体的に把握することで、傾向と潜在する問題を識別し、必要な修復手順を実行できます。詳細については、「[GuardDuty の検出結果の管理](findings_management.md)」を参照してください。
**関連する AWS セキュリティサービスとの統合**
AWS 環境のセキュリティ傾向の分析と調査をさらに支援するには、以下の AWS セキュリティ関連サービスを GuardDuty と組み合わせて使用することを検討してください。
+ **AWS Security Hub CSPM** – このサービスは、リソースのセキュリティ状態を包括的に AWS 把握し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS サービス (Amazon Macie を含む) およびサポートされている AWS パートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub CSPM は、セキュリティの傾向を分析し、 AWS 環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。
GuardDuty と Security Hub CSPM を一緒に使用する方法については、「」を参照してください[GuardDuty と の統合 AWS Security Hub CSPM](guardduty_integrations.md#gd-securityhub)。Security Hub CSPM の詳細については、[AWS Security Hub 「 ユーザーガイド](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)」を参照してください。
+ **Amazon Detective** - このサービスを使用すると、セキュリティに関する検出結果や疑わしいアクティビティを分析し、調査して根本原因を迅速に特定できます。Detective は、 AWS リソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。Detective の事前に作成されたデータの集計、要約、およびコンテキストは、考えられるセキュリティ問題の性質と範囲を分析して特定するのに役立ちます。
GuardDuty と Detective を共に使用する方法については、「[GuardDuty と Amazon Detective の統合](guardduty_integrations.md#gd-detective)」を参照してください。Detective の詳細については、「[Amazon Detective ユーザーガイド](https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html)」を参照してください。
+ **Amazon EventBridge** - このサービスを使用すると、通知を受け取って GuardDuty のセキュリティ検出結果にほぼリアルタイムに対応できます。検出結果に変化があると、GuardDuty はイベントを作成します。EventBridge から通知を受け取る頻度を選択できます。詳細については、「*Amazon EventBridge* ユーザーガイド」の「[Amazon EventBridge とは](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)」を参照してください。
## PCI DSS コンプライアンス
GuardDuty は、加盟店またはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および送信をサポートし、Payment Card Industry (PCI) データセキュリティスタンダード (DSS) に準拠していることが検証されています。PCI コンプライアンスパッケージのコピーをリクエストする方法など、 AWS PCI DSS の詳細については、[「PCI DSS レベル 1](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)」を参照してください。
詳細については、「*AWS セキュリティブログ*」の「[New third-party test compares Amazon GuardDuty to network intrusion detection systems](https://aws.amazon.com/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/)」を参照してください。