amazon guardduty - amazon guard duty ユーザーガ … guardduty amazon guard duty...

Amazon GuardDutyAmazon Guard Duty ユーザーガイド

Amazon GuardDuty Amazon Guard Duty ユーザーガイド

Amazon GuardDuty: Amazon Guard Duty ユーザーガイドCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.


Table of ContentsAmazon GuardDuty とは ..................................................................................................................... 1

GuardDuty の料金表 .................................................................................................................... 1GuardDuty へのアクセス ............................................................................................................. 1

Amazon GuardDuty でデータソースを使用する方法 ................................................................................. 2AWS CloudTrail イベントログ ...................................................................................................... 2VPC フローログ ......................................................................................................................... 3DNS ログ .................................................................................................................................. 3

Amazon GuardDuty の用語と概念 ......................................................................................................... 4Amazon GuardDuty サービスの制限 ...................................................................................................... 6Amazon GuardDuty がサポートされているリージョン .............................................................................. 8Amazon GuardDuty のセットアップ ...................................................................................................... 9

Amazon GuardDuty を有効にする ................................................................................................. 9Amazon GuardDuty 無料トライアル ............................................................................................ 11

Amazon GuardDuty へのアクセスを管理する ........................................................................................ 12GuardDuty の有効化に必要なアクセス権限 ................................................................................... 12サービスにリンクされたロールによる GuardDuty へのアクセス権限の委任 ....................................... 13IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する .................... 14

GuardDuty での AWS 管理 (事前定義) ポリシー .................................................................... 14カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 .......................................... 15カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与 .............................. 16カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否 ....................................... 16カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 ................................. 17

Amazon GuardDuty 結果 .................................................................................................................... 20GuardDuty 結果の検索と分析 ...................................................................................................... 20GuardDuty 結果のアーカイブとフィードバックの提供 .................................................................... 22GuardDuty 結果のフィルタリングと自動アーカイブ ....................................................................... 22GuardDuty 結果の重要度 ............................................................................................................ 22GuardDuty 結果サンプルの生成 ................................................................................................... 23PoC (実証支援) - 複数の一般的な結果と GuardDuty 結果の自動生成 ................................................. 23Amazon GuardDuty の結果タイプ ............................................................................................... 24

結果タイプの形式 .............................................................................................................. 25GuardDuty のアクティブな結果タイプの詳細なリスト ............................................................ 26GuardDuty のリタイアしている結果タイプの詳細なリスト ...................................................... 38

Amazon GuardDuty によって検出されたセキュリティ問題の修復 ..................................................... 39侵害された EC2 インスタンスの修正 ................................................................................... 39侵害された AWS 認証情報の修正 ........................................................................................ 39

信頼できる IP リストと脅威リストの使用 ............................................................................................. 41信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 ........................ 42信頼されている IP リストと脅威リストをアップロードするには ...................................................... 42信頼されている IP リストや脅威リストを有効化または無効化にする ................................................ 43信頼されている IP リストと脅威リストを更新するには ................................................................... 43

Amazon GuardDuty で AWS アカウントを管理する ............................................................................... 45GuardDuty マスターアカウント ................................................................................................... 45GuardDuty メンバーアカウント ................................................................................................... 46GuardDuty コンソールでマスターアカウントとメンバーアカウントを指定する .................................. 47GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定 ......................... 48複数のアカウントで同時に GuardDuty を有効にする ...................................................................... 49

Amazon GuardDuty の停止または無効化 .............................................................................................. 51Amazon CloudWatch Events で Amazon GuardDuty の結果をモニタリングする ......................................... 52

GuardDuty の CloudWatch イベントルールおよびターゲットの作成 ................................................ 52Amazon GuardDuty の API リファレンス ............................................................................................. 54

AcceptInvitation ........................................................................................................................ 55リクエストの構文 .............................................................................................................. 55パスパラメーター .............................................................................................................. 55

iii


リクエストパラメータ ....................................................................................................... 55レスポンス要素 ................................................................................................................. 56エラー ............................................................................................................................. 56例 ................................................................................................................................... 57

ArchiveFindings ........................................................................................................................ 58リクエストの構文 .............................................................................................................. 58パスパラメーター .............................................................................................................. 58リクエストパラメータ ....................................................................................................... 58レスポンス要素 ................................................................................................................. 58エラー ............................................................................................................................. 59例 ................................................................................................................................... 59

CreateDetector ......................................................................................................................... 60リクエストの構文 .............................................................................................................. 60リクエストパラメータ ....................................................................................................... 60レスポンスの構文 .............................................................................................................. 61レスポンス要素 ................................................................................................................. 61エラー ............................................................................................................................. 61例 ................................................................................................................................... 62

CreateFilter .............................................................................................................................. 62リクエストの構文 .............................................................................................................. 62パスパラメーター .............................................................................................................. 63リクエストパラメータ ....................................................................................................... 63レスポンスの構文 .............................................................................................................. 66レスポンス要素 ................................................................................................................. 66エラー ............................................................................................................................. 67

CreateIPSet ............................................................................................................................. 68リクエストの構文 .............................................................................................................. 68パスパラメーター .............................................................................................................. 68リクエストパラメータ ....................................................................................................... 69レスポンスの構文 .............................................................................................................. 69レスポンス要素 ................................................................................................................. 70エラー ............................................................................................................................. 70例 ................................................................................................................................... 71

CreateMembers ........................................................................................................................ 72リクエストの構文 .............................................................................................................. 72パスパラメーター .............................................................................................................. 72リクエストパラメータ ....................................................................................................... 73レスポンスの構文 .............................................................................................................. 73レスポンス要素 ................................................................................................................. 73エラー ............................................................................................................................. 74例 ................................................................................................................................... 75

CreateSampleFindings ............................................................................................................... 75リクエストの構文 .............................................................................................................. 76パスパラメーター .............................................................................................................. 76リクエストパラメータ ....................................................................................................... 76レスポンス要素 ................................................................................................................. 76エラー ............................................................................................................................. 76例 ................................................................................................................................... 77

CreateThreatIntelSet .................................................................................................................. 78リクエストの構文 .............................................................................................................. 78パスパラメーター .............................................................................................................. 78リクエストパラメータ ....................................................................................................... 78レスポンスの構文 .............................................................................................................. 79レスポンス要素 ................................................................................................................. 79エラー ............................................................................................................................. 80例 ................................................................................................................................... 81

DeclineInvitations ...................................................................................................................... 82

iv


リクエストの構文 .............................................................................................................. 82リクエストパラメータ ....................................................................................................... 82レスポンスの構文 .............................................................................................................. 83レスポンス要素 ................................................................................................................. 83エラー ............................................................................................................................. 83例 ................................................................................................................................... 84

DeleteDetector .......................................................................................................................... 84リクエストの構文 .............................................................................................................. 84パスパラメーター .............................................................................................................. 85レスポンス要素 ................................................................................................................. 85エラー ............................................................................................................................. 85例 ................................................................................................................................... 86

DeleteFilter .............................................................................................................................. 86リクエストの構文 .............................................................................................................. 86パスパラメーター .............................................................................................................. 85レスポンス要素 ................................................................................................................. 85エラー ............................................................................................................................. 85

DeleteInvitations ....................................................................................................................... 88リクエストの構文 .............................................................................................................. 88リクエストパラメータ ....................................................................................................... 88レスポンスの構文 .............................................................................................................. 88レスポンス要素 ................................................................................................................. 89エラー ............................................................................................................................. 89例 ................................................................................................................................... 90

DeleteIPSet .............................................................................................................................. 90リクエストの構文 .............................................................................................................. 90パスパラメーター .............................................................................................................. 91レスポンスの構文 .............................................................................................................. 91エラー ............................................................................................................................. 91例 ................................................................................................................................... 92

DeleteMembers ........................................................................................................................ 93リクエストの構文 .............................................................................................................. 93パスパラメーター .............................................................................................................. 93リクエストパラメータ ....................................................................................................... 93レスポンスの構文 .............................................................................................................. 94レスポンス要素 ................................................................................................................. 94エラー ............................................................................................................................. 94例 ................................................................................................................................... 95

DeleteThreatIntelSet .................................................................................................................. 96リクエストの構文 .............................................................................................................. 96パスパラメーター .............................................................................................................. 96レスポンスの構文 .............................................................................................................. 96エラー ............................................................................................................................. 96例 ................................................................................................................................... 97

DisassociateFromMasterAccount ................................................................................................. 98リクエストの構文 .............................................................................................................. 98パスパラメーター .............................................................................................................. 98レスポンス要素 ................................................................................................................. 98エラー ............................................................................................................................. 99例 ................................................................................................................................... 99

DisassociateMembers .............................................................................................................. 100リクエストの構文 ............................................................................................................ 100リクエストパラメータ ...................................................................................................... 100リクエストパラメータ ...................................................................................................... 100レスポンスの構文 ............................................................................................................ 101レスポンス要素 ............................................................................................................... 101エラー ........................................................................................................................... 101

v


例 ................................................................................................................................. 102GetDetector ............................................................................................................................ 103

リクエストの構文 ............................................................................................................ 103パスパラメーター ............................................................................................................ 103レスポンスの構文 ............................................................................................................ 103レスポンス要素 ............................................................................................................... 103エラー ........................................................................................................................... 104例 ................................................................................................................................. 105

GetFilter ................................................................................................................................. 105リクエストの構文 ............................................................................................................ 105パスパラメーター ............................................................................................................ 105レスポンスの構文 ............................................................................................................ 106レスポンス要素 ............................................................................................................... 106エラー ........................................................................................................................... 108

GetFindings ............................................................................................................................ 109リクエストの構文 ............................................................................................................ 109パスパラメーター ............................................................................................................ 109リクエストパラメータ ...................................................................................................... 109レスポンスの構文 ............................................................................................................ 110レスポンス要素 ............................................................................................................... 113エラー ........................................................................................................................... 122例 ................................................................................................................................. 123

GetFindingsStatistics ................................................................................................................ 126リクエストの構文 ............................................................................................................ 126パスパラメーター ............................................................................................................ 127リクエストパラメータ ...................................................................................................... 127レスポンスの構文 ............................................................................................................ 128レスポンス要素 ............................................................................................................... 128エラー ........................................................................................................................... 128例 ................................................................................................................................. 129

GetInvitationsCount ................................................................................................................. 130リクエストの構文 ............................................................................................................ 130レスポンスの構文 ............................................................................................................ 130レスポンス要素 ............................................................................................................... 130エラー ........................................................................................................................... 130例 ................................................................................................................................. 131

GetIPSet ................................................................................................................................ 131リクエストの構文 ............................................................................................................ 132パスパラメーター ............................................................................................................ 132レスポンスの構文 ............................................................................................................ 132レスポンス要素 ............................................................................................................... 132エラー ........................................................................................................................... 133例 ................................................................................................................................... 92

GetMasterAccount ................................................................................................................... 134リクエストの構文 ............................................................................................................ 134パスパラメーター ............................................................................................................ 135レスポンスの構文 ............................................................................................................ 135レスポンス要素 ............................................................................................................... 135エラー ........................................................................................................................... 136例 ................................................................................................................................. 136

GetMembers ........................................................................................................................... 137リクエストの構文 ............................................................................................................ 137パスパラメーター ............................................................................................................ 137リクエストパラメータ ...................................................................................................... 137レスポンスの構文 ............................................................................................................ 138レスポンス要素 ............................................................................................................... 138エラー ........................................................................................................................... 139

vi


例 ................................................................................................................................. 140GetThreatIntelSet .................................................................................................................... 141

リクエストの構文 ............................................................................................................ 141パスパラメーター ............................................................................................................ 141レスポンスの構文 ............................................................................................................ 142レスポンス要素 ............................................................................................................... 142エラー ........................................................................................................................... 142例 ................................................................................................................................. 143

InviteMembers ........................................................................................................................ 144リクエストの構文 ............................................................................................................ 144パスパラメーター ............................................................................................................ 144リクエストパラメータ ...................................................................................................... 144レスポンスの構文 ............................................................................................................ 145レスポンス要素 ............................................................................................................... 145エラー ........................................................................................................................... 146例 ................................................................................................................................. 147

ListDetectors ........................................................................................................................... 147リクエストの構文 ............................................................................................................ 147リクエストパラメータ ...................................................................................................... 148レスポンスの構文 ............................................................................................................ 148レスポンス要素 ............................................................................................................... 148エラー ........................................................................................................................... 149例 ................................................................................................................................. 149

ListFilters ............................................................................................................................... 150リクエストの構文 ............................................................................................................ 150パスパラメーター ............................................................................................................ 150レスポンスの構文 ............................................................................................................ 151レスポンス要素 ............................................................................................................... 151エラー ........................................................................................................................... 151

ListFindings ............................................................................................................................ 152リクエストの構文 ............................................................................................................ 152パスパラメーター ............................................................................................................ 153リクエストパラメータ ...................................................................................................... 153レスポンスの構文 ............................................................................................................ 156レスポンス要素 ............................................................................................................... 151エラー ........................................................................................................................... 157例 ................................................................................................................................. 158

ListInvitations .......................................................................................................................... 159リクエストの構文 ............................................................................................................ 159リクエストパラメータ ...................................................................................................... 160レスポンスの構文 ............................................................................................................ 160レスポンス要素 ............................................................................................................... 160エラー ........................................................................................................................... 161例 ................................................................................................................................. 162

ListIPSets ............................................................................................................................... 162リクエストの構文 ............................................................................................................ 163パスパラメーター ............................................................................................................ 163リクエストパラメータ ...................................................................................................... 163レスポンスの構文 ............................................................................................................ 163レスポンス要素 ............................................................................................................... 164エラー ........................................................................................................................... 164例 ................................................................................................................................... 92

ListMembers ........................................................................................................................... 165リクエストの構文 ............................................................................................................ 165パスパラメーター ............................................................................................................ 166リクエストパラメータ ...................................................................................................... 166レスポンスの構文 ............................................................................................................ 167

vii


レスポンス要素 ............................................................................................................... 167エラー ........................................................................................................................... 168例 ................................................................................................................................. 169

ListThreatIntelSets ................................................................................................................... 170リクエストの構文 ............................................................................................................ 170パスパラメーター ............................................................................................................ 170リクエストパラメータ ...................................................................................................... 170レスポンスの構文 ............................................................................................................ 171レスポンス要素 ............................................................................................................... 171エラー ........................................................................................................................... 171例 ................................................................................................................................. 172

StartMonitoringMembers ........................................................................................................... 173リクエストの構文 ............................................................................................................ 173パスパラメーター ............................................................................................................ 173リクエストパラメータ ...................................................................................................... 173レスポンスの構文 ............................................................................................................ 174レスポンス要素 ............................................................................................................... 174エラー ........................................................................................................................... 174例 ................................................................................................................................. 175

StopMonitoringMembers ........................................................................................................... 176リクエストの構文 ............................................................................................................ 176パスパラメーター ............................................................................................................ 176リクエストパラメータ ...................................................................................................... 176レスポンスの構文 ............................................................................................................ 177レスポンス要素 ............................................................................................................... 177エラー ........................................................................................................................... 177例 ................................................................................................................................. 178

UnarchiveFindings ................................................................................................................... 179リクエストの構文 ............................................................................................................ 179パスパラメーター ............................................................................................................ 179リクエストパラメータ ...................................................................................................... 179レスポンス要素 ............................................................................................................... 180エラー ........................................................................................................................... 180例 ................................................................................................................................. 181

UpdateDetector ....................................................................................................................... 181リクエストの構文 ............................................................................................................ 181パスパラメーター ............................................................................................................ 182リクエストパラメータ ...................................................................................................... 182レスポンス要素 ............................................................................................................... 182エラー ........................................................................................................................... 182例 ................................................................................................................................. 183

UpdateFilter ............................................................................................................................ 183リクエストの構文 ............................................................................................................ 183パスパラメーター ............................................................................................................ 184リクエストパラメータ ...................................................................................................... 184レスポンスの構文 ............................................................................................................ 187レスポンス要素 ............................................................................................................... 187エラー ........................................................................................................................... 182例 ................................................................................................................................. 183

UpdateFindingsFeedback ......................................................................................................... 189リクエストの構文 ............................................................................................................ 189リクエストパラメータ ...................................................................................................... 190リクエストパラメータ ...................................................................................................... 190レスポンス要素 ............................................................................................................... 190エラー ........................................................................................................................... 190例 ................................................................................................................................. 191

UpdateIPSet ........................................................................................................................... 192

viii


リクエストの構文 ............................................................................................................ 192パスパラメーター .............................................................................................................. 91リクエストパラメータ ...................................................................................................... 193レスポンスの構文 ............................................................................................................ 193エラー ............................................................................................................................. 91例 ................................................................................................................................... 92

UpdateThreatIntelSet ............................................................................................................... 195リクエストの構文 ............................................................................................................ 195パスパラメーター ............................................................................................................ 196リクエストパラメータ ...................................................................................................... 196レスポンスの構文 ............................................................................................................ 196エラー ........................................................................................................................... 196例 ................................................................................................................................. 198

ドキュメント履歴 ............................................................................................................................ 199AWS の用語集 ................................................................................................................................ 201

ix

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty の料金表

Amazon GuardDuty とはAmazon GuardDuty は、次のデータソースを分析して処理する継続的なセキュリティモニタリングサービスです: VPC フローログ、AWS CloudTrail イベントログ、DNS ログ。悪意のある IP やドメインのリストなどの脅威インテリジェンスフィードおよび機械学習を使用して、AWS 環境内の予期しない潜在的に未許可なアクティビティや悪意のあるアクティビティを識別します。このアクティビティには、権限昇格や、公開されている認証情報の使用、悪意のある IP や URL、ドメインとの通信などの問題も含まれます。たとえば、GuardDuty はマルウェアやマイニングビットコインに使われている侵害された EC2 インスタンスを検出できます。また、AWS アカウントのアクセス動作をモニタリングして、未許可のインフラストラクチャのデプロイ (これまで使用されたことのないリージョンへのインスタンスのデプロイなど) や、異常なAPI コール (パスワードポリシーがパスワードの強度が下がるものに変更されるなど) など、侵害の兆候を探します。

GuardDuty では、GuardDuty コンソールまたは Amazon CloudWatch イベント (p. 52)で表示することができるセキュリティの結果 (p. 20)を生成して、AWS 環境のステータスを通知しています。

GuardDuty の料金表GuardDuty の料金の詳細については、「Amazon GuardDuty 料金表」を参照してください。

GuardDuty へのアクセス次のいずれかの方法で GuardDuty を使用できます。

GuardDuty コンソール

https://console.aws.amazon.com/guardduty

コンソールは、GuardDuty にアクセスして使用するためのブラウザベースのインターフェイスです。AWS SDK

AWS には、さまざまなプログラミング言語およびプラットフォーム(Java、Python、Ruby、.NET、iOS、Android など) のライブラリとサンプルコードで構成されたソフトウェア開発キット (SDK) が用意されています。SDK を使用すれば、GuardDuty に対するアクセス権限をプログラムで作成しやすくなります。AWS SDK のダウンロードやインストールなどの詳細については、「アマゾンウェブサービスのツール」を参照してください。

GuardDuty HTTPS API

GuardDuty の HTTPS API を使用すれば、プログラムで GuardDuty や AWS にアクセスできます。これにより、このサービスに対して HTTPS リクエストを直接発行できるようになります。詳細については、「Amazon GuardDuty の API リファレンス (p. 54)」を参照してください。

1

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html

https://aws.amazon.com/guardduty/pricing/


https://aws.amazon.com/tools/

Amazon GuardDuty Amazon Guard Duty ユーザーガイドAWS CloudTrail イベントログ

Amazon GuardDuty でデータソースを使用する方法

AWS 環境で許可されず、予期されないアクティビティを検出するために、GuardDuty は AWS CloudTrailイベントログ、VPC フローログおよび DNS ログを分析して処理します。このようなデータソースからのログは Amazon S3 バケットに保存されます。GuardDuty は HTTPS プロトコルを使用してこれらにアクセスします。これらのデータソースから GuardDuty への通信中、ログデータはすべて暗号化されます。GuardDuty はこれらのログのさまざまなフィールドを抽出して、プロファイリングと異常の検出を行った後、ログを破棄します。

次のセクションでは、GuardDuty でサポートされている各データソースを使用する方法の詳細を説明します。

トピック• AWS CloudTrail イベントログ (p. 2)• VPC フローログ (p. 3)• DNS ログ (p. 3)

AWS CloudTrail イベントログAWS CloudTrail は、アカウントの AWS API コールの履歴を提供します。履歴には、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、高レベルの AWS サービスを使用した API コールが含まれます。CloudTrail では、CloudTrail をサポートするサービス用に AWS API を呼び出したユーザーとアカウント、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定することもできます。詳細については、「AWS CloudTrail とは」を参照してください。

管理イベントあるいはデータイベント (またはその両方) のログを記録するように CloudTrail 証跡を設定できます。管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについての洞察が得られます。たとえば、セキュリティの設定 (IAM AttachRolePolicy API オペレーション)、デバイスの登録 (Amazon EC2 CreateDefaultVpc API オペレーション)、ルーティングデータのルールの設定(Amazon EC2 CreateSubnet API オペレーション)、ログ記録の設定 (AWS CloudTrail CreateTrail API オペレーション) などです。データイベントでは、リソース上またはリソース内で実行されたリソースオペレーションについての洞察が得られます。たとえば、Amazon S3 のオブジェクトレベルの API アクティビティ (GetObject、DeleteObject、および PutObject の API オペレーション)、AWS Lambda 関数の実行アクティビティ (呼び出し API) などです。詳細については、「証跡のデータイベントと管理イベントのログ記録」を参照してください。

現在のところ、GuardDuty は CloudTrail 管理イベントのみを分析します。CloudTrail で設定したログデータイベントがある場合、CloudTrail データに基づいた GuardDuty 分析と CloudTrail 自体が配信するログでは違いが生じます。

GuardDuty で CloudTrail をデータソースとして使用する場合のもう一つの重要な点は、CloudTrail のグローバルイベントの取扱いと処理です。ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されます。AWS IAM、AWS STS、Amazon CloudFront や Route 53 などのグローバルサービスの場合、イベントはグローバルサービスが含まれた任意の証跡に配信され、発生した場所は米国東部 (バージニア北部) リージョンであるとログに記録されます。詳細については、「グローバルサービスイベントについて」を参照してください。

GuardDuty は、CloudTrail がすべてのリージョンに送信するグローバルイベントを含む、リージョンに届くすべてのイベントを処理します。これにより、GuardDuty は各リージョンでユーザーとロールプロファイルを維持し、悪意のある認証情報をリージョン間で確実に検出できます。

2

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-and-data-events-with-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events

Amazon GuardDuty Amazon Guard Duty ユーザーガイドVPC フローログ

Important

GuardDuty は、サポートされているすべての AWS リージョンで有効にすることが強く推奨されています。このように設定することで、お客様が能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます。また、GuardDuty では、グローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。GuardDuty は無料またはわずかな追加料金で、アクティブなワークロードをデプロイしていないリージョンをモニタリングできます。

VPC フローログVPC フローログは、VPC の Amazon EC2 ネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャします。詳細については、「VPC フローログ」を参照してください。

Important

GuardDuty を有効にすると、ただちに VPC フローログのデータの分析が開始されます。フローログの単独ストリームおよび重複ストリームの VPC フローログ機能から直接 VPC フローログイベントを使用します。このプロセスによる既存のフローログ設定への影響はありません。GuardDuty はフローログを管理しません。また、アカウントによるフローログへのアクセスを可能にすることはありません。フローログのアクセスと保持期間を管理するには、VPC フローログ機能を設定する必要があります。フローログへの GuardDuty アクセスには追加料金はかかりません。ただし、保持するフローログを有効にするか、アカウントで使用した場合は、既存の料金表が適用されます。詳細については、「フローログの使用」を参照してください。

DNS ログEC2 インスタンスで AWS DNS リゾルバーを使用している場合 (デフォルト設定)、GuardDuty は、内部のAWS DNS リゾルバーを介して、リクエストと応答の DNS ログにアクセスして処理することができます。サードパーティの DNS リゾルバー (例: OpenDNS または GoogleDNS) を使用している場合、または独自の DNS リゾルバーを設定している場合は、GuardDuty でこのデータソースからデータにアクセスしたり処理したりすることはできません。

3

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html#working-with-flow-logs


Amazon GuardDuty の用語と概念Amazon GuardDuty の使用を開始するにあたり、その主要コンセプトを確認しておくとメリットがあります。

アカウント

AWS リソースを含む標準のアマゾンウェブサービス (AWS) アカウント。アカウントを使用してAWS にサインインし、GuardDuty を有効にできます。

他のアカウントを招待して、GuardDuty を有効にし、GuardDuty の AWS アカウントに関連付けることもできます。招待が受け入れられると、アカウントは GuardDuty のマスターアカウントとして指定され、これに追加されたアカウントはメンバーアカウントになります。これにより、マスターアカウントの代わりに GuardDuty の結果を表示および管理することができます。

マスターアカウントのユーザーは、自分のアカウントおよびすべてのメンバーアカウントのGuardDuty を設定できるだけでなく、GuardDuty の結果を表示および管理できます。GuardDuty に最大 1000 のメンバーアカウントを登録できます。

メンバーアカウントのユーザーは、自分のアカウントの GuardDuty を設定できるだけでなく、GuardDuty の結果を表示および管理できます (GuardDuty 管理コンソールまたは GuardDuty APIを使用)。メンバーアカウントのユーザーは、他のメンバーアカウントの結果を表示または管理することはできません。

AWS アカウントを GuardDuty のマスターアカウントとメンバーアカウントに同時に設定することはできません。AWS アカウントで承諾できるメンバーシップの招待は 1 つのみです。メンバーシップの招待の承諾はオプションです。

詳細については、「Amazon GuardDuty で AWS アカウントを管理する (p. 45)」を参照してください。

自動アーカイブ

自動アーカイブルールを使用すると、特定の属性の組み合わせを作成して結果数を抑えることができます。たとえば、特定の VPC のインスタンス、特定の AMI を実行するインスタンス、特定の EC2 タグがあるインスタンスなどのみで、Recon:EC2/Portscan を自動アーカイブするために、GuardDuty フィルタを使ってルールを定義できます。このルールにより、ポートスキャンの検索結果は、条件を満たすインスタンスから自動的にアーカイブされます。ただし、暗号化通貨のマイニングなど、他の悪意のある行為を行っているインスタンスが GuardDuty によって検出された場合には、アラートが出されます。

GuardDuty マスターアカウントで定義された自動アーカイブルールは、GuardDuty メンバーアカウントに適用されます。GuardDuty メンバーアカウントは自動アーカイブルールを変更できません。

自動アーカイブルールでは、GuardDuty は依然としてすべての結果を生成します。自動アーカイブルールは、すべてのアクティビティの完全で不変な履歴を維持しながら、結果の数を抑えます。

データソース

データのセットのオリジンまたは場所です。AWS 環境で許可されず、予期されないアクティビティを検出するために、GuardDuty は AWS CloudTrail イベントログ、VPC フローログおよび DNS ログを分析して処理します。詳細については、「Amazon GuardDuty でデータソースを使用する方法 (p. 2)」を参照してください。

検索

GuardDuty によって発見された潜在的なセキュリティの問題。詳細については、「AmazonGuardDuty 結果 (p. 20)」を参照してください。

4


結果は、セキュリティ問題に関する詳細な説明と合わせて、GuardDuty コンソールに表示されます。GetFindings (p. 109) および ListFindings (p. 152) HTTPS API オペレーションを呼び出して生成された結果を取得することもできます。

GuardDuty の結果は、Amazon CloudWatch イベントを使用して確認することもできます。GuardDutyは、結果を HTTPS プロトコル経由で Amazon CloudWatch に送信します。詳細については、「Amazon CloudWatch Events で Amazon GuardDuty の結果をモニタリングする (p. 52)」を参照してください。

信頼できる IP リスト

ホワイトリストに登録済みの IP アドレスのリスト。高い安全性で AWS 環境と通信することができます。GuardDuty では、信頼されている IP リストに基づく結果は生成されません。詳細については、「信頼できる IP リストと脅威リストの使用 (p. 41)」を参照してください。

脅威リスト

既知の悪意のある IP アドレスのリスト。GuardDuty では、脅威リストに基づいて結果を生成します。詳細については、「信頼できる IP リストと脅威リストの使用 (p. 41)」を参照してください。

5


Amazon GuardDuty サービスの制限各リージョン AWS アカウントごとの Amazon GuardDuty 制限を次に示します。

リソースデフォルトの制限コメント

ディテクター 1 各リージョンの AWS アカウントごとに作成およびアクティブ化できるディテクターリソースの最大数。

これはハード制限です。ディテクターの制限の引き上げをリクエストすることはできません。

信頼できる IP セット 1 各リージョンの AWS アカウントごとにアップロードおよびアクティブ化できる信頼できるIP セットの最大数。

これはハード制限です。信頼できる IP セットの制限の引き上げをリクエストすることはできません。

脅威インテリジェンスセット 6 各リージョンの AWS アカウントごとにアップロードおよびアクティブ化できる脅威インテリジェンスセットの最大数。

これはハード制限です。脅威インテリジェンスセットの制限の引き上げをリクエストすることはできません。

GuardDuty メンバーアカウント 1,000 各リージョンの AWSアカウント (GuardDutyマスターアカウント) ごとに追加できるGuardDuty メンバーアカウントの最大数。

これはハード制限です。メンバーアカウントの制限の引き上げをリクエストすることはできません。

6


リソースデフォルトの制限コメント

GuardDuty 結果の保持時間 90 日間 GuardDuty で生成された結果の最大保存日数。

これはハード制限です。結果の保持日数の制限の引き上げをリクエストすることはできません。

7


Amazon GuardDuty がサポートされているリージョン

現在、Amazon GuardDuty は次の AWS リージョンでサポートされています。

• アジアパシフィック (ムンバイ)• アジアパシフィック (ソウル)• アジアパシフィック (シンガポール)• アジアパシフィック (シドニー)• アジアパシフィック (東京)• カナダ (中部)• 欧州 (フランクフルト)• 欧州 (アイルランド)• 欧州 (ロンドン)• EU (パリ)• 米国東部（バージニア北部）• 米国東部 (オハイオ)• 米国西部 (北カリフォルニア)• 米国西部 (オレゴン)• 南米 (サンパウロ)

Important

GuardDuty は、サポートされているすべての AWS リージョンで有効にすることが強く推奨されています。このように設定することで、お客様が能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます。また、GuardDuty では、IAM などのグローバルな AWS のサービスについても AWSCloudTrail イベントをモニタリングできます。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。GuardDuty は無料またはわずかな追加料金で、アクティブなワークロードをデプロイしていないリージョンをモニタリングできます。

8

Amazon GuardDuty Amazon Guard Duty ユーザーガイドAmazon GuardDuty を有効にする

Amazon GuardDuty のセットアップAmazon GuardDuty を有効にするには、AWS アカウントが必要です。アカウントをお持ちでない場合は、次に説明する手順にしたがってアカウントを作成してください。

AWS にサインアップするには

1. https://aws.amazon.com/ を開き、[Create an AWS Account] を選択します。

Note

過去に AWS マネジメントコンソールにサインインした場合は、お使いのブラウザで使用できないことがあります。その場合は、[Sign in to a different account] を選択し、次に [Createa new AWS account] を選択します。

2. オンラインの手順に従います。

サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて PIN を入力することが求められます。

トピック• Amazon GuardDuty を有効にする (p. 9)• Amazon GuardDuty 無料トライアル (p. 11)

Amazon GuardDuty を有効にするGuardDuty を使用するには、最初に有効にする必要があります。GuardDuty を有効にする手順は以下のとおりです。

1. GuardDuty を有効にするために使用する IAM アイデンティティ (ユーザー、ロール、グループ) には、必須のアクセス権限が必要です。GuardDuty を有効にするために必要なアクセス権限を付与するには、次のポリシーを IAM ユーザー、グループ、またはロールにアタッチします。

Note

以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole"

9

https://aws.amazon.com/

Amazon GuardDuty Amazon Guard Duty ユーザーガイドAmazon GuardDuty を有効にする

], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ]}

2. ステップ 1 の IAM アイデンティティの認証情報を使用して、GuardDuty コンソールにサインインします。最初に GuardDuty コンソールを開いたときに、[Get Started]、[Enable GuardDuty] の順に選択します。

GuardDuty の有効化については、以下の点に注意してください。

• GuardDuty には、サービスにリンクされたロールとして AWSServiceRoleForAmazonGuardDutyが割り当てられます。このサービスにリンクされたロールには、AWS CloudTrail、VPCフローログ、および DNS ログのイベントを GuardDuty で直接使用および分析し、セキュリティの結果を生成するために必要なアクセス権限と信頼ポリシーが含まれています。AWSServiceRoleForAmazonGuardDuty の詳細を表示するには、[Welcome to GuardDuty]ページの [View service role permissions] を選択してください。詳細については、「サービスにリンクされたロールによる GuardDuty へのアクセス権限の委任 (p. 13)」を参照してください。サービスにリンクされたロールの詳細については、「サービスにリンクされたロールの使用」を参照してください。

• GuardDuty を有効にすると、直ちに AWS CloudTrail、VPC フローログ、および DNS ログからの独立したデータのストリームのプルおよび分析を開始し、セキュリティ結果を生成します。GuardDuty はこのデータを調査のためにのみ使用するため、GuardDuty を使用して AWSCloudTrail、VPC フローログ、および DNS ログを管理したり、イベントやログをお客様が利用することはできません。これらのサービスを GuardDuty に関係なく有効にしている場合は、それぞれのコンソールまたは API を使用して、引き続きこれらのデータソースの設定を構成するオプションを使用します。GuardDuty が統合するデータソースに関する詳細については、「AWS CloudTrail とは」および「フローログの使用」を参照してください。

Important

GuardDuty は、サポートされているすべての AWS リージョンで有効にすることが強く推奨されています。このように設定することで、お客様が能動的に使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検索結果をGuardDuty で生成できます。また、GuardDuty では、IAM などのグローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます。GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバルサービスに関連するアクティビティを検出する機能は低下します。GuardDuty は無料またはわずかな追加料金で、アクティブなワークロードをデプロイしていないリージョンをモニタリングできます。

• GuardDuty はいつでも無効化して、AWS CloudTrail イベント、VPC フローログ、DNS ログの処理や分析を停止できます。詳細については、「Amazon GuardDuty の停止または無効化 (p. 51)」を参照してください。

10

http://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html



http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html#working-with-flow-logs

Amazon GuardDuty Amazon Guard Duty ユーザーガイドAmazon GuardDuty 無料トライアル

Amazon GuardDuty 無料トライアル初めて GuardDuty を有効にすると、AWS アカウントは 30 日 GuardDuty 無料トライアルで自動的に登録されます。GuardDuty の無料トライアルの詳細については、GuardDuty コンソールの [Free trial] ページを参照 (ナビゲーションペインの [Free trial]/[Details] を選択) してください。詳細には、無料トライアルのタイムライン上における現在の位置と、無料トライアル終了後の GuardDuty の日次見積コストが表示されます。この見積りは、無料トライアル期間中に GuardDuty で毎日処理および分析したログに基づきます。

Important

この推定日次コストには、GuardDuty を有効化したすべての AWS アカウントおよびリージョンにおける GuardDuty の使用に対する課金は表示されません。推定日次コストは、現在サインインしている AWS アカウントおよび AWS リージョンにおける GuardDuty の使用状況のみに基づきます。

無料トライアルの終了まで、GuardDuty の使用に対して課金されることはありません。GuardDuty の料金の詳細については、「Amazon GuardDuty 料金表」を参照してください。

11

https://aws.amazon.com/guardduty/pricing/

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty の有効化に必要なアクセス権限

Amazon GuardDuty へのアクセスを管理する

トピック• GuardDuty の有効化に必要なアクセス権限 (p. 12)• サービスにリンクされたロールによる GuardDuty へのアクセス権限の委任 (p. 13)• IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する (p. 14)

GuardDuty の有効化に必要なアクセス権限このセクションでは、コンソールまたはプログラム (GuardDuty API または AWS CLI の GuardDuty コマンド) から GuardDuty を最初に有効にするために必要な IAM アイデンティティ (ユーザー、グループ、ロール) 別のアクセス権限について説明します。

GuardDuty を有効にするために必要なアクセス権限を付与するには、次のポリシーを IAM ユーザー、グループ、またはロールにアタッチします。

Note


{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ],

12

Amazon GuardDuty Amazon Guard Duty ユーザーガイドサービスにリンクされたロールによ

る GuardDuty へのアクセス権限の委任

"Resource": "arn:aws:iam::1234567890123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ]}

サービスにリンクされたロールによる GuardDutyへのアクセス権限の委任

このセクションでは、GuardDuty サービス自体が動作するためと、ユーザーの代わりにオペレーション(結果の生成など) を実行するために必要なアクセス権限について説明します。

GuardDuty コンソールまたはプログラム (API オペレーションまたは AWS CLI コマンド) を使用してGuardDuty を有効にすると、AWSServiceRoleForAmazonGuardDuty というサービスにリンクされたロールが自動的に割り当てられます。サービスにリンクされたロールは、AWS のサービス (この場合はGuardDuty) に直接リンクされた一意なタイプの IAM ロールです。サービスにリンクされたロールは、サービスによって事前に定義され、ユーザーに代わってサービスが AWS の他のサービスを呼び出すために必要なアクセス権限をすべて含んでいます。このリンクされたサービス (この場合は GuardDuty) でも、サービスにリンクされたロールを作成、変更、削除する方法を定義します。サービスにリンクされたロールの詳細については、「サービスにリンクされたロールの使用」を参照してください。

GuardDuty を有効にすると、サービスにリンクされたロールとしてAWSServiceRoleForAmazonGuardDuty が自動的に作成されます。これには、AWS CloudTrail、VPCフローログ、および DNS ログのイベントを GuardDuty で直接使用および分析し、セキュリティの結果を生成するために必要なアクセス権限と信頼ポリシーが含まれています。

サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty を編集することはできません。IAM コンソールで、このサービスにリンクされたロールのアクセス権限を表示したり、このロール自体を削除したりできます。サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty を削除するには、まずその AWS アカウントのすべてのリージョンで GuardDuty を無効 (p. 51)にしておく必要があります。

AWSServiceRoleForAmazonGuardDuty にアタッチされたアクセス権限を表示するには、GuardDuty コンソールの [Setting/General] タブで [View service role permissions] ボタンを選択します。

サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty にアタッチされているアクセス権限ポリシードキュメントは次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages" ], "Resource": "*" } ]}

サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty にアタッチされている信頼ポリシーは次のとおりです。

13

http://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html

Amazon GuardDuty Amazon Guard Duty ユーザーガイドIAM ポリシーを使用して GuardDuty へのア

クセス権を IAM アイデンティティに委任する

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する

このセクションでは、GuardDuty へのアクセス権をさまざまな IAM アイデンティティ (ユーザー、グループ、ロール) に委任する方法について説明します。

デフォルトでは、GuardDuty リソース (ディテクター、信頼された IP リスト、脅威リスト、結果、メンバー、マスターアカウント、および呼び出し) へのアクセスは、リソースが作成された AWS アカウントの所有者に限定されます。所有者の場合は、GuardDuty へのフルアクセスまたは制限付きのアクセス権をアカウントのさまざまな IAM アイデンティティに付与できます。IAM アクセスポリシーの作成の詳細については、「AWS Identity and Access Management (IAM)」を参照してください。

トピック• GuardDuty での AWS 管理 (事前定義) ポリシー (p. 14)• カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 (p. 15)• カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与 (p. 16)• カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否 (p. 16)• カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 (p. 17)

GuardDuty での AWS 管理 (事前定義) ポリシーAWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユースケースに対応します。これらの管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、IAM ユーザーガイドの「AWS 管理ポリシー」を参照してください。

アカウントのユーザーにアタッチ可能な以下の AWS 管理ポリシーは、GuardDuty に固有のものです。

• AmazonGuardDutyFullAccess – GuardDuty のすべての機能にアクセスできます。ただし、信頼されている IP リストおよび脅威リストを GuardDuty で操作する場合、ID のアクセスはこの管理ポリシーによって制限されます。具体的には、AmazonGuardDutyFullAccess 管理ポリシーがアタッチされている ID はアップロードされた信頼されている IP リストと脅威リストの名前変更および無効化のみを実行できます。

さまざまな ID に、信頼されている IP リストと脅威リストの操作 (名前変更および無効化に加えて、リストのアップロード、有効化、削除、場所の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションが IAM ユーザー、グループ、またはロールにアタッチされたアクセス権ポリシーに存在することを確認してください。

14

http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる

GuardDuty へのフルアクセスの付与

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }

• AmazonGuardDutyReadOnlyAccess – GuardDuty への読み取り専用アクセスを提供します。

カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与以下のカスタムポリシーを使用して、IAM ユーザー、ロール、またはグループに GuardDuty コンソールおよび GuardDuty のすべてのオペレーションへのフルアクセスを付与できます。

Note


{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ]}

15

Amazon GuardDuty Amazon Guard Duty ユーザーガイドカスタム IAM ポリシーによる GuardDuty

への読み取り専用アクセスの付与

カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与次のポリシーを使用して、IAM ユーザー、ロール、またはグループに GuardDuty への読み取り専用アクセス権を付与できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:ListMembers", "guardduty:GetMembers", "guardduty:ListInvitations", "guardduty:ListDetectors", "guardduty:GetDetector", "guardduty:ListFindings", "guardduty:GetFindings", "guardduty:ListIPSets", "guardduty:GetIPSet", "guardduty:ListThreatIntelSets", "guardduty:GetThreatIntelSet", "guardduty:GetMasterAccount", "guardduty:GetInvitationsCount", "guardduty:GetFindingsStatistics" ], "Resource": "*" } ]}

カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否次のポリシーを使用し、IAM ユーザー、ロール、またはグループに対して、GuardDuty の結果へのアクセスを拒否できます。ユーザーは結果やその詳細は表示できませんが、その他すべての GuardDuty のオペレーションにはアクセスできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateDetector", "guardduty:DeleteDetector", "guardduty:UpdateDetector", "guardduty:GetDetector", "guardduty:ListDetectors", "guardduty:CreateIPSet", "guardduty:DeleteIPSet", "guardduty:UpdateIPSet", "guardduty:GetIPSet",

16


のリソースへのアクセスの制限

"guardduty:ListIPSets", "guardduty:CreateThreatIntelSet", "guardduty:DeleteThreatIntelSet", "guardduty:UpdateThreatIntelSet", "guardduty:GetThreatIntelSet", "guardduty:ListThreatIntelSets", "guardduty:ArchiveFindings", "guardduty:UnarchiveFindings", "guardduty:CreateSampleFindings", "guardduty:CreateMembers", "guardduty:InviteMembers", "guardduty:GetMembers", "guardduty:DeleteMembers", "guardduty:DisassociateMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:ListMembers", "guardduty:GetMasterAccount", "guardduty:DisassociateFromMasterAccount", "guardduty:AcceptInvitation", "guardduty:ListInvitations", "guardduty:GetInvitationsCount", "guardduty:DeclineInvitations", "guardduty:DeleteInvitations" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ]}

カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限デテクター ID に基づいて GuardDuty に対するユーザーのアクセスを定義するには、次のオペレーションを除くすべての GuardDuty オペレーション (p. 54)をカスタム IAM ポリシー内で使用できます。

• guardduty:CreateDetector

• guardduty:DeclineInvitations

• guardduty:DeleteInvitations

17



• guardduty:GetInvitationsCount

• guardduty:ListDetectors

• guardduty:ListInvitations

IAM ポリシーの以下のオペレーションを使用し、IPSet ID および ThreatIntelSet ID に基づいて、GuardDuty に対するユーザーのアクセス権を定義できます。

• guardduty:DeleteIPSet

• guardduty:DeleteThreatIntelSet

• guardduty:GetIPSet

• guardduty:GetThreatIntelSet

• guardduty:UpdateIPSet

• guardduty:UpdateThreatIntelSet

以下の例では、前述のオペレーションのいくつかを使用してポリシーを作成する方法を示します。

• このポリシーでは、us-east-1 リージョンでディテクター ID として 1234567 を使用し、guardduty:UpdateDetector オペレーションを実行できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:UpdateDetector", ], "Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/1234567" } ]}

• このポリシーでは、us-east-1 リージョンでディテクター ID として 1234567 および IPSet ID として000000 を使用し、guardduty:UpdateIPSet オペレーションを実行できます。

Note

GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス権限がそのユーザーにあることを確認します。詳細については、「信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 (p. 42)」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:UpdateIPSet", ], "Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/1234567/ipset/000000" } ]}

• このポリシーでは、us-east-1 リージョンでディテクター ID として任意の値および IPSet ID として000000 を使用し、guardduty:UpdateIPSet オペレーションを実行できます。

18



Note


{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:UpdateIPSet", ], "Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/*/ipset/000000" } ]}

• このポリシーでは、us-east-1 リージョンでディテクター ID として 1234567 および IPSet ID として任意の値を使用し、guardduty:UpdateIPSet オペレーションを実行できます。

Note


{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:UpdateIPSet", ], "Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/1234567/ipset/*" } ]}

19

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty 結果の検索と分析

Amazon GuardDuty 結果AWS 環境で、潜在的に悪意のある予期しないアクティビティを検出すると、Amazon GuardDuty によって結果が生成されます。GuardDuty の結果は、GuardDuty コンソールの [Findings] ページ、GuardDutyの CLI や API オペレーションを使用して表示および管理できます。GuardDuty の結果は、AmazonCloudWatch イベントを使用して表示することもできます。詳細については、「Amazon CloudWatchEvents で Amazon GuardDuty の結果をモニタリングする (p. 52)」を参照してください。

このトピックには次の情報を説明しています。

トピック• GuardDuty 結果の検索と分析 (p. 20)• GuardDuty 結果のアーカイブとフィードバックの提供 (p. 22)• GuardDuty 結果のフィルタリングと自動アーカイブ (p. 22)• GuardDuty 結果の重要度 (p. 22)• GuardDuty 結果サンプルの生成 (p. 23)• PoC (実証支援) - 複数の一般的な結果と GuardDuty 結果の自動生成 (p. 23)• Amazon GuardDuty の結果タイプ (p. 24)• Amazon GuardDuty によって検出されたセキュリティ問題の修復 (p. 39)

GuardDuty 結果の検索と分析GuardDuty の結果を表示および分析するには、次の手順を使用します。

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開き、[Findings] を選択します。

2. 特定の結果を選択して、詳細を表示します。

詳細ペインが表示され、次の情報を確認できます。

• 結果の概要セクション。次の情報が含まれます。• 結果タイプ – 潜在的なセキュリティ問題の簡潔で読みやすい説明。詳細については、「Amazon

GuardDuty の結果タイプ (p. 24)」を参照してください。• 重大度 – 結果には重大度 (高、中、低) が割り当てられています。詳細については、「GuardDuty

結果の重要度 (p. 22)」を参照してください。• リージョン – 結果が作成された AWS リージョン。

Note

サポートされるリージョンの詳細については、「Amazon GuardDuty がサポートされているリージョン (p. 8)」を参照してください。

• 回数 – AWS アカウントで GuardDuty を有効にした後で GuardDuty で結果が生成された回数。• アカウント ID – この結果の生成を GuardDuty に求めるアクティビティを実行した AWS アカウン

トの ID。• リソース ID – この結果の生成を GuardDuty に求めるアクティビティを実行した AWS リソースの

ID。• 脅威リスト名 - この結果の生成を GuardDuty に求めるアクティビティに関する IP アドレスまた

はドメイン名が含まれている脅威リストの名前。• 最終アクセス – この結果の生成を GuardDuty に求めるアクティビティが発生した時間。

20


Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty 結果の検索と分析

Note

GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンで表示されます。一方、JSON エクスポートおよび CLI 出力では UTC でタイムスタンプが表示されます。

• 結果の [Resource affected] セクション。次の情報が含まれます。• リソースロール – 該当のリソースは攻撃対象となる可能性があるため、この値は通常 Target に設

定されます。• リソースタイプ – 該当するリソースのタイプ。この値は、AccessKey または Instance のいずれ

かです。現在、サポートされている結果タイプは EC2 インスタンスまたは AWS 認証情報のいずれかに対する悪意のあるアクティビティの可能性を示します。詳細については、「AmazonGuardDuty によって検出されたセキュリティ問題の修復 (p. 39)」を参照してください。

• インスタンス ID – 結果の生成を GuardDuty に求めるアクティビティを行った EC2 インスタンスの ID。

• ポート – GuardDuty に結果の生成を求めるアクティビティ中に使用された接続のポート番号。• アクセスキー ID – 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーのアクセ

スキー ID。• プリンシパル ID – 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーのプリン

シパル ID。• ユーザー型 – 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーのタイプ。詳細

については、CloudTrail userIdentity 要素を参照してください。• ユーザー名 – 結果の生成を GuardDuty に求めるアクティビティを行ったユーザーの名前。

• 結果の [Action] セクション。次のような情報が含まれます。• アクションタイプ – 結果アクティビティのタイプ。次のいずれかの値を指定で

きます: NETWORK_CONNECTION、AWS_API_CALL、PORT_PROBE、またはDNS_REQUEST。NETWORK_CONNECTION は、トラフィックが識別済み EC2 インスタンスとリモートホスト間で交わされたことを示します。AWS_API_CALL は AWS API が呼び出されたことを示します。DNS_REQUEST は、識別済みの EC2 インスタンスがドメイン名を照会したことを示します。PORT_PROBE は、リモートホストが複数の開かれているポートで識別済みの EC2インスタンスを調査したことを示します。

• API – 呼び出されて、結果の生成を GuardDuty に求める API オペレーションの名前。• サービス名 – この結果を生成した AWS のサービス (GuardDuty) の名前。• 接続方向 – 結果の生成を GuardDuty に求めるアクティビティで確認されたネットワーク接続方

向。値は INBOUND、OUTBOUND、および UNKNOWN です。INBOUND は、リモートホストがお客様のアカウントの識別済み EC2 インスタンスのローカルポートへの接続を開始したことを示します。OUTBOUND は、識別済み EC2 インスタンスがリモートホストへの接続を開始したことを示します。UNKNOWN は、GuardDuty が接続の方向を判別できなかったことを示します。

• プロトコル – 結果の生成を GuardDuty に求めるアクティビティで確認されたネットワーク接続プロトコル。

• 結果の [Actor] セクション。次のような情報が含まれます。• 場所 – 結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスの位置情報。• 組織名 – 結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスの ISP 組織情

報。• IP アドレス – 結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレス。• ポート – 結果の生成を GuardDuty に求めるアクティビティが行われたポート番号。• ドメイン – 結果の生成を GuardDuty に求めるアクティビティが行われたドメイン。

• 結果の [Additional information] セクション。次のような情報が含まれます。• 脅威リスト名 – この結果の生成を GuardDuty に求めるアクティビティが行われた IP アドレスま

たはドメイン名が含まれている脅威リストの名前。• サンプル – これが結果サンプルかどうかを示します。21

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty 結果のアーカイブとフィードバックの提供

• 異常 – 履歴で確認されていないアクティビティの詳細。これらには、通常とは異なる (以前に確認されていない) ユーザー、場所、時間などが含まれます。

• 異常プロトコル – GuardDuty に結果の生成を求めるアクティビティが行われたネットワーク接続プロトコル。

GuardDuty 結果のアーカイブとフィードバックの提供

以下の手順で、結果をアーカイブするか最新のものとしてマークし、GuardDuty の結果にフィードバックを提供します

1. 検索結果をアーカイブまたはエクスポートするには、検索結果のリストから検索結果を選択し、[アクション] メニューを選択します。次に、[Archive] (アーカイブ) または [エクスポート] をクリックします。

Note

現時点の GuardDuty では、GuardDuty のメンバーアカウントのユーザーが結果をアーカイブすることはできません。

2. 結果を有用または無用とマークしてフィードバックを提供するには、結果のなかから選んで、その後上向きの親指ボタンまたは下向きの親指ボタンを選択します。

GuardDuty 結果のフィルタリングと自動アーカイブ以下の手順を使用して、GuardDuty 結果の日付フィールドのフィルタを作成します。

1. GuardDuty 結果の [Add filter criteria] (フィルタ条件の追加) バーを選択します。2. 展開された属性のリストで、フィルタの条件として指定する属性を選択します。たとえば、アカウン

ト ID またはアクションの種類です。特定のフィルタの条件として、1 つの属性または最大 50 の属性を指定できます。

フィルタ条件として指定できる属性の詳細なリストについては、CreateFilter (p. 62) の filterCriteriaプロパティの詳細を参照してください。

3. 表示されたテキストフィールドで選択された各属性の値を指定し、[適用] を選択します。Note

特定のフィルタでは、属性値 (例: アカウント ID) に適用する「等しい」条件または「等しくない」条件を使用する属性の場合、最大 50 まで値を指定できます。

4. 指定された属性とその値 (フィルタ条件) をフィルタとして保存するには、[保存] の順に選択します。フィルタの名前と説明を入力し、[Auto-archive] (自動アーカイブ) チェックボックスを使用して、このフィルタに一致する検索結果を自動的にアーカイブするかどうかを指定します。次に、[完了] を選択します。詳細については、「自動アーカイブ (p. 4)」を参照してください。

GuardDuty 結果の重要度GuardDuty の結果ごとに重要度レベルと値が割り当てられます。これにより、結果相互を優先順位付けする必要性が減り、結果が示すセキュリティ問題の可能性に対するレスポンスを決定できます。重大度の値は 0.1 ～ 8.9 の範囲内のいずれかです。

22

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty 結果サンプルの生成

Note

値 0 と 9.0 から 10.0 が将来使用するために現在予約されています。

GuardDuty の結果で現在定義されている重要度レベルと値を次に示します。

• 高 (GetFindings (p. 109) レスポンスの severity パラメータの値は 7.0〜8.9 の範囲になります) – 該当するリソース (EC2 インスタンス、または IAM ユーザー認証情報のセット) は侵害されており、承認されていない目的に活発に使用されています。このセキュリティ問題は優先事項として対応し、直ちに修正措置を講じることをお勧めします。たとえば、EC2 インスタンスをクリーンアップまたは終了するか、IAM 認証情報を更新します。

• 中 (GetFindings (p. 109) レスポンスの severity パラメータの値は 4.0〜6.9 の範囲になります) – 不審なアクティビティを示します。たとえば、大量のトラフィックが返されている先のリモートホストが Torネットワークの背後に隠れていたり、アクティビティが通常確認されている動作から逸脱していたりします。できるだけ早く、関連するリソースを調査することをお勧めします。いくつかの修正手順を次に示します。• 未承認のユーザーがインストールした新しいソフトウェアでリソースの動作が変更されていないか確

認してください。たとえば、通常より高いトラフィックが許可されている場合や、新しいポートの通信が有効化されている場合などがあります。

• 承認済ユーザーによって、コントロールパネル設定が変更されていないか (例: セキュリティグループ設定の変更) を確認します。

• 該当するリソースでアンチウィルススキャンを実行し、未承認のソフトウェアを検出します。• 該当する IAM ロール、ユーザー、グループ、または認証情報セットにアタッチされているアクセス許

可を検証します。以下のアクセス許可を変更または更新する必要がある場合があります。• 低 (GetFindings (p. 109) レスポンスの severity パラメータの値は 0.1〜3.9 の範囲になります) – リソー

スが侵害される前にブロックした不審なアクティビティまたは悪意のあるアクティビティを示します。直ちに推奨されるアクションはありませんが、今後対応する上で参考にしてください。

GuardDuty 結果サンプルの生成結果サンプルを使用して、GuardDuty が生成するさまざまな検索タイプを視覚化し、分析することができます。結果のサンプルを生成すると、GuardDuty によって最新の結果リストにデータが入力され、サポートされている検索タイプごとに 1 つの結果サンプルが強調表示されます。GuardDuty の結果タイプの詳細については、「Amazon GuardDuty の結果タイプ (p. 24)」を参照してください。

サンプル結果を生成するには、次の手順を使用します。

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開きます。2. ナビゲーションペインで [Settings] の [General] を選択します。3. [Settings] ページで、[Sample findings] の [Generate sample findings] を選択します。4. ナビゲーションペインで [Findings] の [Current] を選択します。サンプル結果が [Current findings] ペー

ジに表示されます。結果サンプルのタイトルは必ず [SAMPLE] から始まります。特定のサンプル結果を選択して、詳細を表示します。

PoC (実証支援) - 複数の一般的な結果と GuardDuty結果の自動生成

次のスクリプトを使用して、複数の一般的な Amazon GuardDuty の結果を自動的に生成することができます。guardduty-tester.template は AWS CloudFormation を使用して、踏み台ホスト、ssh を実行できる

23


https://github.com/awslabs/amazon-guardduty-tester

Amazon GuardDuty Amazon Guard Duty ユーザーガイドAmazon GuardDuty の結果タイプ

テスター EC2 インスタンスがある分離された環境を作成することができます。次に、テスター EC2 インスタンス、ターゲット Windows EC2 インスタンス、ターゲット Linux EC2 インスタンス間のインタラクションを開始する guardduty_tester.sh を実行して、GuardDuty が生成した結果を検出し通知する一般的な攻撃タイプの 5 つをシミュレートします。

1. 前提条件として、guardduty-tester.template と guardduty_tester.sh を実行したいアカウントとリージョンで GuardDuty を有効にする必要があります。GuardDuty の詳細については「AmazonGuardDuty のセットアップ (p. 9)」をご覧ください。

スクリプトを実行する各リージョンで、新規に生成するか既存の EC2 キーペアを使用する必要があります。この EC2 キーペアは新しい CloudFormation スタックの作成時に、guardduty-tester.templateスクリプトでパラメーターとして使用されます。EC2 キーペア生成の詳細については https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html を参照してください。

2. guardduty-tester.template を使用して新しい CloudFormation スタックを作成します。スタック作成の詳細については https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html を参照してください。guardduty-tester.template を実行する前に、新しいスタックを識別するためのスタックの名前、スタックを実行するアベイラビリティーゾーン、EC2 インスタンスの起動に使用するキーペアのパラメーター値を変更します。次に、対応するプライベートキーを使用して、EC2 インスタンスで SSH 接続を行います。

guardduty-tester.template の実行と完了の所要時間は約 10 分です。環境を作成しテスター EC2 インスタンスに guardduty_tester.sh をコピーします。

3. AWS CloudFormation コンソールで、新しく実行している CloudFormation スタックの横にあるチェックボックスを選択します。表示されている一連のタブで [Output] タブを選択します。踏み台ホストとテスター EC2 インスタンスに割り当てられている IP アドレスに注意します。テスター EC2 インスタンスで SSH 接続を行うには、両方の IP アドレスが必要になります。

4. 踏み台ホストからインスタンスにログインするため、~/.ssh/config ファイルで次のエントリを作成します。

Host bastion HostName {Elastic IP Address of Bastion} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem}Host tester ForwardAgent yes HostName {Local IP Address of RedTeam Instance} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem ProxyCommand ssh bastion nc %h %p ServerAliveInterval 240

これで、$ ssh テスターを呼び出しターゲット EC2 インスタンスにログインできます。踏み台ホストを介して EC2 インスタンスの設定や接続を行う場合の詳細情報については https://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/ を参照してください。

5. テスター EC2 インスタンスに接続したら guardduty_tester.sh を実行して、テスターとターゲットEC2 インスタンス間のインタラクションの開始、攻撃のシミュレート、GuardDuty の結果を生成します。

Amazon GuardDuty の結果タイプトピック

• 結果タイプの形式 (p. 25)

24

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html

https://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/

https://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/

Amazon GuardDuty Amazon Guard Duty ユーザーガイド結果タイプの形式

• GuardDuty のアクティブな結果タイプの詳細なリスト (p. 26)• GuardDuty のリタイアしている結果タイプの詳細なリスト (p. 38)

結果タイプの形式GuardDuty は、AWS 環境内で不審な動作や予期しない動作を検出すると、結果を生成します。結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。結果の詳細 (p. 20)には、発生した結果、不審な動作に関与している AWS リソース、このアクティビティの発生日時などの情報が含まれます。

結果の詳細で最も役立つ情報の 1 つは、結果タイプです。結果タイプの目的は、潜在的なセキュリティ問題について簡潔でわかりやすい説明を提供することです。たとえば、GuardDuty の Recon:EC2/PortProbeUnprotectedPort 結果タイプを見ると、AWS 環境の EC2 インスタンスに保護されていないポートがあり、これを攻撃者が見つけようとしていることが一目で分かります。

GuardDuty では、さまざまな結果タイプを次の形式で生成します。

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.ThreatFamilyVariant!Artifact

形式の各部分について以下に説明します。

• ThreatPurpose は、脅威または潜在的な攻撃の主な目的についての説明です。現行リリースのGuardDuty では、ThreatPurpose を以下の値に設定できます。• Backdoor – この値では、AWS リソースが攻撃を受けていることを知らせます。また、ホームのコマ

ンドアンドコントロール (C&C) サーバーに連絡し、悪意のあるアクティビティに対処する詳細な手順を受け取ることができます。

• Behavior – この値は、特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンが GuardDuty で検出されたことを示します。

• Cryptocurrency – この値は、ビットコインなどの暗号通貨に関連付けられたソフトウェアがGuardDuty で検出されたことを示します。

• Pentest – AWS リソースの所有者や承認された担当者は、オープンなセキュリティグループや制限が少なすぎるアクセスキーなどの脆弱性を見つけるために、AWS アプリケーションに対して意図的にテストを実行する場合があります。これらのペンテストは、攻撃者が気づく前に脆弱なリソースを特定してロックダウンする目的で実行されます。ただし、承認済みペンテスターが使用する一部のツールは一般的なものであるため、不正なユーザーや攻撃者がこのテストに便乗して利用する場合があります。GuardDuty では、このようなアクティビティの真の意図は特定できませんが、この Pentest 値により、このようなアクティビティが GuardDuty で検出されたこと、および既知のペンテストツールで生成されたアクティビティと類似していることを示します。したがって、これは攻撃の可能性があります。

• Persistence (永続性)- この値は、AWS 環境の IAM ユーザーが確立されたベースラインとは異なる動作を行っていることを示します。たとえば、この IAM ユーザーにはネットワーク設定の更新履歴あるいは AWS ユーザーまたはリソースにアタッチされたポリシーやアクセス権限を更新した履歴がない場合などです。

• Recon – この値は、偵察攻撃が進行中であり、ポートを調査したり、ユーザーやデータベーステーブルをリストアップしたりするなど、AWS 環境の脆弱性を探そうとしていることを示すます。

• ResourceConsumption - この値は、AWS 環境の IAM ユーザーが確立されたベースラインとは異なる動作を行っていることを示します。たとえば、この IAM ユーザーには EC2 インスタンスを起動した履歴がないなどの場合です。

• Stealth – この値は、攻撃のアクションや形跡を巧みに隠そうとしていることを示します。たとえば、攻撃者が匿名化したプロキシサーバーを使用し、アクティビティの真の意図をほぼ判断不能にしている場合があります。

• Trojan – この値は、悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示します。この種のソフトウェアは合法的なプログラムを装う場合があり、ユーザーが誤って実行することがあります。脆弱性を特定して自動的に実行されることもあります。

25

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty のアクティブな結果タイプの詳細なリスト

• UnauthorizedAccess – この値は、承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します。

• ResourceTypeAffected – この結果では、攻撃対象の候補として特定された AWS リソースを示します。現行リリースの GuardDuty では、EC2 インスタンスと IAM ユーザー (およびその認証情報) のみが、影響を受けるリソースとして GuardDuty の結果で識別できます。

• ThreatFamilyName – GuardDuty で検出された全体的な脅威または潜在的な悪意のあるアクティビティの説明です。たとえば、NetworkPortUnusual の値は、GuardDuty の結果で識別された EC2 インスタンスに、同じ結果で識別された特定のリモートポートでの通信履歴がないことを示します。

• ThreatFamilyVariant – GuardDuty で検出された ThreatFamily の特定のバリアントを記述します。通常、攻撃者は攻撃の機能をわずかに変更して新しいバリアントを作成します。

• Artifact – 攻撃で使用されているツールが所有する特定のリソースを示します。たとえば、結果タイプCryptoCurrency:EC2/BitcoinTool.B!DNS の「DNS」は、EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを示します。

GuardDuty のアクティブな結果タイプの詳細なリストGuardDuty で生成される各結果タイプは以下のとおりです。

トピック• Backdoor:EC2/XORDDOS (p. 27)• Backdoor:EC2/Spambot (p. 27)• Backdoor:EC2/C&CActivity.B!DNS (p. 27)• Behavior:EC2/NetworkPortUnusual (p. 28)• Behavior:EC2/TrafficVolumeUnusual (p. 28)• CryptoCurrency:EC2/BitcoinTool.B!DNS (p. 28)• PenTest:IAMUser/KaliLinux (p. 28)• Persistence:IAMUser/NetworkPermissions (p. 29)• Persistence:IAMUser/ResourcePermissions (p. 29)• Persistence:IAMUser/UserPermissions (p. 29)• Recon:EC2/PortProbeUnprotectedPort (p. 30)• Recon:IAMUser/TorIPCaller (p. 30)• Recon:IAMUser/MaliciousIPCaller.Custom (p. 30)• Recon:IAMUser/MaliciousIPCaller (p. 30)• Recon:EC2/Portscan (p. 31)• Recon:IAMUser/NetworkPermissions (p. 31)• Recon:IAMUser/ResourcePermissions (p. 31)• Recon:IAMUser/UserPermissions (p. 31)• ResourceConsumption:IAMUser/ComputeResources (p. 32)• Stealth:IAMUser/PasswordPolicyChange (p. 32)• Stealth:IAMUser/CloudTrailLoggingDisabled (p. 32)• Stealth:IAMUser/LoggingConfigurationModified (p. 33)• Trojan:EC2/BlackholeTraffic (p. 33)• Trojan:EC2/DropPoint (p. 33)• Trojan:EC2/BlackholeTraffic!DNS (p. 33)• Trojan:EC2/DriveBySourceTraffic!DNS (p. 34)• Trojan:EC2/DropPoint!DNS (p. 34)• Trojan:EC2/DGADomainRequest.B (p. 34)

26


• Trojan:EC2/DGADomainRequest.C!DNS (p. 34)• Trojan:EC2/DNSDataExfiltration (p. 35)• Trojan:EC2/PhishingDomainRequest!DNS (p. 35)• UnauthorizedAccess:IAMUser/TorIPCaller (p. 35)• UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom (p. 36)• UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B (p. 36)• UnauthorizedAccess:IAMUser/MaliciousIPCaller (p. 36)• UnauthorizedAccess:IAMUser/UnusualASNCaller (p. 36)• UnauthorizedAccess:EC2/TorIPCaller (p. 36)• UnauthorizedAccess:EC2/MaliciousIPCaller.Custom (p. 37)• UnauthorizedAccess:EC2/SSHBruteForce (p. 37)• UnauthorizedAccess:EC2/RDPBruteForce (p. 37)• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration (p. 37)• UnauthorizedAccess:IAMUser/ConsoleLogin (p. 38)

Backdoor:EC2/XORDDOS結果の説明EC2 インスタンスが通信しようとしている IP アドレスには XorDDos マルウェアが関連付けられています。

この結果では、AWS 環境の EC2 インスタンスが通信しようとしている IP アドレスに XorDDos マルウェアが関連付けられていることを知らせます。この EC2 インスタンスは侵害されている可能性があります。XOR DDoS は、Linux システムをハイジャックするトロイの木馬マルウェアです。システムへのアクセスを得るため、このマルウェアは Linux 上の Secure Shell (SSH) サービスへのパスワードを発見するためのブルートフォース攻撃を開始します。SSH 認証情報を取得してログインに成功すると、root 権限を使用して XOR DDoS をダウンロードしてインストールするスクリプトを実行します。次に、このマルウェアはボットネットの一部として、他のターゲットに対する分散型サービス拒否 (DDoS) 攻撃を開始します。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Backdoor:EC2/Spambot結果の説明EC2 インスタンスがポート 25 でリモートホストと通信して通常と異なる動作を示しています。

この結果では、AWS 環境の EC2 インスタンスがポート 25 でリモートホストと通信していることを知らせます。この EC2 インスタンスにはポート 25 での通信履歴が以前にないため、この動作は通常と異なります。従来、ポート 25 はメールサーバーで SMTP 通信のために使用されています。EC2 インスタンスが侵害されていて、スパムを送信している可能性があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Backdoor:EC2/C&CActivity.B!DNS結果の説明EC2 インスタンスは、既知のコマンドアンドコントロールサーバーに関連付けられるドメイン名をクエリしています。

この結果では、AWS 環境の EC2 インスタンスがアウトバウンド通信しているドメインが既知のコマンドアンドコントロール (C&C) サーバーに関連付けられているドメインをクエリしていることを知らせます。EC2 インスタンスは侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーに

27


コマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど)のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Note

この結果タイプを GuardDuty で生成する方法をテストするには、テストドメインguarddutyc2activityb.com に対して DNS リクエストを実行できます。

Behavior:EC2/NetworkPortUnusual結果の説明EC2 インスタンスが通常と異なるポートでリモートホストと通信しています。

この結果では、AWS 環境の EC2 インスタンスの動作が、確立されたベースラインから逸脱していることを知らせます。この EC2 インスタンスには、このリモートポートでの通信履歴がありません。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Behavior:EC2/TrafficVolumeUnusual結果の説明EC2 インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成しています。

この結果では、AWS 環境の EC2 インスタンスの動作が、確立されたベースラインから逸脱していることを知らせます。この EC2 インスタンスでは、このリモートホストに対してこれほど大量のトラフィックを送信した履歴がありません。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

CryptoCurrency:EC2/BitcoinTool.B!DNS結果の説明EC2 インスタンスは、ビットコイン関連のアクティビティに関連付けられているドメイン名をクエリしています。

この結果によって、AWS 環境の EC2 インスタンスで、ビットコイン関連のアクティビティに関連付けられているドメインがクエリされていることが分かります。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。ビットコインは、ビットコインマイニングの報酬として作成されるほかに、他の通貨、製品、サービスと交換することができます。この EC2 インスタンスを使用して暗号通貨を自己所有あるいは管理している、または EC2 インスタンスがブロックチェーンアクティビティに参加していない限り、EC2 インスタンスが侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

PenTest:IAMUser/KaliLinux結果の説明API が Kali Linux EC2 インスタンスから呼び出されました。

この結果では、Kali Linux が実行されているマシンで AWS アカウントの認証情報を使用して API コールが行われていることを知らせます。認証情報は侵害されている可能性があります。Kali Linux は、セキュリ

28


ティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用し、EC2 設定の脆弱性を見つけて AWS 環境への未承認のアクセスを取得する場合があります。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

Persistence:IAMUser/NetworkPermissions結果の説明IAM ユーザーが、通常 AWS アカウントのセキュリティグループ、ルート、ACL のネットワークアクセス許可を変更するために使用される API を呼び出した。

この結果では、AWS 環境の特定の IAM ユーザーが、確立されたベースラインとは異なる動作を示していることを知らせます。この IAM ユーザーには、この API 呼び出しの履歴はありません。認証情報は侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

この結果は、ネットワーク構成設定が不審な状況下で変更された場合にトリガーされます。たとえば、AWS 環境内のある IAM ユーザーが、いままで行ったことのない CreateSecurityGroup API の呼び出しを行った場合などです。攻撃者はよく、セキュリティグループの変更を試み、さまざまなポートで特定のインバウンドトラフィックを許可させて彼らが EC2 インスタンスに埋め込んだボットにアクセスする能力を向上させようとします。

Persistence:IAMUser/ResourcePermissions結果の説明IAM ユーザーが、通常 AWS アカウントのさまざまなリソースのセキュリティアクセスポリシーを変更するために使用される API を呼び出した。


この結果は、AWS リソースにアタッチされたポリシーまたはアクセス権限の変更が検出された場合にトリガーされます。たとえば、AWS 環境内のある IAM ユーザーが、いままで行ったことのないPutBucketPolicy API の呼び出しを行った場合などです。Amazon S3 など一部のサービスでは、リソースに対する IAM プリンシパルアクセスを 1 つ以上付与する、リソースにアタッチされたアクセス権限をサポートします。盗まれた認証情報が使用されると、攻撃者はリソースにアタッチされたポリシーを変更し、自身にそのリソースに対する今後のアクセスを付与できます。

Persistence:IAMUser/UserPermissions結果の説明IAM ユーザーが、通常 AWS アカウントの IAM ユーザー、グループ、ポリシーを追加、変更、削除するために使用される API を呼び出した。


この結果は、AWS 環境のユーザー関連アクセス権限に対する不審な変更によってトリガーされます。たとえば、AWS 環境内のある IAM ユーザーが、いままで行ったことのない AttachUserPolicy API の呼び出しを行った場合などです。攻撃者は、発見された後であってもアカウントにアクセスする能力を最大化するために、盗まれた認証情報を使用して、新規ユーザーの作成、既存ユーザーに対するアクセスポリシーの

29


追加、アクセスキーの作成などを行うことができます。アカウントの所有者が特定の IAM ユーザーまたはパスワードが盗まれたことに気づいてアカウントから削除したとしても、不正に作成した管理者 IAM ユーザーによって作成された他のユーザーを削除せず、その AWS アカウントに攻撃者がアクセスすることが可能なままになっている場合があります。

Recon:EC2/PortProbeUnprotectedPort結果の説明EC2 インスタンスの保護されていないポートを既知の悪意のあるホストが探しています。

この結果では、AWS 環境の EC2 インスタンスに、セキュリティグループ、アクセスコントロールリスト (ACL)、またはホストのファイアウォール (Linux IPChains など) でブロックされていないポートがあり、これをインターネットの既知のスキャナーが巧みに見つけようとしていることを知らせます。保護されていないポートとして 22 または 3389 が特定され、この EC2 インスタンスの接続に通常 SSH/RDP を使用しているため、どちらのポートに対するアクセスもブロックできない場合、これらのポートへのアクセスを社内ネットワーク IP アドレス空間の IP アドレスにのみ許可することで公開を制限できます。Linux でポート 22 へのアクセスを制限するには、http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html を参照してください。Windows でポート 3389 へのアクセスを制限するには、http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html を参照してください。

詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Recon:IAMUser/TorIPCaller結果の説明API が Tor 出口ノードの IP アドレスから呼び出されました。

この結果では、AWS リソースをリストアップまたは記述できる API オペレーションが Tor 出口ノードのIP アドレスから呼び出されたことを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Torノードは出口ノードと呼ばれます。これは偵察攻撃であり、匿名ユーザーが悪意のある目的で情報の収集や AWS リソースへのアクセスを試行している可能性があります。詳細については、「侵害された AWS認証情報の修正 (p. 39)」を参照してください。

Recon:IAMUser/MaliciousIPCaller.Custom結果の説明API がカスタム脅威リストにある IP アドレスから呼び出されました。

この結果では、AWS リソースをリストアップまたは記述できる API オペレーションが、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。GuardDuty の場合、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDuty では、アップロード済みの脅威リストに基づいて結果を生成します。これは偵察攻撃であり、匿名ユーザーが悪意のある目的で情報の収集やAWS リソースへのアクセスを試行している可能性があります。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

Recon:IAMUser/MaliciousIPCaller結果の説明API が既知の悪意のある IP アドレスから呼び出されました。

この結果では、AWS リソースをリストアップまたは記述できる API オペレーションが、脅威リスト内のIP アドレスから呼び出されたことを知らせます。GuardDuty の場合、脅威リストは既知の悪意のある IP

30

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html

http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html

http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html


アドレスで構成されます。GuardDuty は、カスタムまたは内部の脅威リストに基づいて結果を生成します。これは偵察攻撃であり、匿名ユーザーが悪意のある目的で情報の収集や AWS リソースへのアクセスを試行している可能性があります。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

Recon:EC2/Portscan結果の説明EC2 インスタンスがリモートホストにアウトバウンドポートスキャンを実行しています。

この結果では、AWS 環境の EC2 インスタンスが短時間内に複数のポートに接続しようとしており、ポートスキャン攻撃を行っている可能性があることを知らせます。ポートスキャン攻撃の目的は、開いているポートを見つけ、マシンで実行されているサービスを発見してそのオペレーティングシステムを特定することです。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2インスタンスの修正 (p. 39)」を参照してください。

Recon:IAMUser/NetworkPermissions結果の説明IAM ユーザーが、通常 AWS アカウントの既存のセキュリティグループ、ACL、ルートのネットワークアクセス許可を検出するために使用される API を呼び出した。


この結果は、AWS 環境のネットワーク構成設定が不審な状況下で調査された場合にトリガーされます。たとえば、AWS 環境内のある IAM ユーザーが、いままで行ったことのない DescribeSecurityGroups API の呼び出しを行った場合などです。攻撃者は盗まれた認証情報を使用して、ネットワークアクセス権限の変更やネットワーク設定の既存の穴を利用するといった次の段階の攻撃を実行する前に、このようなネットワーク構成設定の偵察行動を行うことがあります。

Recon:IAMUser/ResourcePermissions結果の説明IAM ユーザーが、通常 AWS アカウントのさまざまなリソースに関連付けられたアクセス権限を検出するために使用される API を呼び出した。


この結果は、AWS アカウントのリソースアクセス許可が不審な状況下で調査された場合にトリガーされます。たとえば、IAM ユーザーが、いままで行ったことのない DescribeInstances API の呼び出しを行った場合などです。攻撃者は盗まれた認証情報を使用して、重要な情報を見つけたり手に入れた認証情報の能力を確認するために、このような AWS リソースの偵察行動を行うことがあります。

Recon:IAMUser/UserPermissions結果の説明IAM ユーザーが、通常 AWS アカウントのユーザー、グループ、ポリシー、アクセス権限を検出するために使用される API を呼び出した。

31



この結果は、AWS 環境のユーザーアクセス権限が不審な状況下で調査された場合にトリガーされます。たとえば、IAM ユーザーが、いままで行ったことのない ListInstanceProfilesForRole API の呼び出しを行った場合などです。攻撃者は盗まれた認証情報を使用して、手に入れた認証情報の能力を確認するためや、侵入拡大に対して防御が薄くより権限の強い認証情報を見つけるために、このような IAM ユーザーやロールの偵察行動を行うことがあります。

ResourceConsumption:IAMUser/ComputeResources結果の説明

IAM ユーザーが、通常 EC2 インスタンスなどのコンピューティングリソースを起動するために使用されるAPI を呼び出した。


この結果は、AWS 環境の EC2 インスタンスが不審な状況下で起動された場合にトリガーされます。たとえば、IAM ユーザーが、いままで行ったことのない RunInstances API の呼び出しを行った場合などです。これは、攻撃者が盗まれた認証情報を使用して、コンピューティング時間を盗難 (暗号通貨マイニングやパスワードのクラッキングなど) している可能性を示します。または、攻撃者がお客様の AWS 環境のEC2 インスタンスおよび認証情報を使用してアカウントへのアクセスを維持している可能性を示している場合もあります。

Stealth:IAMUser/PasswordPolicyChange結果の説明

アカウントのパスワードポリシーが弱化されています。

AWS アカウントのパスワードポリシーが弱化されています。たとえば、アカウントの削除、必要な文字数を減らすような更新、記号や数字を不要とする更新、パスワードの有効期限を延長するような更新が行われています。この結果は、AWS アカウントのパスワードポリシーを更新または削除しようとしてもトリガーされます。AWS アカウントのパスワードポリシーでは、IAM ユーザーに設定できるパスワードの種類を規定するルールを定義します。パスワードポリシーが弱化されると、覚えやすいパスワードや推測しやすいパスワードの作成が可能になり、セキュリティ上のリスクが生じます。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

Stealth:IAMUser/CloudTrailLoggingDisabled結果の説明

AWS CloudTrail の証跡が無効化されています。

この結果では、AWS 環境内での CloudTrail の証跡が無効化されたことを知らせます。攻撃者が追跡対象となるログ記録を無効化し、アクティビティの形跡を消すことで、悪意のある目的で AWS リソースにアクセスしようとしている可能性があります。この結果は、証跡情報の削除または更新が成功することによってトリガーされる場合があります。また、GuardDuty に関連付けられた証跡から、ログを保存する S3バケットが適切に削除された場合にもトリガーされます。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

32


Stealth:IAMUser/LoggingConfigurationModified結果の説明

IAM ユーザーが、通常 AWS アカウントの CloudTrail ログ記録の停止、既存ログの削除、その他アクティビティの痕跡を消去するために使用される API を呼び出した。


この結果は、AWS アカウントのログ記録設定が不審な状況下で変更された場合にトリガーされます。たとえば、IAM ユーザーが、いままで行ったことのない StopLogging API の呼び出しを行った場合などです。これは、攻撃者が自身のアクティビティの痕跡を消去することで自身の行動を隠そうとしていることを示す場合があります。

Trojan:EC2/BlackholeTraffic結果の説明

EC2 インスタンスは、ブラックホールと呼ばれるリモートホストの IP アドレスに通信しようとしています。

この結果では、AWS 環境の EC2 インスタンスがブラックホール (あるいはシンクホール) の IP アドレスと通信しようとしているため、このインスタンスが侵害されている可能性があることを知らせます。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、目的の受取人にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。詳細については、「侵害された EC2インスタンスの修正 (p. 39)」を参照してください。

Trojan:EC2/DropPoint結果の説明

EC2 インスタンスは、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしています。

この結果により、AWS 環境の EC2 インスタンスで、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしていることが分かります。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2インスタンスの修正 (p. 39)」を参照してください。

Trojan:EC2/BlackholeTraffic!DNS結果の説明

EC2 インスタンスは、ブラックホール IP アドレスにリダイレクトされるドメイン名へのクエリを実行しています。

この結果では、AWS 環境の EC2 インスタンスがブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしているため、侵害されている可能性があることが分かります。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、目的の受取人にデータが届いていないことは送信元に知らされません。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

33


Trojan:EC2/DriveBySourceTraffic!DNS結果の説明EC2 インスタンスは、Drive By Download 攻撃の既知のソースであるリモートホストのドメイン名をクエリしています。

この結果によると、Drive By Download 攻撃の既知のソースであるリモートホストのドメイン名をクエリしているため、AWS 環境の EC2 インスタンスが侵害されている可能性があることが分かります。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールをトリガーする場合があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Trojan:EC2/DropPoint!DNS結果の説明EC2 インスタンスは、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名をクエリしています。

この結果により、AWS 環境の EC2 インスタンスで、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名がクエリされていることが分かります。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Trojan:EC2/DGADomainRequest.B結果の説明EC2 インスタンスで、アルゴリズムを使用して生成されたドメインがクエリされています。このようなドメインは、一般的にマルウェアによって悪用されることが多く、EC2 インスタンスが侵害されている場合があります。

この結果では、AWS 環境の EC2 インスタンスがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせます。EC2 インスタンスは侵害されている可能性があります。

Note

この結果は、高度なヒューリスティックを使用したドメイン名の分析に基づくため、脅威インテリジェンスフィードでは検出されない新しい DGA ドメインを識別する可能性があります。

DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Trojan:EC2/DGADomainRequest.C!DNS結果の説明EC2 インスタンスで、アルゴリズムを使用して生成されたドメインがクエリされています。このようなドメインは、一般的にマルウェアによって悪用されることが多く、EC2 インスタンスが侵害されている場合があります。

34


この結果では、AWS 環境の EC2 インスタンスがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせます。EC2 インスタンスは侵害されている可能性があります。

Note

この結果は、GuardDuty の脅威インテリジェンスフィードで「既知」の DGA ドメインに基づいています。

DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Trojan:EC2/DNSDataExfiltration結果の説明

EC2 インスタンスが DNS クエリを通じてデータを密かに抽出しようとしています。

この結果では、AWS 環境の EC2 インスタンスに DNS クエリを使用して送信データを転送するマルウェアがあることを知らせます。その結果としてデータが密かに抽出されます。EC2 インスタンスは侵害されている可能性があります。通常、DNS トラフィックはファイアウォールでブロックされません。たとえば、侵害された EC2 インスタンスのマルウェアは、データ (クレジットカード番号など) を DNS クエリ内にエンコードし、それを攻撃者が制御するリモート DNS サーバーに送信できます。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Trojan:EC2/PhishingDomainRequest!DNS結果の説明

EC2 インスタンスはフィッシング攻撃に関与するクエリ実行のドメインです。EC2 インスタンスは侵害されている可能性があります。

この結果は、AWS 環境の EC2 インスタンスがフィッシング攻撃に関与しているドメインをクエリしようとしていることを知らせます。フィッシングドメインは、個人を特定できる情報、銀行やクレジットカードの詳細情報とパスワードなど、ユーザーが機密データを提供するように仕向ける、正当な機関になりすました人物によってセットアップされています。EC2 インスタンスがフィッシングウェブサイトに保管されている機密データを取得しようとしている可能性があります。または、EC2 インスタンスがフィッシングウェブサイトをセットアップしようとしています。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

UnauthorizedAccess:IAMUser/TorIPCaller結果の説明

API が Tor 出口ノードの IP アドレスから呼び出されました。

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が Tor 出口ノードの IP アドレスから呼び出されたことを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

35


UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom結果の説明API がカスタム脅威リストにある IP アドレスから呼び出されました。

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が、アップロードした脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。GuardDuty の場合、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDutyでは、アップロード済みの脅威リストに基づいて結果を生成します。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B結果の説明世界中でコンソールに対する複数の正常なログインが確認されました。

この結果では、世界各地から同時に同じ IAM ユーザーによるコンソールへの複数の正常なログインが確認されたことを知らせます。このような通常と異なる、リスクの高いアクセスロケーションパターンは、AWS リソースへの未承認のアクセスの可能性を示しています。詳細については、「侵害された AWS認証情報の修正 (p. 39)」を参照してください。

Note

この結果は、ルート、IAM ユーザー、フェデレーティッドユーザー、といった IAM ID のアクティビティによってのみトリガーされます。この結果は、想定されたロールのアクティビティによってトリガーされるものではありません。IAM ID の詳細については、「CloudTrail userIdentity 要素」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller結果の説明API が既知の悪意のある IP アドレスから呼び出されました。

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が悪意のある既知の IP アドレスから呼び出されたことを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

UnauthorizedAccess:IAMUser/UnusualASNCaller結果の説明API が通常とは異なる ISP の IP アドレスから呼び出されました。

この結果は、特定のアクティビティが異常な ISP の IP アドレスから呼び出されたことを示しています。これは AWS の使用履歴全体で一度も確認されていない ISP です。このアクティビティには、コンソールログイン、EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などが含まれます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

UnauthorizedAccess:EC2/TorIPCaller結果の説明EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信しています。

36

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html


この結果は、AWS 環境内の EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信していることを通知しています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom結果の説明EC2 インスタンスがカスタム脅威リスト内の IP アドレスとアウトバウンド通信しています。

この結果では、AWS 環境の EC2 インスタンスが、ユーザーがアップロードした脅威リストに含まれている IP アドレスと TCP プロトコルを使用してアウトバウンド通信していることを知らせます。GuardDutyの場合、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDuty では、アップロード済みの脅威リストに基づいて結果を生成します。これは、AWS リソースへの未承認のアクセスを示している可能性があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

UnauthorizedAccess:EC2/SSHBruteForce結果の説明EC2 インスタンスが SSH ブルートフォース攻撃に関与しています。

この結果では、AWS 環境の EC2 インスタンスが、Linux ベースのシステムで SSH サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。

Note

この結果は、ポート 22 の GuardDuty モニタリングトラフィックでのみ生成されます。SSH サービスが他のポートを使用するように設定されている場合には、この結果は生成されません。

詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

UnauthorizedAccess:EC2/RDPBruteForce結果の説明EC2 インスタンスが RDP ブルートフォース攻撃に関与しています。

この結果では、AWS 環境の EC2 インスタンスが、Windows ベースのシステムで RDP サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。詳細については、「侵害されたEC2 インスタンスの修正 (p. 39)」を参照してください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration結果の説明インスタンス起動ロールを通じて EC2 インスタンス専用に作成された認証情報が外部 IP アドレスから使用されています。

この結果では、AWS アカウントの EC2 インスタンスで作成された一時的な AWS 認証情報を使用して、EC2 外のホストから AWS API オペレーションを実行しようとしている試行について知らせます。EC2 インスタンスが侵害されていて、このインスタンスの一時的な認証情報が密かに AWS 外のリモートホストに抽出されている可能性があります。AWS は、一時的な認証情報を作成したエンティティ(AWS アプリケーション、EC2、Lambda など) 外にその認証情報を再配布することはお勧めしません。た

37

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty のリタイアしている結果タイプの詳細なリスト

だし、承認されたユーザーは EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。攻撃の可能性を排除してアクティビティが正当であることを確認するには、これらの認証情報を割り当てる先の IAM ユーザーに問い合わせてみます。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

この結果は一般的に AWS Direct Connect のシナリオでトリガーされます。AWS Direct Connect のシナリオでは、EC2 インスタンスからのすべてのトラフィックがオンプレミスネットワークにルートされ独自のファイアウォールから出力するので、EC2 の外にある IP アドレスから発信されたように見えます。ご利用の AWS 実稼働環境において、EC2 インスタンスで作成した一時的な AWS の認証情報を抽出することが一般的に行われている場合は、有効化した信頼されている IP リストに対する結果の JSON にあるservice.action.awsApiCallAction.remoteIpDetails.ipAddressV4 フィールドのリストに含まれている IP アドレスを追加することで、この結果をホワイトリストに入れることができます。(結果の完全な JSON を表示するには、コンソールで結果を選択し [Actions/Export] を選ぶか、GetFindings (p. 109) API オペレーションを実行します)。GuardDuty の信頼できる IP リストは、ホワイトリストに登録済みで、AWS インフラストラクチャやアプリケーションとの安全な通信に使用できる IP アドレスで構成されます。GuardDutyは信頼できる IP リストの IP アドレスの結果は生成しません。詳細については、「信頼できる IP リストと脅威リストの使用 (p. 41)」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLogin結果の説明AWS アカウントの IAM ユーザーによる通常とは違うコンソールへのログインが確認された。

この結果では、AWS 環境の特定の IAM ユーザーが、確立されたベースラインとは異なる動作を示していることを知らせます。この IAM ユーザーには、この特定の場所からこのクライアントアプリケーションを使用してログインしたアクティビティの履歴はありません。IAM ユーザーの認証情報は侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修正 (p. 39)」を参照してください。

この結果は、コンソールへのログインが不審な状況下で検出された場合にトリガーされます。たとえば、IAM ユーザーが、いままで行ったことのない ConsoleLogin API の呼び出しを、これまで使用したことのないクライアントまたは通常とは異なる場所から行った場合などです。これは、盗まれた認証情報がAWS アカウントにアクセスするために使用されているか、有効なユーザーが無効または安全ではない方法(たとえば、許可された VPN 経由ではないなど) でアカウントにアクセスしている可能性を示します。

GuardDuty のリタイアしている結果タイプの詳細なリスト以下は、GuardDuty の終了している (今後生成されない) 結果タイプです。

Important

GuardDuty のリタイアした結果タイプを再アクティブ化することはできません。

トピック• Behavior:IAMUser/InstanceLaunchUnusual (p. 38)• CryptoCurrency:EC2/BitcoinTool.A (p. 39)

Behavior:IAMUser/InstanceLaunchUnusual結果の説明IAM ユーザーが起動した EC2 インスタンスのタイプが通常と異なります。

この結果では、AWS 環境の特定の IAM ユーザーが、確立されたベースラインとは異なる動作を示していることを知らせます。この IAM ユーザーには、このタイプの EC2 インスタンスを起動した履歴がありま

38

Amazon GuardDuty Amazon Guard Duty ユーザーガイドAmazon GuardDuty によって検

出されたセキュリティ問題の修復

せん。IAM ユーザーの認証情報は侵害されている可能性があります。詳細については、「侵害された AWS認証情報の修正 (p. 39)」を参照してください。

CryptoCurrency:EC2/BitcoinTool.A結果の説明EC2 インスタンスはビットコインマイニングプールと通信しています。

この結果では、AWS 環境の EC2 インスタンスがビットコインマイニングプールと通信していることを知らせます。暗号通貨マイニングの分野で、マイニングプールとはマイナー (採掘者) によるリソースの共同出資 (プール) であり、ネットワークで処理能力を共有し、ブロックの解決に貢献した度合いに応じて報酬の分配を受ける仕組みです。この EC2 インスタンスをビットコインマイニングに使用していない限り、EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正 (p. 39)」を参照してください。

Amazon GuardDuty によって検出されたセキュリティ問題の修復

Amazon GuardDuty は、潜在的なセキュリティ問題を示す結果 (p. 20)を生成します。このリリースのGuardDuty におけるセキュリティ問題は、AWS 環境の侵害された EC2 インスタンスまたは侵害された認証情報セットを示します。以下のセクションでは、どちらのシナリオにおいても推奨される修正手順について説明します。

トピック• 侵害された EC2 インスタンスの修正 (p. 39)• 侵害された AWS 認証情報の修正 (p. 39)

侵害された EC2 インスタンスの修正AWS 環境の侵害された EC2 インスタンスを修正するには、以下の推奨手順に従います。

• マルウェアに侵害された可能性のあるインスタンスを調査し、検出されたマルウェアを削除します。マルウェアの特定および削除に役立つパートナー製品については、AWS Marketplace も参照してください。

• EC2 インスタンス上の不正なアクティビティを特定し、停止できない場合は、侵害された EC2 インスタンスを削除し、必要に応じて新しいインスタンスを作成することをお勧めします。EC2 インスタンスを保護するための追加リソースを以下に示します。• 「Amazon EC2 のベストプラクティス」の「セキュリティおよびネットワーク」セクション。• 「Linux インスタンス用の Amazon EC2 セキュリティグループ」および「Windows インスタンス用の

Amazon EC2 セキュリティグループ」• 「EC2 インスタンス保護のヒント (Linux)」および「Windows EC2 インスタンスの保護」• AWS セキュリティのベストプラクティス

• AWS 開発者フォーラムの詳細については、「https://forums.aws.amazon.com/index.jspa」を参照してください。

• プレミアムサポートパッケージの受信者は、「one-one-one assistance」をリクエストできます。

侵害された AWS 認証情報の修正AWS 環境の侵害された認証情報を修正するには、以下の推奨手順に従います。

39

https://aws.amazon.com/marketplace

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html

https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/

https://aws.amazon.com/answers/security/aws-securing-windows-instances/

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf

https://forums.aws.amazon.com/index.jspa

https://console.aws.amazon.com/support/home#/case/create?issueType=technical

Amazon GuardDuty Amazon Guard Duty ユーザーガイド侵害された AWS 認証情報の修正

• 認証情報の所有者を識別します。

GuardDuty の結果により AWS 認証情報が侵害されている可能性に気づいたら、アクセスキーまたはユーザー名を使用して該当する IAM ユーザーを特定できます。

Note

ユーザーが各 AWS サービスの API を使用し、AWS コマンドラインインターフェイス (AWSCLI)、Tools for Windows PowerShell、AWS SDK、または直接 HTTP 呼び出しで AWS をプログラムで呼び出すには、ユーザー独自のアクセスキーが必要です。このニーズを満たすために、IAM ユーザーのアクセスキー (アクセスキー ID およびシークレットアクセスキー) を作成、修正、表示、および更新できます。詳細については、「 IAM ユーザーのアクセスキーの管理」を参照してください。

侵害された可能性のある IAM ユーザーのアクセスキー ID またはユーザー名を確認するには、コンソールを開き、分析するる結果の詳細ペインを表示します。詳細については、「GuardDuty 結果の検索と分析 (p. 20)」を参照してください。アクセスキー ID またはユーザー名を確認したら、IAM コンソールを開き、[Users] タブを選択して、[Find users by username or access key] 検索フィールドにアクセスキー ID またはユーザー名を入力し、該当するユーザーを特定します。

• 認証情報が IAM ユーザーによって正当に使用されたかどうかを確認します。

特定した IAM ユーザーに連絡し、このユーザーが GuardDuty の結果で特定されたアクセスキーとユーザー名を正しく使用しているかどうかを確認します。たとえば、ユーザーが以下のことを行なったかどうかを確認します。• GuardDuty の結果に表示された API オペレーションの呼び出し• GuardDuty の結果に表示された時刻における API オペレーションの呼び出し• GuardDuty の結果に表示された IP アドレスからの API オペレーションの呼び出し

アクティビティが AWS 認証情報の正当な使用を示していることを確認した場合、この GuardDuty の結果は無視できます。そうではない場合、このアクティビティは、該当するアクセスキー、IAM ユーザーの IDとパスワード、または AWS アカウント全体に対する侵害の結果を示している可能性があります。問題の修正については、「My AWS account may be compromised」の記事の情報を参考にしてください。

40

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/


信頼できる IP リストと脅威リストの使用

Amazon GuardDuty では、VPC フローログ、AWS CloudTrail イベントログ、および DNS ログを分析および処理することで、AWS 環境のセキュリティを監視します。このモニタリングのスコープは、GuardDutyでユーザー独自の信頼できる IP リストや脅威リストを使用するように設定することで拡張できます。

信頼できる IP リストは、ホワイトリストに登録済みで、AWS インフラストラクチャやアプリケーションとの安全な通信に使用できる IP アドレスで構成されます。GuardDuty は信頼できる IP リストの IP アドレスの結果は生成しません。どの時点でも、信頼されている IP リストのアップロード数は各リージョンのAWS アカウントにつき 1 つに限られます。

脅威リストは、既知の悪意のある IP アドレスで構成されます。GuardDuty では、脅威リストに基づいて結果を生成します。どの時点でも、脅威リストのアップロード数は各リージョンの AWS アカウントにつき最大 6 つに限られます。

マスター GuardDuty アカウントのユーザーは、信頼されている IP リストと脅威リストをアップロードし管理することができます。メンバーの GuardDuty アカウントのユーザーは、リストをアップロードし管理することができません。マスターアカウントからアップロードされた信頼されている IP リストや脅威リストは、そのメンバーアカウントの GuardDuty 機能に適用されます。つまり、メンバーアカウントの場合、GuardDuty はマスターの信頼されている IP リストの IP アドレスが関与するアクティビティに基づいて結果を生成しません。マスターの脅威リストの既知の悪質な IP アドレスが関与するアクティビティに基づいて結果を生成します。詳細については、「Amazon GuardDuty で AWS アカウントを管理する (p. 45)」を参照してください。

Important

GuardDuty では、信頼できる IP リストおよび脅威リストの評価に必要なアクセス権限を GuardDuty に許可した際に自動的に割り当てられた同じAWSServiceRoleForAmazonGuardDutyサービスにリンクされたロール (p. 13)を使用します。

信頼できる IP リストと脅威リストを作成して GuardDuty にアップロードする際は、以下の点に注意してください。

• 信頼できる IP リストと脅威リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。

サンプルリストをプレーンテキスト形式で以下に示します。

54.20.175.217205.0.0.0/8

• GuardDuty では、脅威リスト内の非ルーティング IP アドレスや内部 IP アドレスの結果は生成されません。

• GuardDuty では、脅威リストに含まれているドメイン名が関与するアクティビティに基づく結果は生成されません。GuardDuty では、脅威リストの IP アドレスと CIDR 範囲が関与するアクティビティに基づく結果のみが生成されます。

トピック• 信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 (p. 42)• 信頼されている IP リストと脅威リストをアップロードするには (p. 42)

41

Amazon GuardDuty Amazon Guard Duty ユーザーガイド信頼されている IP リストと脅威リストを

アップロードするために必要なアクセス権限

• 信頼されている IP リストや脅威リストを有効化または無効化にする (p. 43)• 信頼されている IP リストと脅威リストを更新するには (p. 43)

信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限

GuardDuty の信頼されている IP リストおよび脅威リストを操作するには、さまざまな IAM ID に適切なアクセス権限が必要です。AmazonGuardDutyFullAccess 管理ポリシーがアタッチされている ID のみがアップロードされた信頼されている IP リストと脅威リストの名前を変更および無効化できます。

さまざまな ID に、信頼されている IP リストと脅威リストの操作 (名前変更および無効化に加えて、リストのアップロード、有効化、削除、場所の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションが IAM ユーザー、グループ、またはロールにアタッチされたアクセス権ポリシーに存在することを確認してください。

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }

Important

これらのアクションは AmazonGuardDutyFullAccess 管理ポリシーに含まれていません。

信頼されている IP リストと脅威リストをアップロードするには

次の手順では、信頼できる IP リストと脅威リストを GuardDuty コンソールでアップロードする方法を示します。

信頼できる IP リストと脅威リストをアップロードするには (コンソール)

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開きます。2. ナビゲーションペインで [Settings] の [Lists] を選択します。3. [List management] ページで、[Add a trusted IP list] または [Add a threat list] を選択します。4. ] ダイアログボックスで、以下の操作を実行します。

• [List name] に、リストの名前を入力します。• [Location] で、リストの場所を指定します。これは、信頼できる IP リストまたは脅威リストと、リ

ストを含むファイルが保存されている S3 バケットです。

Note

次の形式で場所の URL を指定できます。

42


Amazon GuardDuty Amazon Guard Duty ユーザーガイド信頼されている IP リストや脅威リストを有効化または無効化にする

• https://s3.amazonaws.com/bucket.name/file.txt• https://s3-aws-region.amazonaws.com/bucket.name/file.txt• http://bucket.s3.amazonaws.com/file.txt• http://bucket.s3-aws-region.amazonaws.com/file.txt• s3://mybucket/file.txt

• [Format] で、リストのファイルタイプを選択します。• [I agree] チェックボックスをオンにします。• [Add list] を選択します。

信頼されている IP リストや脅威リストを有効化または無効化にする

次の手順は、アップロードが完了した後で GuardDuty の信頼されている IP リストや脅威リストを有効化または無効化にする方法を示しています。GuardDuty は有効化になっている場合、AWS 環境のモニタリングでアップロードしたリストのみを含みます。

信頼されている IP リストと脅威リストを有効化にする (コンソール)

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開きます。2. ナビゲーションペインで [Settings] の [Lists] を選択します。3. [List management] ページで、有効化したい信頼されている IP セットまたは脅威リストを探し、

[Active] の列にあるラジオボタンを選択します。

信頼されている IP リストや脅威リストを無効化にする (API または CLI)

• 現時点の GuardDuty では、コンソールを使用して信頼されている IP リストや脅威リストを無効化にすることはできません。

UpdateIPSet (p. 192) と UpdateThreatIntelSet (p. 195) API または update-ip-set と update-threat-intel-set CLI コマンドを実行することで、信頼されている IP リストまたは脅威リストを無効化にすることができます。

たとえば、次のコマンドを実行できます。

aws guardduty update-ip-set --detector-id <detector-id> --ip-set-id <ip-set-id> --no-activate

<detector-id> と <ip-set-id> を、有効なディテクター ID と信頼されている IP リスト ID に必ず置き換えてください。

信頼されている IP リストと脅威リストを更新するには

GuardDuty にすでにアップロードされて有効な信頼されている IP リストあるいは脅威リストを変更する場合 (たとえば、リストの名前を変更するまたは IP アドレスを追加するなど)、GuardDuty のセキュリティモニタリングスコープで最新バージョンのリストを使用するように、このリストを GuardDuty に更新する必要があります。安全なリストまたは脅威リストを更新するには、以下の手順を使用するか、またはUpdateIPSet (p. 192) あるいは UpdateThreatIntelSet (p. 195) API を実行します。

43


https://docs.aws.amazon.com/cli/latest/reference/guardduty/update-ip-set.html

https://docs.aws.amazon.com/cli/latest/reference/guardduty/update-threat-intel-set.html

https://docs.aws.amazon.com/cli/latest/reference/guardduty/update-threat-intel-set.html

Amazon GuardDuty Amazon Guard Duty ユーザーガイド信頼されている IP リストと脅威リストを更新するには

信頼されている IP リストと脅威リストを更新するには (コンソール)

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開きます。2. ナビゲーションペインで [Settings] の [Lists] を選択します。3. [リスト管理] ページで、更新する信頼されている IP セットまたは脅威リストを探し、[アクティブ] の

列にある鉛筆アイコンを選択します。4. [更新リスト] ポップアップウィンドウで指定するリストの情報を確認し、[同意します] を選択して、

[リストの更新] を選択します。5. [リスト管理] ページで、再度有効化したい信頼される IP セットまたは脅威リストを探し、[アクティ

ブ] の列にあるラジオボタンを選択します。

44


Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty マスターアカウント

Amazon GuardDuty で AWS アカウントを管理する

他のアカウントを招待して、GuardDuty を有効にし、AWS アカウントに関連付けることができます。招待が受け入れられると、アカウントは GuardDuty のマスターアカウントとして指定され、関連付けられたアカウントはメンバーアカウントになります。これにより、これらのアカウントの代わりに GuardDuty の結果を表示および管理できます。GuardDuty では、最大 1000 のメンバーアカウントをマスターアカウント (各リージョン) に登録できます。

AWS アカウントを同時に GuardDuty のマスターアカウントとメンバーアカウントにすることはできません。AWS アカウントでは 1 つの GuardDuty メンバーシップの招待のみを受け付けられます。メンバーシップの招待の承諾はオプションです。

以下のセクションでは、GuardDuty コンソール、CLI、および API を使用してマスターアカウントおよびメンバーアカウントを作成する方法について説明します。AWS CloudFormation を使用して、マスターおよびメンバーのアカウントを作成することもできます。詳細については、AWS::GuardDuty::Master およびAWS::GuardDuty::Member を参照してください。

Note

GuardDuty メンバーアカウントの作成時にクロスリージョンデータ転送が発生することがあります。メンバーアカウントの E メールアドレスを確認するために、GuardDuty では AWS の米国東部 (バージニア北部) リージョンでのみ動作する AWS 以外のアカウント情報検証サービスを使用します。

トピック• GuardDuty マスターアカウント (p. 45)• GuardDuty メンバーアカウント (p. 46)• GuardDuty コンソールでマスターアカウントとメンバーアカウントを指定する (p. 47)• GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定 (p. 48)• 複数のアカウントで同時に GuardDuty を有効にする (p. 49)

GuardDuty マスターアカウントマスターアカウントのユーザーは、自分のアカウントおよびすべてのメンバーアカウントの GuardDuty を設定できるだけでなく、GuardDuty の結果を表示および管理できます。

マスターアカウントのユーザーが GuardDuty を設定する方法は以下のとおりです。

• マスターアカウントのユーザーは、自身のアカウントでサンプル結果を生成できます。マスターアカウントのユーザーは、メンバーのアカウントでサンプル結果を生成できません。

• マスターアカウントのユーザーは、自分のアカウントとすべてのメンバーアカウントで結果をアーカイブすることができます。

• マスターアカウントのユーザーは、信頼できる IP リストと脅威リストを自分のアカウントでアップロードして管理できます。

Important

マスターアカウントからアップロードした、あるいはマスターアカウントにアップロードした信頼されている IP リストや脅威リストは、そのメンバーアカウントの GuardDuty 機能に適用されます。つまり、メンバーアカウントの場合、GuardDuty はマスターアカウントの脅威リストで既知の悪意ある IP アドレスを含むアクティビティに基づく結果を生成しますが、マス

45

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-guardduty-master.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-guardduty-member.html

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty メンバーアカウント

ターの信頼される IP リストの IP アドレスに関連するアクティビティに基づく結果は生成しません。

• マスターアカウントのユーザーは、各自の (マスター) アカウントで GuardDuty を停止できます。また、マスターアカウントのユーザーは、メンバーアカウントで GuardDuty を停止することもできます。

Note

マスターアカウントのユーザーがマスターアカウントで GuardDuty を停止した場合、この停止はメンバーアカウントに自動的に適用されません。GuardDuty メンバーアカウントを停止するには、マスターアカウントのユーザーがこのメンバーアカウントを選択し、コンソールを介して GuardDuty を停止するか、StopMonitoringMembers (p. 176) API を実行してこのアカウント ID を指定します。また、マスターアカウントのユーザーは、コンソールから、あるいはStartMonitoringMembers (p. 173) API を実行してメンバーアカウントで GuardDuty を再度有効化できます。

• マスターアカウントのユーザーは、各自の (マスター) アカウントで GuardDuty を無効化できます。ただし、マスターアカウントで GuardDuty を無効化する前に、すべてのメンバーアカウントを削除する必要があります。マスターアカウントのユーザーは、メンバーアカウントの GuardDuty を無効にすることはできません。

GuardDuty メンバーアカウントメンバーアカウントのユーザーは、自分のアカウントの GuardDuty を設定し、さらに GuardDuty の結果を表示および管理できます。メンバーアカウントのユーザーは、マスターアカウントまたは他のメンバーアカウントの GuardDuty の設定、結果の表示や管理を行うことはできません。

メンバーアカウントのユーザーが GuardDuty を設定する方法は以下のとおりです。

• メンバーアカウントのユーザーは、自身のメンバーアカウントでサンプル結果を生成できます。メンバーアカウントのユーザーは、マスターアカウントや他のメンバーのアカウントでサンプル結果を生成できません。

• メンバーアカウントのユーザーが自分のアカウント、マスターアカウント、他のメンバーアカウントで結果をアーカイブすることはできません。

• メンバーアカウントのユーザーが、信頼されている IP リストや脅威リストをアップロードして管理することはできません。

マスターアカウントからアップロードされた信頼されている IP リストや脅威リストは、そのメンバーアカウントの GuardDuty 機能に適用されます。つまり、メンバーアカウントの場合、GuardDuty はマスターアカウントの脅威リストで既知の悪意ある IP アドレスを含むアクティビティに基づく結果を生成しますが、マスターの信頼される IP リストの IP アドレスに関連するアクティビティに基づく結果は生成しません。

Note

GuardDuty アカウントが GuardDuty メンバーアカウントになると、その信頼されている IP リストと脅威リスト (GuardDuty メンバーアカウントになる前にアップロード済み) は無効になります。GuardDuty メンバーアカウントとマスターアカウントの関連付けが解除されると、その信頼されている IP リストと脅威リスト (GuardDuty メンバーアカウントになる前にアップロード済み) は再び有効になります。GuardDuty メンバーアカウントではなくなると、そのアカウントのユーザーはアカウントで信頼されている IP リストと脅威リストをアップロードし管理することができます。

• メンバーアカウントのユーザーは、各自のアカウントで GuardDuty を停止できます。メンバーアカウントのユーザーは、マスターアカウントや他のメンバーアカウントの GuardDuty を停止できません。

• メンバーアカウントのユーザーは、各自のアカウントで GuardDuty を無効化止できます。メンバーアカウントのユーザーは、マスターアカウントや他のメンバーアカウントの GuardDuty を無効化できません。

46

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty コンソールでマスターアカ

ウントとメンバーアカウントを指定する

GuardDuty コンソールでマスターアカウントとメンバーアカウントを指定する

GuardDuty では、自分のアカウントに別の AWS アカウントを追加して関連付けた場合や、別のアカウントが招待を受け入れてメンバーアカウントになることを承諾した場合、自分のアカウントがマスターアカウントになります。

自分のアカウントがマスターアカウントでない場合は、別のアカウントからの招待を受け入れることができます。招待を受け入れると、自分のアカウントはメンバーアカウントになります。

アカウントの追加、アカウントの招待、または別のアカウントからの招待の受け入れの手順は以下のとおりです。

• ステップ 1 - アカウントを追加する• ステップ 2: アカウントを招待する• ステップ 3 - 招待を受け入れる

ステップ 1 - アカウントを追加する

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開きます。2. ナビゲーションペインで [Settings] の [Accounts] を選択します。3. [Add accounts] を選択します。4. [Add member] アカウントページで、[Enter accounts] に追加するアカウントの AWS アカウント ID と

E メールアドレスを入力します。次に [Add account] を選択します。

複数のアカウントを追加するには、ID と E メールアドレスを一度に 1 つずつ指定します。[Upload list(.csv)] を選択して、アカウントを一括追加することもできます。この機能は、一部のアカウントを招待して GuardDuty をすぐに有効にし、他のアカウントについては遅延させる場合に便利です。

Important

.csv リストでは 1 行に 1 つのアカウントを表示する必要があります。.csv リスト内のアカウントごとに、アカウント ID と E メールアドレスをカンマ区切りで指定する必要があります。以下の例のように、.csv ファイルの 1 行目にヘッダー (例: Account ID,Email) が含まれている必要があります。後続の各行には、追加するアカウントの有効なアカウント ID および有効な E メールアドレスを含む必要があります。アカウント ID と E メールアドレスはカンマで区切ります。

Account ID,Email111111111111,[email protected]

5. アカウントの追加が完了したら、[Done] を選択します。

追加したアカウントが [Accounts] ページに一覧表示されます。このリストに追加された各アカウントの [Status] 列には [Invite] リンクがあります。

ステップ 2: アカウントを招待する

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開きます。2. ナビゲーションペインで [Settings] の [Accounts] を選択します。3. アカウントを招待して GuardDuty を有効にするには、追加したアカウントのリストで [Status] 列に表

示される [Invite] リンクを選択します。

47



Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty API オペレーションでのマス

ターアカウントとメンバーアカウントの指定

4. [Invitation to GuardDuty] ダイアログボックスに、招待メッセージ (オプション) を入力し、[Sendnotification] を選択します。

招待したアカウントの [Status] 列の値が [Pending] に変わります。

ステップ 3 - 招待を受け入れる

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開きます。2. 次のいずれかを行ってください。

• GuardDuty が有効になっていない場合は、[Enable GuardDuty] ページで [Enable GuardDuty] を選択します。次に [Accept] ウィジェットおよび [Accept invitation] ボタンを使用して、メンバーシップ招待を承諾します。

Important

メンバーシップ招待を承諾する前に GuardDuty を有効にする必要があります。• GuardDuty が既に有効になっている場合は、[Accept] ウィジェットおよび [Accept invitation] ボタン

を使用して、メンバーシップ招待を承諾します。

招待を承諾すると、アカウントが GuardDuty メンバーアカウントになります。招待の送信元のアカウントは GuardDuty のマスターアカウントになります。マスターアカウントのユーザーは、メンバーアカウントの [Status] 列の値が [Monitored] に変わったことを確認できます。これで、マスターアカウントのユーザーは、メンバーアカウントの GuardDuty の結果を表示して管理できます。

GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定

API オペレーションを使用して、マスターおよびメンバーの GuardDuty アカウントを指定することもできます。GuardDuty でマスターアカウントおよびメンバーアカウントを指定するために特定の GuardDutyAPI オペレーションを実行する際の必要な順序は以下のとおりです。

GuardDuty マスターアカウントとして指定する AWS アカウントの認証情報を使用して次の手順を実行します。

1. GuardDuty が有効になっている AWS アカウント (GuardDuty のマスターアカウントにするアカウント) の認証情報を使用して CreateMembers (p. 72) API オペレーションを実行します。

現在の AWS アカウントのディテクター ID および GuardDuty メンバーにするアカウントのアカウント詳細 (アカウント ID および E メールアドレス) を指定する必要があります (この API オペレーションで 1 つ以上のメンバーを作成できます)。

AWS コマンドラインツールを使用して、この操作を行うこともできます。次の CLI コマンドを実行できます (独自の有効なディテクター ID、アカウント ID、E メールを必ず使用してください:

aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,[email protected]

2. GuardDuty が有効になっている AWS アカウント (GuardDuty のマスターアカウントにするアカウント) の認証情報を使用して InviteMembers (p. 144) API オペレーションを実行します。

現在の AWS アカウントのディテクター ID および GuardDuty メンバーにするアカウントのアカウント ID (この API オペレーションで 1 つ以上のメンバーを招待できます) を指定する必要があります。

48


Amazon GuardDuty Amazon Guard Duty ユーザーガイド複数のアカウントで同時に GuardDuty を有効にする

Note

message リクエストパラメータを使用してオプションの招待メッセージを指定することもできます。

AWS コマンドラインツールを使用して、この操作を行うこともできます。次の CLI コマンドを実行できます (独自の有効なディテクター ID とアカウント ID を必ず使用してください:

aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012

GuardDuty メンバーアカウントとして指定する各 AWS アカウントの認証情報を使用して次の手順を実行します。

1. GuardDuty メンバーアカウントに招待された AWS アカウントごとに CreateDetector (p. 60) APIオペレーションを実行して招待を受け入れます。

GuardDuty サービスを使用してディテクターリソースを有効にするかどうかを指定する必要があります。GuardDuty が動作するためには、ディテクターを作成して有効にする必要があります。招待を受け入れる前に、まず GuardDuty を有効にする必要があります。

AWS コマンドラインツールを使用して、この操作を行うこともできます。以下の CLI コマンドを実行できます。

aws guardduty create-detector --enable

2. メンバーの正体を受け入れる AWS アカウントごとに、アカウントの認証情報を使用してAcceptInvitation (p. 55) API オペレーションを実行します。

この AWS アカウント (メンバーアカウント) のデテクター ID、受け入れる招待を送信した AWS アカウントのマスター ID (この値は招待メール内または ListInvitations (p. 159) API オペレーションを実行して取得できます。これは accountID レスポンスパラメータの値です) および受信した招待の招待ID を指定する必要があります。

AWS コマンドラインツールを使用して、この操作を行うこともできます。次の CLI コマンドを実行できます (有効なディテクター ID、マスターアカウント ID、招待 ID を必ず使用してください:

aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --master-id 012345678901 --invitation-id 84b097800250d17d1872b34c4daadcf5

複数のアカウントで同時に GuardDuty を有効にする

複数のアカウントで同時に GuardDuty を有効にするには、enableguardduty.py と disableguardduty.py, を実行できます。これらは次のページからダウンロードできます。 https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts

enableguardduty.py は GuardDuty を有効にし、マスターアカウントから招待を送信してすべてのメンバーアカウントで招待を受け入れます。結果はすべてのメンバーアカウントのセキュリティ結果を含むマスター GuardDuty アカウントです。GuardDuty はリージョン別に分離されているので、各メンバーアカウントの結果はマスターアカウントで対応リージョンにロールアップされます。たとえば、GuardDuty マ

49

https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts

https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts

Amazon GuardDuty Amazon Guard Duty ユーザーガイド複数のアカウントで同時に GuardDuty を有効にする

スターアカウントの us-east-1 リージョンには、関連付けているすべてのメンバーアカウントからの us-east-1 結果すべてのセキュリティ結果が含まれています。

スクリプトは StackSets サービスを考慮してモデル化されているため、GuardDuty を有効にしたい各アカウントで AWSCloudFormationStackSetExecutionRole という IAM ロールを必要とします。このロールは GuardDuty へのアクセス権を持つ StackSets を提供します。すでに StackSets を使用している場合は、スクリプトが既存のロールを活用できます。その他の場合は https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs.html の手順を使用し、GuardDuty を有効にしたい各アカウントで AWSCloudFormationStackSetExecutionRole をセットアップします。

管理者権限を持つロールがある新しい Amazon Linux インスタンスを起動します。このインスタンスにログインし、次のコマンドを実行します。

sudo yum install git python sudo pip install boto3 aws configure git clone https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts.gitcd amazon-guardduty-multiaccount-scripts sudo chmod +x disableguardduty.py enableguardduty.py

Note

プロンプトが表示されたら、us-east-1 または任意のデフォルトのリージョンに設定します。

スクリプトには GuardDuty マスターアカウントのアカウント ID のパラメーターが 1 つあります。enableguardduty.py または disableguardduty.py を実行する前に、どちらかのスクリプトのグローバル変数を更新して AWS アカウントとマッピングします。アカウントと関連付けている E メールアドレスのリストを作成できます。マスター GuardDuty アカウントを指定し、メンバーアカウントに送信した招待メッセージをカスタマイズ (オプション) できます。

50

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs.html


Amazon GuardDuty の停止または無効化

GuardDuty コンソールを使用して GuardDuty を停止または無効化できます。

• GuardDuty を停止すると、AWS 環境のセキュリティは監視されなくなり、新しい結果は生成されません。既存の結果は変更されず、GuardDuty の停止によって影響を受けることはありません。GuardDutyは後で再度有効にすることができます。

Important

サービスの停止中は、GuardDuty の使用に対して課金されることはありません。• GuardDuty を無効にすると、既存の結果と GuardDuty の設定は失われ、復旧できなくなります。既存の

結果を保存する場合は、GuardDuty を無効にする前にそれらをエクスポートする必要があります。

GuardDuty を停止または無効化するには (コンソール)

1. GuardDuty コンソール (https://console.aws.amazon.com/guardduty) を開きます。2. ナビゲーションペインで [Settings] の [General] を選択します。3. [Suspend GuardDuty] または [Disable GuardDuty] を選択します。次に [Save settings] を選択します。

51


Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty の CloudWatch イベントルールおよびターゲットの作成

Amazon CloudWatch Events でAmazon GuardDuty の結果をモニタリングする

Amazon GuardDuty では、結果が変更されると、「Amazon CloudWatch イベント」に基づいて通知が送信されます。イベントは、AWS 環境における変化を示します。GuardDuty の場合、このような変化には新しく生成された結果や、これら既存の結果の後続のすべての発生を含みます。既存の結果の後続の発生はすべて常に、元の結果の ID と同一の結果 ID が割り当てられます。

GuardDuty の検索結果にはそれぞれ結果 ID が割り当てられます。GuardDuty によって、一意の結果 ID を持つ各結果に対して CloudWatch イベントが作成されます。一意の結果 ID を持つ新しく生成された結果については、GuardDuty は CloudWatch イベントに基づいて結果の 5 分以内に通知を送信します。このイベント (およびこの通知) には、この結果が一意の ID を伴って生成されてから最初の 5 分に発生したこの結果のそれ以降のすべての発生も含まれています。

一意の結果 ID を持つ結果それぞれについて、GuardDuty は 6 時間間隔で、特定の結果の後続のすべての発生を単一のイベントに集計します。その後、GuardDuty はこのイベントに基づいて、これらの後続の発生について通知を送信します。つまり、既存の結果の後続の発生については、GuardDuty は CloudWatchイベントに基づいて 6 時間ごとに通知を送信します。

GuardDuty の CloudWatch イベントには次の形式があります。

{ "version": "0", "id": "cd2d702e-ab31-411b-9344-793ce56b1bc7", "detail-type": "GuardDuty Finding", "source": "aws.guardduty", "account": "111122223333", "time": "1970-01-01T00:00:00Z", "region": "us-east-1", "resources": [], "detail": {COMPLETE_GUARDDUTY_FINDING_JSON} }

COMPLETE_GUARDDUTY_FINDING_JSON に含まれているすべてのパラメータの完全なリストについては、「レスポンスの構文 (p. 110)」を参照してください。COMPLETE_GUARDDUTY_FINDING_JSONに表示される ID パラメーターは、上記で説明した ID を検出します。

GuardDuty の CloudWatch イベントルールおよびターゲットの作成

以下の手順は、AWS CLI コマンドを使用して、GuardDuty の CloudWatch イベントルールおよびターゲットを作成する方法を示します。具体的には、ルールを作成して、CloudWatch で、GuardDuty が生成するすべての結果のイベントを送信し、ルールのターゲットとして AWS Lambda 関数を追加する方法について説明します。

52

http://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html

http://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGuardDuty の CloudWatch イベントルールおよびターゲットの作成

Note

Lambda 関数に加えて、GuardDuty および CloudWatch では、ターゲットタイプとして、AmazonEC2 インスタンス、Amazon Kinesis ストリーム、Amazon ECS タスク、AWS Step Functions ステートマシン、run コマンド、および組み込みターゲットに対応しています。

GuardDuty の CloudWatch イベントルールおよびターゲットは、CloudWatch イベントコンソールで作成することもできます。手順などの詳細については、「イベントでトリガーする CloudWatch イベントルールの作成」を参照してください。[Event Source] セクションの [Service name] で GuardDuty、[EventType] で GuardDuty Finding を選択します。

ルールおよびターゲットを作成するには

1. GuardDuty が生成するすべての結果のイベントを CloudWatch から送信するルールを作成するには、次の CloudWatch CLI コマンドを実行します。

aws events put-rule --name Test --event-pattern "{\"source\":[\"aws.guardduty\"]}"

Important

GuardDuty で生成された結果のサブセットにのみイベントを送信するよう CloudWatch に指示できるように、ルールをさらにカスタマイズできます。このサブセットは、ルールで指定されている結果の属性に基づきます。たとえば、次の CLI コマンドを使用して、CloudWatchで重要度が 5.0 または 8.0 の GuardDuty 結果のイベントのみ送信できるようにルールを作成します。aws events put-rule --name Test --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5.0,8.0]}}"そのために、結果のソートに対応している GuardDuty 属性のいずれかを使用できます。詳細については、「GetFindings (p. 109)」を参照してください。

2. ステップ 1 で作成したルールのターゲットとして Lambda 関数をアタッチするには、次のCloudWatch CLI コマンドを実行します。

aws events put-targets --rule Test --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:<your_function>

Note

上記コマンド内の <your_function> を GuardDuty イベントの実際の Lambda 関数に置き換えてください。

3. ターゲットを呼び出す上で必要なアクセス許可を追加するには、次の Lambda CLI コマンドを実行します。

aws lambda add-permission --function-name <your_function> --statement-id 1--action 'lambda:InvokeFunction' --principal events.amazonaws.com

Note

上記コマンド内の <your_function> を GuardDuty イベントの実際の Lambda 関数に置き換えてください。

53

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html


Amazon GuardDuty の API リファレンス

Amazon GuardDuty では、VPC フローログと AWS CloudTrail のイベントログを分析および処理することで、AWS 環境のセキュリティを監視します。このガイドでは、GuardDuty の API オペレーションについて説明します。

トピック• AcceptInvitation (p. 55)• ArchiveFindings (p. 58)• CreateDetector (p. 60)• CreateFilter (p. 62)• CreateIPSet (p. 68)• CreateMembers (p. 72)• CreateSampleFindings (p. 75)• CreateThreatIntelSet (p. 78)• DeclineInvitations (p. 82)• DeleteDetector (p. 84)• DeleteFilter (p. 86)• DeleteInvitations (p. 88)• DeleteIPSet (p. 90)• DeleteMembers (p. 93)• DeleteThreatIntelSet (p. 96)• DisassociateFromMasterAccount (p. 98)• DisassociateMembers (p. 100)• GetDetector (p. 103)• GetFilter (p. 105)• GetFindings (p. 109)• GetFindingsStatistics (p. 126)• GetInvitationsCount (p. 130)• GetIPSet (p. 131)• GetMasterAccount (p. 134)• GetMembers (p. 137)• GetThreatIntelSet (p. 141)• InviteMembers (p. 144)• ListDetectors (p. 147)• ListFilters (p. 150)• ListFindings (p. 152)• ListInvitations (p. 159)• ListIPSets (p. 162)

54

Amazon GuardDuty Amazon Guard Duty ユーザーガイドAcceptInvitation

• ListMembers (p. 165)• ListThreatIntelSets (p. 170)• StartMonitoringMembers (p. 173)• StopMonitoringMembers (p. 176)• UnarchiveFindings (p. 179)• UpdateDetector (p. 181)• UpdateFilter (p. 183)• UpdateFindingsFeedback (p. 189)• UpdateIPSet (p. 192)• UpdateThreatIntelSet (p. 195)

AcceptInvitationGuardDuty のマスターアカウントからモニタリングを受ける招待を承認します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/master

本文:

{ "detectorId": string", "masterId": "string", "invitationId": "string"}

パスパラメーターdetectorID

GuardDuty メンバーアカウントになるための招待を受け入れる AWS アカウントのディテクター ID。

型: 文字列

必須: はい

リクエストパラメータリクエストは以下のデータを JSON 形式で受け入れます。

masterId

招待を受け入れる先の GuardDuty マスターアカウントのアカウント ID。

型: 文字列

必須: はい

55

Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンス要素

invitationId

GuardDuty マスターアカウントから AWS アカウントに送信された招待の ID。

型: 文字列

必須: はい

レスポンス要素アクションが成功すると、サービスは HTTP 200 レスポンスを返します。

エラーアクションが失敗すると、サービスより HTTP エラーレスポンスコードとエラー情報の詳細が返ります。

InvalidInputException

リクエストは却下されました。入力パラメータとして指定された値は無効または範囲外です。

HTTP ステータスコード: 400


リクエストは却下されました。必要なクエリまたはパスパラメータが指定されていません。



リクエストは却下されました。1 つ以上の入力パラメータの値が無効です。



リクエストは却下されました。パラメータ (detectorId) の値が無効です。



リクエストは却下されました。現在のアカウントは別のマスターアカウントのメンバーであるため、指定されたアカウント ID からの招待は受け入れられません。



リクエストは却下されました。現在のアカウントには、作成済み、招待済み、または関連付けられたメンバーが存在するため、招待は受け入れられません。



リクエストは却下されました。現在のアカウントは既にマスターアカウントのメンバーであるため、招待を受け入れることはできません。

56

Amazon GuardDuty Amazon Guard Duty ユーザーガイド例



リクエストは却下されました。現在のアカウントには、指定されたマスターアカウント ID からの保留中の招待がないか、既に別のマスターアカウントのメンバーになっています。



リクエストは却下されました。指定したマスターアカウント ID の代わりに、指定されたメンバーアカウント ID の指定されたハンドシェイクアカウント ID を GuardDuty で引き受けることはできません。


LimitExceededException

リクエストは却下されました。入力 (detectorId) は、現在のアカウントによって所有されていません。


InternalException

内部サーバーエラー。


例リクエスト例

POST /detector/a12abc34d567e8fa901bc2d34e56789f0/master HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 80Authorization: AUTHPARAMSX-Amz-Date: 20180125T203032ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "masterId":"012345678901", "invitationId":"84b097800250d17d1872b34c4daadcf5"}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Thu, 25 Jan 2018 20:30:33 GMTx-amzn-RequestId: 97dfbc58-020e-11e8-92b2-215719f46e03X-Amzn-Trace-Id: sampled=0;root=1-5a6a3e69-ddfaf64f3fc7013f95e3c3f8X-Cache: Miss from cloudfrontVia: 1.1 d98420743a69852491bbdea73f7680bd.cloudfront.net (CloudFront)X-Amz-Cf-Id: mNPHSIIZh4O75j28b4jSZ6JaybkjuX3ek9Qu0EREyNYT19f-ZC9opg==Connection: Keep-alive

57

Amazon GuardDuty Amazon Guard Duty ユーザーガイドArchiveFindings

ArchiveFindings結果 ID のリストで指定されている Amazon GuardDuty の結果をアーカイブします。

Important

GuardDuty メンバーアカウントのユーザーが、この API を実行することはできません。現時点のGuardDuty では、メンバーアカウントのユーザーが独自のアカウント、マスターアカウント、他のメンバーアカウントで結果をアーカイブすることはできません。

リクエストの構文

POST https://<endpoint>/detector/{detectorId}/findings/archive

本文:

{ "findingIds": [ "string" ]}

パスパラメーターdetectorId

結果をアーカイブする対象の GuardDuty サービスを指定するディテクター ID。

必須: はい

型: 文字列


findingIds

アーカイブする結果の ID。

タイプ: 文字列の配列. 最小項目数は 0 です。最大数は 50 項目です。

必須: はい


58

Amazon GuardDuty Amazon Guard Duty ユーザーガイドエラー















リクエストは却下されました。リクエストされた結果 ID の数が範囲外です。


NoSuchEntityException



AccessDeniedException

リクエストは却下されました。発信者にこの API を呼び出す権限ありません。


InternalException




POST /detector/c6b0be64463ff852400d8ae5b2353866/findings/archive HTTP/1.1Host: guardduty.us-west-2.amazonaws.com

59

Amazon GuardDuty Amazon Guard Duty ユーザーガイドCreateDetector

Accept-Encoding: identityContent-Length: 52Authorization: AUTHPARAMSX-Amz-Date: 20180209T231008ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "findingIds":[ "9cb0be64df8ba1df249c45eb8a0bf584" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Fri, 09 Feb 2018 23:10:09 GMTx-amzn-RequestId: 5fc7b08b-0dee-11e8-b559-79ec310d4e06X-Amzn-Trace-Id: sampled=0;root=1-5a7e2a51-442c3de5468266edf3c048caX-Cache: Miss from cloudfrontVia: 1.1 51f2e50a0d2a5ee1d9c830bf417b2713.cloudfront.net (CloudFront)X-Amz-Cf-Id: uEzj5jCFHxEGfKoTmB6Wgt8a3uM2JaXrEH0qzaT_JQ-rMDr-HdT9PA==Connection: Keep-alive

CreateDetector1 つの Amazon GuardDuty ディテクターを作成します。ディテクターは、GuardDuty サービスを表すオブジェクトです。ディテクターを作成して、GuardDuty を有効にする必要があります。

Important

現在、GuardDuty では各リージョンの AWS アカウントごとに 1 つのディテクターリソースのみをサポートしています。

リクエストの構文POST https://<endpoint>/detector

本文:

{ "enable" : "boolean"}


enable

ディテクターが有効であるかどうかを指定します。

60

Amazon GuardDuty Amazon Guard Duty ユーザーガイドレスポンスの構文

タイプ: ブール値

必須: はい

レスポンスの構文本文:

{ "detectorId": "string"}


サービスから以下のデータが JSON 形式で返されます。

detectorId

作成したディテクターの一意の ID。

型: 文字列












リクエストは却下されました。必要なアクセス許可 (iam:CreateServiceLinkedRole) がありません。



61


リクエストは却下されました。現在のアカウントのディテクターは既に存在しています。


InternalException




POST /detector HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 0Authorization: AUTHPARAMSX-Amz-Date: 20180123T215330ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 49Date: Tue, 23 Jan 2018 21:53:32 GMTx-amzn-RequestId: da9e1c5b-0087-11e8-8012-7985c94ad5ecX-Amzn-Trace-Id: sampled=0;root=1-5a67aedc-76d97a5c367f2eac94d40825X-Cache: Miss from cloudfrontVia: 1.1 08df71188a92655a7dcd1bb872797741.cloudfront.net (CloudFront)X-Amz-Cf-Id: kYGX5j6wkW7fneZ8ee602vqpr3JCuQqBHyyMdpTwG9JV3u0ybcdaNQ==Connection: Keep-alive{ "detectorId":"12abc34d567e8fa901bc2d34e56789f0"}

CreateFilter指定された検索基準を使用して GuardDuty 検索結果フィルタを作成します。


POST https://<endpoint>/detector/{detectorId}/filter

本文:

62

Amazon GuardDuty Amazon Guard Duty ユーザーガイドパスパラメーター

{ "name": "string", "description": "string", "findingCriteria": { "criterion": [ "<field>": { "gt": "integer", "gte": "integer", "lt": "integer", "lte": "integer", "eq": [ "string" ], "neq": [ "string" ] ] } "action": "[NOOP|ARCHIVE]", "rank": "integer"}


結果をフィルタリングする対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列

必須: はい


name

フィルタの名前。

型: 文字列

必須: はいdescription

フィルタの説明。

型: 文字列

必須: いいえfindingCriteria

結果のクエリのフィルタに使用する条件を表します。

型: FindingCriteria

必須: はい

63

Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストパラメータ

結果をクエリするには、次の属性しか使用できません。

JSON フィールド名コンソールフィールド名

accountID アカウント ID

リージョンリージョン

信頼度 Confidence

id 結果 ID

resource.accessKeyDetails.accessKeyId アクセスキー ID

resource.accessKeyDetails.principalId プリンシパル ID

resource.accessKeyDetails.userName ユーザー名

resource.accessKeyDetails.userType ユーザー型

resource.instanceDetails.iamInstanceProfile.id IAM インスタンスプロファイル ID。

resource.instanceDetails.imageId インスタンスイメージ ID

resource.instanceDetails.instanceId インスタンス ID

resource.instanceDetails.networkInterfaces.ipv6AddressesIPv6 アドレス

resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddressプライベート IPv4 アドレス

resource.instanceDetails.networkInterfaces.publicDnsNamePublic DNS name

resource.instanceDetails.networkInterfaces.publicIpパブリック IP

resource.instanceDetails.networkInterfaces.securityGroups.groupIdセキュリティグループ ID

resource.instanceDetails.networkInterfaces.securityGroups.groupNameセキュリティグループ名

resource.instanceDetails.networkInterfaces.subnetIdサブネット ID

resource.instanceDetails.networkInterfaces.vpcId VPC ID

resource.instanceDetails.tags.key タグキー

resource.instanceDetails.tags.value タグ値

resource.resourceType リソースタイプ

service.action.actionType アクションの種類

service.action.awsApiCallAction.api API 呼び出し

service.action.awsApiCallAction.callerType API 発信者タイプ

service.action.awsApiCallAction.remoteIpDetails.city.cityNameAPI 発信者の都市

service.action.awsApiCallAction.remoteIpDetails.country.countryNameAPI 発信者の国

service.action.awsApiCallAction.remoteIpDetails.ipAddressV4API 発信者の IPv4 アドレス

service.action.awsApiCallAction.remoteIpDetails.organization.asnAPI 発信者の ASN ID

service.action.awsApiCallAction.remoteIpDetails.organization.asnOrgAPI 発信者の ASN 名

64



service.action.awsApiCallAction.serviceName API 発信者のサービス名

service.action.dnsRequestAction.domain DNS リクエストドメイン

service.action.networkConnectionAction.blocked ブロック済みのネットワーク接続

service.action.networkConnectionAction.connectionDirectionネットワーク接続の方向

service.action.networkConnectionAction.localPortDetails.portネットワーク接続のローカルポート

service.action.networkConnectionAction.protocol ネットワーク接続プロトコル

service.action.networkConnectionAction.remoteIpDetails.city.cityNameネットワーク接続の都市

service.action.networkConnectionAction.remoteIpDetails.country.countryNameネットワーク接続の国

service.action.networkConnectionAction.remoteIpDetails.ipAddressV4ネットワーク接続のリモート IPv4 アドレス

service.action.networkConnectionAction.remoteIpDetails.organization.asnネットワーク接続のリモート IP ASN ID

service.action.networkConnectionAction.remoteIpDetails.organization.asnOrgネットワーク接続のリモート IP ASN 名

service.action.networkConnectionAction.remotePortDetails.portネットワーク接続のリモートポート

service.additionalInfo.threatListName 脅威リスト名

service.archived Note

この属性を TRUE に設定すると、アーカイブされた結果のみが表示されます。FALSE に設定すると、アーカイブされていない結果のみが表示されます。この属性が設定されていない場合、既存のすべての結果が表示されます。

service.resourceRole リソースロール

severity 重要度

type 検索タイプ

updatedAt 更新時刻

タイプ: ISO 8601 文字列形式: YYYY-MM-DDTHH:MM:SS.SSSZ あるいは YYYY-MM-DDTHH:MM:SSZ は、含まれている値がミリセカンドであるかどうかに応じます。

Gt

結果のクエリ時に単一のフィールドに適用する「より大きい」条件を表します。

必須: いいえGte

結果のクエリ時に単一のフィールドに適用する「以上」条件を表します。

必須: いいえ

65


Lt

結果のクエリ時に単一のフィールドに適用する「より小さい」条件を表します。

必須: いいえLte

結果のクエリ時に単一のフィールドに適用する「以下」条件を表します。

必須: いいえEq

結果のクエリ時に単一のフィールドに適用する「等しい」条件を表します。

必須: いいえNeq

結果のクエリ時に単一のフィールドに適用する「等しくない」条件を表します。

必須: いいえaction

フィルタに一致する結果に適用されるアクションを指定します。

タイプ: Enum

必須: いいえ

有効な値: NOOP | ARCHIVE

デフォルト: NOOPrank

現在のフィルタのリストにおけるフィルタの位置を指定します。このフィルタが結果に適用される順序も指定します。

タイプ: 整数

必須: いいえ

制限: 最小値は 1 で、最大値は現在のフィルタ総数の増分と等しくなります。

デフォルト: 1

レスポンスの構文

{ "name": "string",}



66


name

正常に作成されたフィルタの名前。

型: 文字列












リクエストは却下されました。パラメータ (name) の値が無効です。



リクエストは却下されました。パラメータ (description) の値が無効です。



リクエストは却下されました。パラメータ (findingCriteria) の値が無効です。



リクエストは却下されました。パラメータ (action) の値が無効です。



リクエストは却下されました。パラメータ (rank) の値が無効です。





67

Amazon GuardDuty Amazon Guard Duty ユーザーガイドCreateIPSet





フィルタの制限を超えたため、リクエストは拒否されます。


EntityAlreadyExistsException

指定された名前のフィルタがすでに存在するため、要求は拒否されました。


InternalException



CreateIPSetIPSet (ホワイトリストに登録されている信頼できる IP アドレスのリスト) を作成し、高い安全性で AWS環境と安全に通信します。

Important

GuardDuty メンバーアカウントのユーザーが、この API を実行することはできません。現時点では、メンバーアカウントの GuardDuty, ユーザーが IPSet のアップロードや管理を行うことはできません。マスターアカウントからアップロードされた IPSet は、そのメンバーアカウントのGuardDuty 機能に適用されます。詳細については、「Amazon GuardDuty で AWS アカウントを管理する (p. 45)」を参照してください。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/ipset

本文:

{ "name": "string", "location": "string", "format": "[TXT|STIX|OTX_CSV|ALIEN_VAULT|PROOF_POINT|FIRE_EYE]", "activate": "boolean"}


IPSet を作成する GuardDuty サービスを指定するディテクター ID。

68


型: 文字列

必須: はい


name

IPSet を識別するわかりやすい名前。この名前は、この IPSet に含まれる IP アドレスを使用するアクティビティによってトリガーされているすべての結果に表示されます。

型: 文字列

必須: はい形式

IPSet を含むファイルの形式。

型: 文字列. 有効な値: TXT | STIX | OTX_CSV | ALIEN_VAULT | PROOF_POINT | FIRE_EYE

Note

信頼できる IP リストと脅威リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。サンプルリストをプレーンテキスト形式で以下に示します。

54.20.175.217205.0.0.0/8

詳細については、「信頼できる IP リストと脅威リストの使用 (p. 41)」を参照してください。

必須: はいlocation

IPSet を含むファイルの URI。

型: 文字列

必須: はいactivate

GuardDuty で、アップロード済みの IPSet の使用を開始するかどうかを指定します。


必須: はい


{ "ipSetId": "string"

69


}



ipSetId

新しく作成された IPSet を指定する一意の ID。

型: 文字列

エラーアクションが失敗すると、サービスより HTTP エラーレスポンスコードとエラー詳細情報が返ります。















リクエストは却下されました。パラメータ (location) の値が無効です。



リクエストは却下されました。パラメータ (format) の値が無効です。




70




リクエストは却下されました。メンバーアカウントが IPSets や ThreatIntelSets を管理することはできません。








リクエストは却下されました。ロールが指定されていません。


BadRequestException

リクエストは却下されました。このサービスでサービスロールを引き受けることはできません。



リクエストは却下されました。必要なアクセス許可 (iam:PutRolePolicy) がありません。


BadRequestException

リクエストは却下されました。指定したサービスロールはサービスにリンクされたロールではありません。


InternalException




POST /detector/12abc34d567e8fa901bc2d34e56789f0/ipset HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 125Authorization: AUTHPARAMS

71

Amazon GuardDuty Amazon Guard Duty ユーザーガイドCreateMembers

X-Amz-Date: 20180124T000824ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "format":"TXT", "activate":true, "location":"https://s3.amazonaws.com/guarddutylists/sample.txt", "name":"ExampleIPSet"}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 46Date: Wed, 24 Jan 2018 00:08:34 GMTx-amzn-RequestId: b2890dcb-009a-11e8-b847-0dd5f510dc2aX-Amzn-Trace-Id: sampled=0;root=1-5a67ce79-a478009a74d2b2b17cba97f3X-Cache: Miss from cloudfrontVia: 1.1 97c5dcf9c391508cdebbbfdcf304912f.cloudfront.net (CloudFront)X-Amz-Cf-Id: F6a_zK56EOZU_GODJVrzv94U9bH9ckLWXa0bCeHSbdaivK-WkTb77Q==Connection: Keep-alive{ "ipSetId":"0cb0141ab9fbde177613ab9436212e90"}

CreateMembersGuardDuty が有効になっている現在の AWS アカウント (GuardDuty のマスターアカウントになるアカウント) に対する Amazon GuardDuty メンバーアカウントを作成します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/member

本文:

{ "accountDetails": [ { "accountId": "string", "email": "string" } ]}


メンバーアカウントを作成する GuardDuty アカウントのディテクター ID。

型: 文字列

72


必須: はい


accountDetails

GuardDuty マスターアカウントに関連付けるアカウントのアカウント ID と E メールアドレスのペアのリスト。

タイプ: 文字列の配列. 最小項目数は 1 です。最大項目数は 50 です。

必須: はいaccountID

AWS アカウント ID。

型: 文字列

必須: はいemail

AWS アカウントの E メールアドレス。

型: 文字列

必須: はい


{ "unprocessedAccounts": [ { "accountId": "string", "result": "string" } ]}



unprocessedAccounts

処理できなかった AWS アカウントのアカウント ID と E メールアドレスのペアのリスト。

タイプ: 文字列の配列accountID

処理できなかった AWS アカウントの ID。

73


型: 文字列result

AWS アカウントを処理できなかった理由。

型: 文字列



リクエストは却下されました。現在のアカウントは既に別のマスターアカウントのメンバーになっているため、メンバーを作成できません。



リクエストは却下されました。アカウントをそのメンバーにすることはできません。



リクエストは却下されました。指定されたアカウント ID は、既に現在のアカウントのメンバーか、関連付けられたメンバーです。



リクエストは却下されました。現在のアカウントはメンバーの最大許容数を超過できないため、これ以上メンバーを作成できません。














74





InternalException




POST /detector/12abc34d567e8fa901bc2d34e56789f0/member HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 84Authorization: AUTHPARAMSX-Amz-Date: 20180125T193018ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "accountDetails":[ { "email":"[email protected]", "accountId":"123456789012" } ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 26Date: Thu, 25 Jan 2018 19:30:19 GMTx-amzn-RequestId: 2ddb8329-0206-11e8-a10a-75feffd08476X-Amzn-Trace-Id: sampled=0;root=1-5a6a304b-0bc475fb7f9beaf25dc8a6a4X-Cache: Miss from cloudfrontVia: 1.1 3a9dca02f1ba6ecd49fee9a3ca7fcb81.cloudfront.net (CloudFront)X-Amz-Cf-Id: nujl7jYlNFfsX25GF6wgrCTyrwmys-SclGlZh2QIZFzxznX53yYYTw==Connection: Keep-alive{ "unprocessedAccounts":[

]}

CreateSampleFindingsAmazon GuardDuty 結果タイプのリストで指定されたタイプのサンプル結果を生成します。findingTypes を「NULL」を指定すると、オペレーションですべてのサポートされているGuardDuty 結果タイプのサンプル結果が生成されます。

75

Amazon GuardDuty Amazon Guard Duty ユーザーガイドリクエストの構文

リクエストの構文POST https://<endpoint>/detector/{detectorId}/findings/create

本文:

{ "findingTypes": [ { "findingType": "string", } ]}


サンプル結果を作成する GuardDuty サービスの ID。

必須: はい

型: 文字列


findingTypes

作成するサンプル結果のタイプを指定する GuardDuty 結果タイプのリスト。

必須: はい

タイプ: 文字列の配列

制約: 最小長は 0 です。最大長は 50 です。findingType

GuardDuty 結果のタイプ。

型: 文字列



76















リクエストは却下されました。指定した結果タイプは無効です。





InternalException




POST /detector/c6b0be64463ff852400d8ae5b2353866/findings/create HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 0Authorization: AUTHPARAMSX-Amz-Date: 20180209T225730ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

77

Amazon GuardDuty Amazon Guard Duty ユーザーガイドCreateThreatIntelSet

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Fri, 09 Feb 2018 22:57:32 GMTx-amzn-RequestId: 9c2bd04f-0dec-11e8-9ce5-1d60637acb70X-Amzn-Trace-Id: sampled=0;root=1-5a7e275b-e03cf47efbf2e2aea8199ebfX-Cache: Miss from cloudfrontVia: 1.1 27a783405519f49942e72a6ed75f783f.cloudfront.net (CloudFront)X-Amz-Cf-Id: eat7We8tGOkIFZ9TQ6UEcGQQZI17OTIMUcRSR6GrcjbLmHEJWszspQ==Connection: Keep-alive

CreateThreatIntelSetThreatIntelSet を作成します。ThreatIntelSet は、既知の悪意のある IP アドレスで構成されています。GuardDuty では、ThreatIntelSet に基づき、結果が生成されます。

Important

GuardDuty メンバーアカウントのユーザーが、この API を実行することはできません。現時点では、メンバーアカウントの GuardDuty, ユーザーが ThreatIntelSets のアップロードや管理を行うことはできません。マスターアカウントからアップロードされた ThreatIntelSets は、そのメンバーアカウントの GuardDuty 機能に適用されます。詳細については、「Amazon GuardDuty でAWS アカウントを管理する (p. 45)」を参照してください。


POST https://<endpoint>/detector/{detectorId}/threatintelset

本文:

{ "name": "string", "location": "string", "format": "[TXT|STIX|OTX_CSV|ALIEN_VAULT|PROOF_POINT|FIRE_EYE]", "activate": "boolean"}


ThreatIntelSet を作成する GuardDuty サービスを指定するディテクター ID。

型: 文字列

必須: はい


78


name

分かりやすい ThreatIntelSet 名です。この ThreatIntelSet に含まれる IP アドレスを使用するアクティビティによって生成されるすべての結果に表示される名前。

型: 文字列

必須: はい形式

ThreatIntelSet を含むファイルの形式。

型: 文字列. 有効な値: TXT | STIX | OTX_CSV | ALIEN_VAULT | PROOF_POINT | FIRE_EYE

Note

信頼できる IP リストと脅威リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。サンプルリストをプレーンテキスト形式で以下に示します。

54.20.175.217205.0.0.0/8

詳細については、「信頼できる IP リストと脅威リストの使用 (p. 41)」を参照してください。

必須: はいlocation

ThreatIntelSet を含むファイルの URI。

型: 文字列

必須: はいactivate

GuardDuty で、作成された ThreatIntelSet の使用を開始するかどうかを指定します。


必須: はい


{ "threatIntelSetId": "string"}



79


threatIntelSetId

新しく作成した ThreatIntelSet を指定する一意の ID。

型: 文字列















リクエストは却下されました。パラメータ (location) の値が無効です。



リクエストは却下されました。パラメータ (format) の値が無効です。









80










BadRequestException






BadRequestException



InternalException




POST /detector/12abc34d567e8fa901bc2d34e56789f0/threatintelset HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 142Authorization: AUTHPARAMSX-Amz-Date: 20180124T194824ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "format":"TXT", "activate":true, "location":"https://s3.amazonaws.com/guarddutylists/threatintelset.txt", "name":"ThreatIntelSet"}

81

Amazon GuardDuty Amazon Guard Duty ユーザーガイドDeclineInvitations

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 55Date: Wed, 24 Jan 2018 19:48:36 GMTx-amzn-RequestId: 8af4b349-013f-11e8-8f6b-e37a19b6d996X-Amzn-Trace-Id: sampled=0;root=1-5a68e30a-ffc9e16710a559d971138391X-Cache: Miss from cloudfrontVia: 1.1 7f3f42df8af148df1f9f1ee7175987ad.cloudfront.net (CloudFront)X-Amz-Cf-Id: KPy-b4jZhTp_ahwtcYga-g7K_Urr1QFGL3lIEnZSR6KpfAQ1vxTE3A==Connection: Keep-alive{ "threatIntelSetId":"8cb094db7082fd0db09479755d215dba"}

DeclineInvitationsアカウント ID で指定された AWS アカウント (招待元) から、現在の AWS アカウント (招待先) に送信された招待を拒否します。

リクエストの構文POST https://<endpoint>/invitation/decline

本文:

{ "accountIds": [ { "accountId": "string" } ]}


accountIds

GuardDuty への招待を拒否する対象のアカウントを指定するアカウント ID のリスト。




82


型: 文字列





unprocessedAccounts






型: 文字列










83



InternalException




POST /invitation/decline HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 32Authorization: AUTHPARAMSX-Amz-Date: 20180209T212220ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "accountIds":[ "123456789012" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 26Date: Fri, 09 Feb 2018 21:22:22 GMTx-amzn-RequestId: 50d4524e-0ddf-11e8-8662-ef6b8065279dX-Amzn-Trace-Id: sampled=0;root=1-5a7e110d-59812fd97e6d69b6d0444902X-Cache: Miss from cloudfrontVia: 1.1 13fbcc8fa3dbc202089a58be1b399e76.cloudfront.net (CloudFront)X-Amz-Cf-Id: tc1MUaEI2G-yoIMgPEZlgCLmDvwMuJXiJF6LrMoFVjjqcGOEJPdvBQ==Connection: Keep-alive{ "unprocessedAccounts":[

]}

DeleteDetectorディテクター ID で指定された Amazon GuardDuty ディテクターを削除します。

リクエストの構文DELETE https://<endpoint>/detector/{detectorId}

本文:

84


detectorId : "string"


削除するディテクターを指定する一意の ID。

型: 文字列

必須: はい
















リクエストは却下されました。現在のアカウントでメンバーを招待しているか、関連付けている限り、ディテクターを削除できません。





85


InternalException




DELETE /detector/12abc34d567e8fa901bc2d34e56789f0 HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 0Authorization: AUTHPARAMSX-Amz-Date: 20180123T232121ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Tue, 23 Jan 2018 23:21:22 GMTx-amzn-RequestId: 1fe65a9d-0094-11e8-8344-4bf20881d099X-Amzn-Trace-Id: sampled=0;root=1-5a67c372-77952f70fa2c7ec0c02de331X-Cache: Miss from cloudfrontVia: 1.1 840717da68adc4ace0e2050590aef6c5.cloudfront.net (CloudFront)X-Amz-Cf-Id: 4DHXuXpYnaCtVtK0oZlEy41MbwZkEF2KKjT-m0lMqA8vgghBNIEcGA==Connection: Keep-alive

DeleteFilterフィルタ名で指定されたフィルタを削除します。

リクエストの構文DELETE https://<endpoint>/detector/{detectorId}/filter/<filter-name>

本文:



フィルタを削除するディテクターを指定する一意の ID。

86


型: 文字列

必須: はいfilterName


型: 文字列

必須: はい






















リクエストは却下されました。入力 (name) は、現在のアカウントによって所有されていません。

87

Amazon GuardDuty Amazon Guard Duty ユーザーガイドDeleteInvitations


InternalException



DeleteInvitationsアカウント ID で指定された AWS アカウント (招待元) から、現在の AWS アカウント (招待先) に送信された招待を削除します。

リクエストの構文POST https://<endpoint>/invitation/delete

本文:



accountIds

GuardDuty への招待を削除する対象のアカウントを指定するアカウント ID のリスト。




型: 文字列


{ "unprocessedAccounts": [ { "accountId": "string", "result": "string"

88


} ]}



unprocessedAccounts






型: 文字列



リクエストは却下されました。現在のアカウントがまだ特定のマスターアカウント ID に関連付けられているか、まだ招待を拒否していないため、招待を削除できません。











InternalException


89




POST /invitation/delete HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 32Authorization: AUTHPARAMSX-Amz-Date: 20180209T212908ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "accountIds":[ "123456789012" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 26Date: Fri, 09 Feb 2018 21:29:09 GMTx-amzn-RequestId: 43a71a1a-0de0-11e8-8dbe-7f113b66b9c1X-Amzn-Trace-Id: sampled=0;root=1-5a7e12a5-8e3f17ba0cdd7d2a87fe74e8X-Cache: Miss from cloudfrontVia: 1.1 a2a7227d0a99f50bffb8ba79de64ab0f.cloudfront.net (CloudFront)X-Amz-Cf-Id: acpQcNsnYmk1zKcvkck5cGCYl-35rw5wZvzlWxRrvzNbYV8oj9RcIg==Connection: Keep-alive{ "unprocessedAccounts":[

]}

DeleteIPSetIPSet ID で指定されている IPSet を削除します。

Important


リクエストの構文DELETE https://<endpoint>/detector/{detectorId}/ipset/{ipSetId}

90


本文:

detectoId : "string"ipSetId : "string"

パスパラメーターリクエストは以下のデータを JSON 形式で受け入れます。

detectorId

IPSet を削除する対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列

必須: はいipSetId

削除する IPSet を指定する一意の ID。

型: 文字列

必須: はい

レスポンスの構文アクションが成功すると、サービスは HTTP 200 レスポンスを返します。














91



リクエストは却下されました。指定された ipSetId は無効です。














InternalException




DELETE /detector/12abc34d567e8fa901bc2d34e56789f0/ipset/0cb0141ab9fbde177613ab9436212e90 HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 0Authorization: AUTHPARAMSX-Amz-Date: 20180124T003336ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Wed, 24 Jan 2018 00:33:38 GMT

92

Amazon GuardDuty Amazon Guard Duty ユーザーガイドDeleteMembers

x-amzn-RequestId: 37ff4946-009e-11e8-8cd0-dfa2161e90c7X-Amzn-Trace-Id: sampled=0;root=1-5a67d461-8a28ae442fc2780e9f9db40fX-Cache: Miss from cloudfrontVia: 1.1 2a7e9ec6f25ccbf79b1adfa129de8f9c.cloudfront.net (CloudFront)X-Amz-Cf-Id: eMcCNyWbQT9FNOhqD-LG11jGEpaY8YH1kpQW3OYfDM9BQfnlu6uuoA==Connection: Keep-alive

DeleteMembersアカウント ID で指定された Amazon GuardDuty メンバーアカウントを削除します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/member/delete

本文:



メンバーアカウントを削除する GuardDuty サービスのディテクター ID。

型: 文字列

必須: はい


accountIds

削除する GuardDuty メンバーアカウントのアカウント ID のリスト。



AWS アカウント ID.

型: 文字列

93





サービスから以下のデータが JSON 形式で返ります。

unprocessedAccounts






型: 文字列



リクエストは却下されました。現在のアカウントは指定されたメンバーアカウント ID にまだ関連付けられているため、この ID を削除できません。









94







NoSuchEntryException



InternalException




POST /detector/26b092acdf3e60c625b69013f7488f7b/member/delete HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 32Authorization: AUTHPARAMSX-Amz-Date: 20180209T220100ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "accountIds":[ "123456789012" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 26Date: Fri, 09 Feb 2018 22:01:01 GMTx-amzn-RequestId: b7409e55-0de4-11e8-aa1d-17f6b1e5e6f5X-Amzn-Trace-Id: sampled=0;root=1-5a7e1a1d-8736f50418456d404294b219X-Cache: Miss from cloudfrontVia: 1.1 b2532cb29a55e8fe8106a4a9a9241592.cloudfront.net (CloudFront)X-Amz-Cf-Id: yZC2KsBzimqUgjOxPaamXSKWpXmMlFOIOSbEhNamaGRNwkXzaf50yQ==Connection: Keep-alive{ "unprocessedAccounts":[

]}

95

Amazon GuardDuty Amazon Guard Duty ユーザーガイドDeleteThreatIntelSet

DeleteThreatIntelSetThreatIntelSet ID で指定された ThreatIntelSet を削除します。

Important


リクエストの構文DELETE https://<endpoint>/detector/{detectorId}/threatintelset/{threatIntelSetId}

本文:

detectorId : "string"threatIntelSetId : "string"


detectorId

ThreatIntelSet を削除する対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列

必須: はいthreatIntelSetId

削除する ThreatIntelSet を指定する一意の ID。

型: 文字列

必須: はい






96












リクエストは却下されました。指定された threatIntelSetId は無効です。














InternalException




97

Amazon GuardDuty Amazon Guard Duty ユーザーガイドDisassociateFromMasterAccount

DELETE /detector/12abc34d567e8fa901bc2d34e56789f0/threatintelset/8cb094db7082fd0db09479755d215dba HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 0Authorization: AUTHPARAMSX-Amz-Date: 20180124T212824ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Wed, 24 Jan 2018 21:28:26 GMTx-amzn-RequestId: 8330e867-014d-11e8-b00e-f1d94214241fX-Amzn-Trace-Id: sampled=0;root=1-5a68fa7a-6254473316398a8e7e769f64X-Cache: Miss from cloudfrontVia: 1.1 85ddca57b96353e9e4cd2660cf65d9da.cloudfront.net (CloudFront)X-Amz-Cf-Id: RntOBwBWFz8ljwXOrdnWfXXfJz12nRQHOiHngFq8fKrgW_b7K5iL4Q==Connection: Keep-alive

DisassociateFromMasterAccount現在の Amazon GuardDuty メンバーアカウントとそのマスターアカウントの関連付けを解除します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/master/disassociate

本文:



detectorID

GuardDuty マスターアカウントとの関連付けを解除する GuardDuty メンバーアカウントのディテクター ID。

型: 文字列

必須: はい


98
















リクエストは却下されました。現在のアカウントは、マスターアカウントに関連付けられていません。





InternalException




POST /detector/12abc34d567e8fa901bc2d34e56789f0/master/disassociate HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 0Authorization: AUTHPARAMSX-Amz-Date: 20180125T204326ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

99

Amazon GuardDuty Amazon Guard Duty ユーザーガイドDisassociateMembers

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Thu, 25 Jan 2018 20:43:27 GMTx-amzn-RequestId: 651fdfcb-0210-11e8-acaf-711608dc8498X-Amzn-Trace-Id: sampled=0;root=1-5a6a416f-a0b7bcb94c74288c20bced1cX-Cache: Miss from cloudfrontVia: 1.1 16d2657cebef5191828b055567b4efeb.cloudfront.net (CloudFront)X-Amz-Cf-Id: iMpzmm9iLQIj7_dDe9wu6KZNFFhmGyDMpPYcUZevrJBsNHhbnjxGtA==Connection: Keep-alive

DisassociateMembersアカウント ID で指定された Amazon GuardDuty のメンバーアカウントとそのマスターアカウントの関連付けを解除します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/member/disassociate

本文:


リクエストパラメータdetectorID

マスターに関連付けたメンバーを解除する対象の GuardDuty アカウントの一意のディテクター ID。

型: 文字列

必須: はい


accountIds

マスターアカウントとの関連付けを解除する GuardDuty メンバーアカウントのアカウント ID のリスト。

100





型: 文字列





unprocessedAccounts






型: 文字列



リクエストは却下されました。現在のアカウントは指定されたメンバーアカウント ID にまだ関連付けられているため、この ID を削除できません。



101
















InternalException




POST /detector/26b092acdf3e60c625b69013f7488f7b/member/disassociate HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 32Authorization: AUTHPARAMSX-Amz-Date: 20180209T215810ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "accountIds":[ "123456789012" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 26Date: Fri, 09 Feb 2018 21:58:11 GMT

102

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGetDetector

x-amzn-RequestId: 51eb275c-0de4-11e8-bd33-c5cd21578c63X-Amzn-Trace-Id: sampled=0;root=1-5a7e1973-693807dcdf14863bb877761cX-Cache: Miss from cloudfrontVia: 1.1 e1fff2dee56e3b55796cc594a92413c0.cloudfront.net (CloudFront)X-Amz-Cf-Id: E-zJ6yx-omadkYphY1mJTcfyXKjSFJsh38MFTh-pIiNLWdjqo5tLNw==Connection: Keep-alive{ "unprocessedAccounts":[

]}

GetDetectorディテクター ID で指定された Amazon GuardDuty ディテクターのプロパティを返します。


GET https://<endpoint>/detector/{detectorId}


説明するディテクターの一意の ID。

型: 文字列

必須: はい


{ "serviceRole": "string", "status": "string", "createdAt": "string", "updatedAt": "string"}


レスポンスは JSON 形式の以下のデータです。

serviceRole

AWS アカウントのリソースへのアクセス権を GuardDuty に付与する、サービスにリンクされたロール。

103


型: 文字列status

ディテクターの現在のステータス。

型: 文字列. 有効な値: ENABLED | DISABLEDcreatedAt

ディテクターの作成時刻。


updatedAt

ディテクターの最終更新時刻。





















104



GET /detector/12abc34d567e8fa901bc2d34e56789f0 HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180123T220712ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 220Date: Tue, 23 Jan 2018 22:07:13 GMTx-amzn-RequestId: c3cfdfa5-0089-11e8-a4e2-07af7075b461X-Amzn-Trace-Id: sampled=0;root=1-5a67b211-9b4ca2adcf4a8bc402a66eacX-Cache: Miss from cloudfrontVia: 1.1 fe951a27fbed2178f4268c584d282a1d.cloudfront.net (CloudFront)X-Amz-Cf-Id: VcRcgzIE3MRFumWYKiXjXsoaY2GJSPSo7Q4eSDp7dNquhfxzrZgbgA==Connection: Keep-alive{ "status":"DISABLED", "createdAt":"2018-01-23T21:53:32.815Z", "updatedAt":"2018-01-23T21:53:32.815Z", "serviceRole":"arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"}

GetFilterフィルタ名で指定されたフィルタの詳細を返します。

リクエストの構文GET https://<endpoint>/detector/{detectorId}/filter/<filterName>


指定されたフィルタの詳細を表示する GuardDuty サービスを指定するディテクター ID。

型: 文字列


詳細の取得元となるフィルタの名前。

105


型: 文字列

必須: はい


{ "name": "string", "description": "string", "findingCriteria": [ "criterion": { "<field>": { "gt": "integer", "gte": "integer", "lt": "integer", "lte": "integer", "eq": [ "string" ], "neq": [ "string" ] } } ], "action": "[NOOP|ARCHIVE]", "rank": "integer" }



フィルター

返されたフィルタの詳細。name


型: 文字列description


型: 文字列findingCriteria



必須: いいえ


106


• accountId• id• リージョン• resource.instanceDetails.instanceId• resource.resourceType• service.archived

Note

この属性を TRUE に設定すると、アーカイブされた結果のみが表示されます。FALSEに設定すると、アーカイブされていない結果のみが表示されます。この属性が設定されていない場合、既存のすべての結果が表示されます。

• service.action.networkConnectionAction.blocked• service.action.networkConnectionAction.connectionDirection• service.action.networkConnectionAction.localPortDetails.port• service.action.networkConnectionAction.protocol• service.action.networkConnectionAction.remoteIpDetails.ipAddressV4• service.action.networkConnectionAction.remotePortDetails.port• service.action.actionType• service.additionalInfo.threatListName• severity• type• updatedAt


Gt




必須: いいえLt




必須: いいえEq




107


必須: いいえrank


タイプ: 整数action



















リクエストは却下されました。入力 detectorId が現在のアカウントによって所有されていません。





InternalException


108

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGetFindings


GetFindings結果 ID で指定する Amazon GuardDuty 結果について説明します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/findings/get

{ "findingIds": [ "string" ], "sortCriteria": { "attributeName": "string", "orderBy": "[ASC|DESC]" }}


結果を示す対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列

必須: はい


findingIds

説明する結果の ID。


必須: はいsortCriteria

ソートのクエリに使用する条件を表します。

型: sortCriteria

必須: いいえattributeName

クエリ可能な結果の属性。

結果を並べ替えるには、次の属性しか使用できません。

109


• accountId• severity• 信頼度• type• service.eventFirstSeen• service.eventLastSeen• createdAt


• updatedAt


• service.action.networkConnectionAction.remoteIpDetails.ipAddressV4• resource.instanceDetails.instanceId• service.action.networkConnectionAction.localPortDetails.port• service.action.networkConnectionAction.remotePortDetails.port• service.action.networkConnectionAction.remoteIpDetails.country.countryName• service.action.networkConnectionAction.protocol, service.action.awsApiCallAction.api• service.action.awsApiCallAction.serviceName• service.action.networkConnectionAction.blocked• service.count

型: 文字列orderBy

ソートリクエストの順序。

型: 文字列. 有効な値: [ASC | DESC]


{ "findings": [ { "schemaVersion": "string", "accountId": "string", "region": "string", "partition": "string", "id": "string", "arn": "string", "type": "string", "resource": { "resourceType": "string", "instanceDetails": { "iamInstanceProfile": { "arn": "string", "id": "string" }, "imageId": "string", "instanceId": "string", "instanceState": "string", "instanceType": "string",

110


"launchTime": "string", "networkInterfaces": [ { "publicDnsName": "string", "publicIp": "string", "securityGroups": [ { "groupName": "string", "groupId": "string" } ], "ipv6Addresses": [ "string" ], "privateDnsName": "string", "privateIpAddress": "string", "privateIpAddresses": [ { "privateDnsName": "string", "privateIpAddress": "string" } ], "subnetId": "string", "vpcId": "string" } ], "availabilityZone": "string", "platform": "string", "productCodes": [ { "code": "string", "productType": "string" } ], "tags": [ { "key": "string", "value": "string" } ] }, "accessKeyDetails": { "accessKeyId": "string", "principalId": "string", "userType": "string", "userName": "string" } }, "service": { "serviceName": "string", "detectorId": "string", "action": { "actionType": "string", "networkConnectionAction": { "connectionDirection": "string", "remoteIpDetails": { "ipAddressV4": "string", "organization": { "asn": "string", "asnOrg": "string", "isp": "string", "org": "string" }, "country": { "countryCode": "string", "countryName": "string"

111


}, "city": { "cityName": "string" }, "geoLocation": { "lat": "double", "lon": "double" } }, "remotePortDetails": { "port": "integer", "portName": "string" }, "localPortDetails": { "port": "integer", "portName": "string" }, "protocol": "string", "blocked": "boolean" }, "awsApiCallAction": { "api": "string", "serviceName": "string", "callerType": "string", "remoteIpDetails": { "ipAddressV4": "string", "organization": { "asn": "string", "asnOrg": "string", "isp": "string", "org": "string" }, "country": { "countryCode": "string", "countryName": "string" }, "city": { "cityName": "string" }, "geoLocation": { "lat": "double", "lon": "double" } }, "domainDetails": { "domain": "string" } }, "dnsRequestAction": { "domain": "string" } }, "resourceRole": "string", "additionalInfo": {}, "eventFirstSeen": "string", "eventLastSeen": "string", "userFeedback": "string", "archived": "boolean", "count": "string" }, "title": "string", "description": "string", "severity": "float", "confidence": "float", "createdAt": "string", "updatedAt": "string"

112


} ]}



findings

返された結果のリスト。

型: 配列schemaVersion

結果のスキーマバージョン。

型: 文字列accountId

GuardDuty に結果の生成を求めるアクティビティを行った AWS アカウント ID。

型: 文字列リージョン

GuardDuty に結果の生成を求めるアクティビティが発生した AWS リージョン。

型: 文字列パーティション

GuardDuty に結果の生成を求めるアクティビティが発生した AWS リソースパーティション。

型: 文字列id

結果 ID。

型: 文字列arn

結果 ARN。

型: 文字列type

結果のタイプ。

型: 文字列リソース

GuardDuty に結果の生成を求めるアクティビティに関連付けられている AWS リソース。

タイプ: リソースtype

AWS リソースのタイプ。

113


型: 文字列instanceDetails

GuardDuty に結果の生成を求めるアクティビティに関連付けられている EC2 インスタンスに関する情報。

タイプ: InstanceDetailsiamInstanceProfile

EC2 インスタンスのプロファイル情報。

タイプ: IamInstanceProfilearn

AWS EC2 インスタンスプロファイル ARN。

型: 文字列id

AWS EC2 インスタンスプロファイル ID。

型: 文字列imageId

EC2 インスタンスのイメージ ID。

型: 文字列instanceId

EC2 インスタンスの ID。

型: 文字列instanceState

EC2 インスタンスの状態。

型: 文字列instanceType

EC2 インスタンスのタイプ。

型: 文字列launchTime

EC2 インスタンスの起動時刻。

型: 文字列networkInterfaces

EC2 インスタンスのネットワークインターフェイス情報。

タイプ: NetworkInterfacespublicDnsName

EC2 インスタンスのパブリック DNS 名。

型: 文字列

114


publicIp

EC2 インスタンスのパブリック IP アドレス。

型: 文字列securityGroups

EC2 インスタンスに関連付けられたセキュリティグループ。

タイプ: SecurityGroupsgroupName

EC2 インスタンスのセキュリティグループ名。

型: 文字列groupId

EC2 インスタンスのセキュリティグループ ID。

型: 文字列Ipv6Addresses

EC2 インスタンスの IpV6 アドレス情報。

タイプ: 文字列の配列privateDnsName

EC2 インスタンスのプライベート DNS 名。

型: 文字列privateIpAddress

EC2 インスタンスのプライベート IP アドレス。

型: 文字列privateIpAddresses

EC2 インスタンスのその他のプライベート IP アドレス情報。

タイプ: PrivateIPAddressesprivateDnsName

プライベート IP アドレスに対応するプライベート DNS 名情報。

型: 文字列privateIpAddress

Inet プライベート IP アドレス。

型: 文字列subnetId

サブネット ID。

型: 文字列vpcId

VPC ID。

115


型: 文字列availabilityZone

EC2 インスタンスのアベイラビリティーゾーン。

型: 文字列platform

EC2 インスタンスのプラットフォーム。

型: 文字列productCodes

EC2 インスタンスの製品コード.

タイプ: ProductCodes のリストコード

製品コード情報。

型: 文字列productType

製品コードタイプ。

型: 文字列タグ

EC2 インスタンスのタグ。

タイプ: タグkey

EC2 インスタンスタグキー。

型: 文字列value

EC2 インスタンスのタグ値。

型: 文字列accessKeyDetails

GuardDuty に結果の生成を求めるアクティビティに従事したユーザーの IAM アクセスキーの詳細 (IAM ユーザー情報)。

型: AccessKeyDetailsaccessKeyId

ユーザーのアクセスキー ID。

型: 文字列principalId

ユーザーのプリンシパル ID。

型: 文字列

116


userType

ユーザーのタイプ。

型: 文字列ユーザー名

ユーザーの名前。

型: 文字列service

GuardDuty によって生成された結果に割り当てられる追加情報。

タイプ: ServiceserviceName

結果を生成した AWS のサービス (GuardDuty) の名前。

型: 文字列detectorId

GuardDuty サービスのディテクター ID。

型: 文字列action

結果に示されているアクティビティに関する情報。

タイプ: ActionactionType

GuardDuty 結果のアクティビティタイプ。

型: 文字列networkConnectionAction

結果に示されている NETWORK_CONNECTION アクションに関する情報。

タイプ: NetworkConnectionActionconnectionDirection

ネットワーク接続の方向。

型: 文字列remoteIpDetails

接続のリモート IP 情報。

タイプ: RemoteIpDetailsipAddressV4

接続の IPV4 リモートアドレス。

型: 文字列組織

リモート IP アドレスの ISP 組織情報。

117


タイプ: Organizationasn

リモート IP アドレスのインターネットプロバイダーの自律システム番号。

型: 文字列asnOrg

この ASN を登録した組織。

型: 文字列isp

インターネットプロバイダーの ISP 情報。

型: 文字列org

インターネットプロバイダーの名前。

型: 文字列国/地域

リモート IP アドレスの国情報。

タイプ: CountrycountryName

リモート IP アドレスの市町村名。

型: 文字列countryCode

リモート IP アドレスの国コード。

型: 文字列市

リモート IP アドレスの市町村の情報。

タイプ: CitycityName


型: 文字列geoLocation

リモート IP アドレスの位置情報。

タイプ: GeoLocationlon

リモート IP アドレスの経度情報。

タイプ: 倍精度浮動小数点数lat

リモート IP アドレスの緯度情報。

118


タイプ: 倍精度浮動小数点数remotePortDetails

接続のリモートポート情報。

タイプ: RemotePortDetailsport

リモート接続のポート番号。

タイプ: 整数portName

リモート接続のポート名。

型: 文字列localPortDetails

接続のローカルポート情報。

タイプ: LocalPortDetailsport

ローカル接続のポート番号。

タイプ: 整数portName

ローカル接続のポート名。

型: 文字列プロトコル

ネットワーク接続プロトコル。

型: 文字列blocked

ネットワーク接続のブロック情報。

タイプ: ブール値awsApiCallAction

結果に示されている AWS_API_CALL アクションに関する情報。

タイプ: AwsApiCallActionapi

AWS API 名。

型: 文字列serviceName

API が呼び出された AWS のサービス名。

型: 文字列callerType

AWS API 発信者タイプ。

119


型: 文字列remoteIpDetails

接続のリモート IP 情報。

タイプ: RemoteIpDetailsipAddressV4

接続の IPV4 リモートアドレス。

型: 文字列組織

リモート IP アドレスの ISP 組織情報。

タイプ: Organizationasn

インターネットプロバイダーの自律システム番号。

型: 文字列asnOrg

この ASN を登録した組織。

型: 文字列isp

インターネットプロバイダーの ISP 情報。

型: 文字列org

インターネットプロバイダーの名前。

型: 文字列国/地域

リモート IP アドレスの国情報。

タイプ: CountrycountryName


型: 文字列countryCode

リモート IP アドレスの国コード。

型: 文字列市

リモート IP アドレスの市町村の情報。

タイプ: CitycityName


120


型: 文字列geoLocation

リモート IP アドレスの位置情報。

タイプ: GeoLocationlon

リモート IP アドレスの経度情報。

タイプ: 倍精度浮動小数点数lat

リモート IP アドレスの緯度情報。

タイプ: 倍精度浮動小数点数domainDetails

AWS API 呼び出しのドメイン情報。

タイプ: DomainDetailsドメイン

AWS API 呼び出しのドメイン情報。

型: 文字列dnsRequestAction

結果に示されている DNS_REQUEST アクションに関する情報。

タイプ: DnsRequestActionドメイン

DNS リクエストのドメイン情報。

型: 文字列resourceRole

この結果のリソースロール情報。

型: 文字列additionalInfo

この結果の追加情報のリスト。eventFirstSeen

GuardDuty にこの結果の生成を求めるアクティビティの最初の画面のタイムスタンプ。


eventLastSeen

GuardDuty にこの結果の生成を求めるアクティビティの最後の画面のタイムスタンプ。


userFeedback

結果についてユーザーから提供されるフィードバック。

121


型: 文字列archived

この結果をアーカイブするかどうかを指定します。

タイプ: ブール値count

この結果タイプの合計出現数。

型: 文字列タイトル

結果のタイトル。

型: 文字列description

結果の説明.

型: 文字列severity

結果の重要度。

タイプ: 浮動小数点信頼度

結果の信頼度。

タイプ: 浮動小数点createdAt

結果が生成されたタイムスタンプ。


updatedAt

結果が最後に更新されたタイムスタンプ。








122













リクエストは却下されました。指定した統計タイプは無効です。





InternalException




POST /detector/c6b0be64463ff852400d8ae5b2353866/findings/get HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 52Authorization: AUTHPARAMSX-Amz-Date: 20180209T232830ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "findingIds":[ "9cb0be64df8ba1df249c45eb8a0bf584" ]}

レスポンス例

123


HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 3290Date: Fri, 09 Feb 2018 23:28:31 GMTx-amzn-RequestId: f0876f86-0df0-11e8-900a-559d93fe6c5bX-Amzn-Trace-Id: sampled=0;root=1-5a7e2e9f-d77815a82381c4f592d527bdX-Cache: Miss from cloudfrontVia: 1.1 39f9e0f028321e95b5ebd1cd55661fd6.cloudfront.net (CloudFront)X-Amz-Cf-Id: FWbQHHuN2DoUqO9CxoJfxv0MhjH9v2t9uPRf_d_uIBRD7tEXvhmINg==Connection: Keep-alive{ "findings":[ { "schemaVersion":"2.0", "accountId":"123456789012", "region":"us-west-2", "partition":"aws", "id":"9cb0be64df8ba1df249c45eb8a0bf584", "arn":"arn:aws:guardduty:us-west-2:123456789012:detector/c6b0be64463ff852400d8ae5b2353866/finding/9cb0be64df8ba1df249c45eb8a0bf584", "type":"UnauthorizedAccess:EC2/RDPBruteForce", "resource":{ "resourceType":"Instance", "instanceDetails":{ "instanceId":"i-99999999", "instanceType":"m3.xlarge", "launchTime":"2016-08-02T02:05:06Z", "platform":null, "productCodes":[ { "productCodeId":"GeneratedFindingProductCodeId", "productCodeType":"GeneratedFindingProductCodeType" } ], "iamInstanceProfile":{ "arn":"GeneratedFindingInstanceProfileArn", "id":"GeneratedFindingInstanceProfileId" }, "networkInterfaces":[ { "ipv6Addresses":[

], "privateDnsName":"GeneratedFindingPrivateDnsName", "privateIpAddress":"10.0.0.1", "privateIpAddresses":[ { "privateDnsName":"GeneratedFindingPrivateName", "privateIpAddress":"10.0.0.1" } ], "subnetId":"GeneratedFindingSubnetId", "vpcId":"GeneratedFindingVPCId", "securityGroups":[ { "groupName":"GeneratedFindingSecurityGroupName", "groupId":"GeneratedFindingSecurityId" } ], "publicDnsName":"GeneratedFindingPublicDNSName", "publicIp":"198.51.100.0" } ], "tags":[ { "key":"GeneratedFindingInstaceTag1",

124


"value":"GeneratedFindingInstaceValue1" }, { "key":"GeneratedFindingInstaceTag2", "value":"GeneratedFindingInstaceTagValue2" }, { "key":"GeneratedFindingInstaceTag3", "value":"GeneratedFindingInstaceTagValue3" }, { "key":"GeneratedFindingInstaceTag4", "value":"GeneratedFindingInstaceTagValue4" }, { "key":"GeneratedFindingInstaceTag5", "value":"GeneratedFindingInstaceTagValue5" }, { "key":"GeneratedFindingInstaceTag6", "value":"GeneratedFindingInstaceTagValue6" }, { "key":"GeneratedFindingInstaceTag7", "value":"GeneratedFindingInstaceTagValue7" }, { "key":"GeneratedFindingInstaceTag8", "value":"GeneratedFindingInstaceTagValue8" }, { "key":"GeneratedFindingInstaceTag9", "value":"GeneratedFindingInstaceTagValue9" } ], "instanceState":"running", "availabilityZone":"GeneratedFindingInstaceAvailabilityZone", "imageId":"ami-99999999", "imageDescription":"GeneratedFindingInstaceImageDescription" } }, "service":{ "serviceName":"guardduty", "detectorId":"c6b0be64463ff852400d8ae5b2353866", "action":{ "actionType":"NETWORK_CONNECTION", "networkConnectionAction":{ "connectionDirection":"INBOUND", "remoteIpDetails":{ "ipAddressV4":"198.51.100.0", "organization":{ "asn":"-1", "asnOrg":"GeneratedFindingASNOrg", "isp":"GeneratedFindingISP", "org":"GeneratedFindingORG" }, "country":{ "countryName":"GeneratedFindingCountryName" }, "city":{ "cityName":"GeneratedFindingCityName" }, "geoLocation":{ "lat":0, "lon":0 }

125

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGetFindingsStatistics

}, "remotePortDetails":{ "port":1067, "portName":"Unknown" }, "localPortDetails":{ "port":3389, "portName":"RDP" }, "protocol":"TCP", "blocked":false } }, "resourceRole":"TARGET", "additionalInfo":{ "sample":true }, "eventFirstSeen":"2018-02-09T22:57:31.927Z", "eventLastSeen":"2018-02-09T22:57:31.927Z", "archived":false, "count":1, "userFeedback":"NOT_USEFUL" }, "severity":2, "createdAt":"2018-02-09T22:57:31.927Z", "updatedAt":"2018-02-09T22:57:31.927Z", "title":"198.51.100.0 is performing RDP brute force attacks against i-99999999.", "description":"198.51.100.0 is performing RDP brute force attacks against i-99999999. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password." } ]}

GetFindingsStatistics指定したディテクター ID に関する結果の統計を表示します。


POST https://<endpoint>/detector/{detectorId}/findings/statistics

本文:

{ "findingCriteria": { "criterion": { "<field>": { "Gt": "integer", "Gte": "integer", "Lt": "integer", "Lte": "integer", "Eq": [ "string" ], "Neq": [

126


"string" ] } } } "findingStatisticTypes": { "findingStatisticType": "[COUNT_BY_SEVERITY]" } }


取得する結果の統計のディテクター ID。

必須: はい


findingCriteria

結果のクエリに使用する条件。


必須: いいえGt




必須: いいえLt




必須: いいえEq


必須: いいえ

127


Neq


必須: いいえfindingStatisticTypes

結果の統計情報のリスト。

必須: はい

タイプ: 文字列の配列. 最小項目数 1、最大項目数 10。FindingStatisticType

結果の統計情報の種類。

型: 文字列. 有効な値: [COUNT_BY_SEVERITY]


{ "findingStatistics": [ { "countBySeverity": "integer", } ]}



findingStatistics

結果セットの重要度、または数の統計のマップを表します。

タイプ: 整数








128












リクエストは却下されました。指定した統計タイプは無効です。





InternalException




POST /detector/26b092acdf3e60c625b69013f7488f7b/findings/statistics HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 48Authorization: AUTHPARAMSX-Amz-Date: 20180209T225034ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "findingStatisticTypes":[ "COUNT_BY_SEVERITY" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/json

129

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGetInvitationsCount

Content-Length: 52Date: Fri, 09 Feb 2018 22:50:36 GMTx-amzn-RequestId: a44aa11e-0deb-11e8-8707-25a841979d1bX-Amzn-Trace-Id: sampled=0;root=1-5a7e25bb-554e828c4c44bf219cac7cffX-Cache: Miss from cloudfrontVia: 1.1 e6ed0c52befaa18f2fc5054cafda6db7.cloudfront.net (CloudFront)X-Amz-Cf-Id: zXlGhggMhDACYc_qMeJLEgyaxPSaVA_vjzdsvaV-bXoAsccJGk_rzw==Connection: Keep-alive{ "findingStatistics":{ "countBySeverity":{ "2.0":45 } }}

GetInvitationsCount現在のメンバーアカウントに送信されたすべての Amazon GuardDuty メンバーシップ招待の数を返します(現在承諾済みの招待は除く)。

リクエストの構文GET https://<endpoint>/invitation/count


{ "invitationsCount": "integer"}



invitationsCount

この GuardDuty メンバーアカウントに送信されたすべてのメンバーシップ招待の数を返します (現在承諾済みの招待は除く)。

タイプ: 整数




130









InternalException




GET /invitation/count HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180125T204945ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 22Date: Thu, 25 Jan 2018 20:49:46 GMTx-amzn-RequestId: 471e2f10-0211-11e8-ae9e-81995a5809d1X-Amzn-Trace-Id: sampled=0;root=1-5a6a42ea-b7e4e135162fc10fffc6ed8bX-Cache: Miss from cloudfrontVia: 1.1 452a6d5a60db801bab9900e11681a635.cloudfront.net (CloudFront)X-Amz-Cf-Id: 2VlLvf233bVGY4yOB5rRATpTMVmyNDnOK5pgwA_OMugdypwnYMvpcQ==Connection: Keep-alive{ "invitationsCount":1}

GetIPSetIPSet ID で指定された IPSet のプロパティを返します。

Important

メンバーアカウントのユーザーがこの API を実行すると、レスポンスにはマスターアカウントがアップロードした IPSet が含まれます。現時点では、メンバーアカウントの GuardDuty, ユーザー

131


が IPSet のアップロードや管理を行うことはできません。マスターアカウントからアップロードされた IPSet は、そのメンバーアカウントの GuardDuty 機能に適用されます。詳細については、「Amazon GuardDuty で AWS アカウントを管理する (p. 45)」を参照してください。

リクエストの構文GET https://<endpoint>/detector/{detectorId}/ipset/{ipSetId}

本文:

detectorId : "string"ipSetId : "string"


detectorId

返す IPSet プロパティが属している GuardDuty サービスを指定するディテクター ID。

型: 文字列


返すプロパティが属している IPSet を指定する一意な ID。

型: 文字列

必須: はい


{ "name": "string", "location": "string", "format": "[TXT|STIX|OTX_CSV|ALIEN_VAULT|PROOF_POINT|FIRE_EYE]", "status": "[INACTIVE|ACTIVATING|ACTIVE|DEACTIVATING|ERROR|DELETE_PENDING|DELETED]"}



name

IPSet の名前。

型: 文字列

132





InternalException




GET /detector/12abc34d567e8fa901bc2d34e56789f0/ipset/0cb0141ab9fbde177613ab9436212e90 HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180124T001448ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 120Date: Wed, 24 Jan 2018 00:14:49 GMTx-amzn-RequestId: 976b1bdd-009b-11e8-adf3-757264fd7e81X-Amzn-Trace-Id: sampled=0;root=1-5a67cff9-297a6d6a145fae5f3111b2d2X-Cache: Miss from cloudfrontVia: 1.1 b2532cb29a55e8fe8106a4a9a9241592.cloudfront.net (CloudFront)X-Amz-Cf-Id: Mibb3YLLQGISFxiVKVFAt6h_yPIRSC6F55XvF7SLOXeDQ_lNSIZdgw==Connection: Keep-alive{ "name":"ExampleIPSet", "location":"https://s3.amazonaws.com/guarddutylists/exampleipset.txt", "format":"TXT", "status":"ACTIVE"}

GetMasterAccount; マスターアカウントの詳細を現在の Amazon GuardDuty メンバーアカウントに渡します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/master

本文:

134




detectorID

GuardDuty メンバーアカウントのディテクター ID。このメンバーアカウントのマスターアカウントの詳細を返します。

必須: はい

型: 文字列


{ "master": [ { "accountId": "string", "invitationId": "string", "invitedAt": "string", "relationshipStatus": "string" } ]}



master

現在のメンバーアカウントの GuardDuty マスターアカウントに関する詳細のリスト。

型: 配列accountId

GuardDuty マスターアカウントのアカウント ID。

型: 文字列invitationId

GuardDuty マスターアカウントからメンバーに送信された招待の ID。

型: 文字列invitedAt

GuardDuty マスターアカウントからメンバーに送信された招待のタイムスタンプ。

型: 文字列

135


relationshipStatus

マスターアカウントとメンバーアカウントの関係のステータス。有効な値: STAGED | PENDING| DISABLED | ENABLED | REMOVED | RESIGNED | EMAILVERIFICATIONINPROGRESS |EMAILVERIFICATIONFAILED

型: 文字列

















InternalException




GET /detector/12abc34d567e8fa901bc2d34e56789f0/master HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180125T203733ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

136

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGetMembers

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 161Date: Thu, 25 Jan 2018 20:37:34 GMTx-amzn-RequestId: 93058ed0-020f-11e8-9ea1-377499f46311X-Amzn-Trace-Id: sampled=0;root=1-5a6a400e-0026139dc9abc8eaac805a22X-Cache: Miss from cloudfrontVia: 1.1 6f1f8362062a31675dde3c27bc22f2ef.cloudfront.net (CloudFront)X-Amz-Cf-Id: NjMp1e2biYmUYjoe570CqcuDFXL3JO-_xB-8qad7moZvX-cl62iWBQ==Connection: Keep-alive{ "master":{ "accountId":"012345678901", "invitationId":"84b097800250d17d1872b34c4daadcf5", "invitedAt":"2018-01-25T20:26:25.825Z", "relationshipStatus":"Monitored" }}

GetMembersアカウント ID で指定された Amazon GuardDuty メンバーアカウントに関する詳細を返します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/member/get

本文:



GuardDuty アカウントのディテクター ID。このアカウントのメンバーの詳細を返します。

型: 文字列

必須: はい


137


accountIds

GuardDuty メンバーアカウントのアカウント ID のリスト。このメンバーアカウントの詳細を返します。




型: 文字列


{ "members": [ { "accountId": "string", "detectorId": "string", "email": "string", "masterId": "string", "relationshipStatus": "string", "invitedAt": "string", "updatedAt": "string" } ], "unprocessedAccounts": [ { "accountId": "string", "result": "string" } ]}



members

GuardDuty メンバーアカウントに関する詳細のリスト。




GuardDuty メンバーアカウントの一意の ID。

型: 文字列

138


email

GuardDuty メンバーアカウントの E メールアドレス。

型: 文字列masterId

メンバーアカウントの GuardDuty マスターアカウント ID。

型: 文字列relationshipStatus

メンバーアカウントとそのマスターアカウント間の関係のステータス。有効な値: CREATED |INVITED | DISABLED | ENABLED | REMOVED | RESIGNED | EMAILVERIFICATIONINPROGRESS |EMAILVERIFICATIONFAILED


メンバーアカウントが GuardDuty に招待されたタイムスタンプ。


updatedAt

このメンバーアカウントが更新されたタイムスタンプ。


unprocessedAccounts






型: 文字列






139













InternalException




POST /detector/26b092acdf3e60c625b69013f7488f7b/member/get HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 32Authorization: AUTHPARAMSX-Amz-Date: 20180209T213609ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "accountIds":[ "123456789012" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 283Date: Fri, 09 Feb 2018 21:36:10 GMTx-amzn-RequestId: 3e768f7b-0de1-11e8-afbe-2bd59a045a01X-Amzn-Trace-Id: sampled=0;root=1-5a7e144a-24c5171e766097b2c56c3822X-Cache: Miss from cloudfrontVia: 1.1 27a783405519f49942e72a6ed75f783f.cloudfront.net (CloudFront)X-Amz-Cf-Id: cz0twV2DdUinG-VzZD0bryhWIB8OcfoTBkPKbecD2TdkbvqWCvo7aw==Connection: Keep-alive{

140

Amazon GuardDuty Amazon Guard Duty ユーザーガイドGetThreatIntelSet

"members":[ { "accountId":"234567890123", "detectorId":"12abc34d567e8fa901bc2d34e56789f0", "email":"[email protected] ", "relationshipStatus":"Monitored", "invitedAt":"2018-02-09T21:33:05.568Z", "masterId":"123456789012", "updatedAt":"2018-02-09T21:33:46.363Z" } ], "unprocessedAccounts":[

]}

GetThreatIntelSetThreatIntelSet ID で指定された ThreatIntelSet のプロパティを返します。

Important

メンバーアカウントのユーザーがこの API を実行すると、レスポンスにはマスターアカウントがアップロードした ThreatIntelSets が含まれます。現時点では、メンバーアカウントのGuardDuty, ユーザーが ThreatIntelSets のアップロードや管理を行うことはできません。マスターアカウントからアップロードされた ThreatIntelSets は、そのメンバーアカウントのGuardDuty 機能に適用されます。詳細については、「Amazon GuardDuty で AWS アカウントを管理する (p. 45)」を参照してください。

リクエストの構文GET https://<endpoint>/detector/{detectorId}/threatintelset/{threatIntelSetId}

本文:

detectorId : "string"threatIntelSetId : "string"


返す ThreatIntelSet プロパティが属している GuardDuty サービスを指定するディテクター ID。

型: 文字列


返すプロパティが属している ThreatIntelSet を指定する一意な ID。

型: 文字列

必須: はい

141



{ "name": "string", "location": "string", "format": "[TXT | STIX | OTX_CSV | ALIEN_VAULT | PROOF_POINT | FIRE_EYE]", "status": "[INACTIVE | ACTIVATING | ACTIVE | DEACTIVATING | ERROR | DELETE_PENDING | DELETED]"}



name

ThreatIntelSet の名前。

型: 文字列location

ThreatIntelSet を含むファイルの URI。

型: 文字列形式

ThreatIntelSet を含むファイルの形式。

型: 文字列

有効な値: TXT | STIX | OTX_CSV | ALIEN_VAULT | PROOF_POINT | FIRE_EYEstatus

ThreatIntelSet の現在の状態。

型: 文字列

有効な値: INACTIVE | ACTIVATING | ACTIVE | DEACTIVATING | ERROR | DELETE_PENDING |DELETED







142


















InternalException




GET /detector/12abc34d567e8fa901bc2d34e56789f0/threatintelset/8cb094db7082fd0db09479755d215dba HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180124T200105ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 137Date: Wed, 24 Jan 2018 20:01:06 GMTx-amzn-RequestId: 5040403c-0141-11e8-a09c-f1d8e1e0b9aa

143

Amazon GuardDuty Amazon Guard Duty ユーザーガイドInviteMembers

X-Amzn-Trace-Id: sampled=0;root=1-5a68e602-a127df9b53e8b229624cd03eX-Cache: Miss from cloudfrontVia: 1.1 08f323eee70ddda7af34d5feb414ce27.cloudfront.net (CloudFront)X-Amz-Cf-Id: njPvvQsAq4ShiJcvOx0wF6WMmxdqrMHTnzX7Utni7r2_EFFVmsfn6w==Connection: Keep-alive{ "name":"ThreatIntelSet", "location":"https://s3.amazonaws.com/guarddutylists/threatintelset.txt", "format":"TXT", "status":"ACTIVE"}

InviteMembersAmazon GuardDuty を有効にする他の AWS アカウントを招待し、GuardDuty メンバーアカウントになります。アカウントが招待を受け入れてメンバーアカウントになると、マスターアカウントはメンバーアカウントの GuardDuty 結果を表示および管理できます。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/member/invite

本文:

{ "accountIds": [ { "accountId": "string" }, "message": "string", "disableEmailNotification": "boolean" ]}


メンバーを招待するのに使用する GuardDuty アカウントのディテクター ID。

必須: はい

型: 文字列


accountIds

メンバーとして GuardDuty に招待する AWS アカウントの ID のリスト。

144


型: 文字列の配列



型: 文字列メッセージ

メンバーとして GuardDuty に招待するアカウントに送信する招待メッセージ。

型: 文字列

必須: いいえdisableEmailNotification

メンバーとして GuardDuty に招待するアカウントに、メール通知を送信するかどうかを指定します。「True」に設定すると、メール通知は招待者に送信されません。


必須: いいえ





unprocessedAccounts






型: 文字列

145




リクエストは却下されました。現在のアカウントは既に別のマスターアカウントのメンバーになっているため、他のアカウントを招待できません。



リクエストは拒否されました。現在のアカウントでそのアカウントを招待することはできません。



リクエストは却下されました。メンバーアカウントの E メールアドレスがありません。



リクエストは却下されました。現在のアカウントは、指定されたメンバーアカウント ID を既に招待しているか、既にこの ID の GuardDuty マスターアカウントになっています。

















InternalException

146





POST /detector/12abc34d567e8fa901bc2d34e56789f0/member/invite HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 32Authorization: AUTHPARAMSX-Amz-Date: 20180125T195805ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "accountIds":[ "123456789012" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 26Date: Thu, 25 Jan 2018 19:58:07 GMTx-amzn-RequestId: 0f8d5826-020a-11e8-9b8e-6f87dff9eb0aX-Amzn-Trace-Id: sampled=0;root=1-5a6a36ce-a5c2cd953fa214895696b609X-Cache: Miss from cloudfrontVia: 1.1 202cd4e04661f12af0f4ce368b4e0a6d.cloudfront.net (CloudFront)X-Amz-Cf-Id: JvaX4jhSDucSDIuL20JewNHkfTE7Gi_Xea14f9KncHhAO5pl7UkyVA==Connection: Keep-alive{ "unprocessedAccounts":[

]}

ListDetectorsAWS アカウントの有効になっている Amazon GuardDuty ディテクターのディテクター ID を一覧表示します。

Important

現在、GuardDuty では各リージョンの AWS アカウントごとに 1 つのディテクターリソースのみをサポートしています。

リクエストの構文GET https://<endpoint>/detector

147


本文:

{ "maxResults": "integer", "nextToken": "string"}


maxResults

レスポンスに含めるアイテムの最大数を示します。

タイプ: 整数

必須: いいえ

デフォルト: 50

制約: 最小値は 1 です。最大値は 50 です。nextToken

結果のページ分割を行います。ListDetectors オペレーションへの最初の呼び出しでは、このパラメータの値を NULL に設定します。その後の呼び出しでは、リクエストの nextToken に以前のレスポンスの NextToken の値を入力して、データの続きを表示します。

型: 文字列

必須: いいえ

レスポンスの構文本文:

{ "detectorIds": [list of detector IDs]}


レスポンスは JSON 形式の以下のデータです。

detectorIds

有効なすべてのディテクター ID のリスト。

タイプ: 文字列の配列nextToken

ページ分割に必要なトークン。

148


型: 文字列












リクエストは却下されました。パラメータ (maxResults) の値が無効です。



リクエストは却下されました。パラメータ (maxResults) が範囲外です。


InternalException




GET /detector HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180123T230745ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OK

149

Amazon GuardDuty Amazon Guard Duty ユーザーガイドListFilters

Content-Type: application/jsonContent-Length: 52Date: Tue, 23 Jan 2018 23:07:46 GMTx-amzn-RequestId: 397d0549-0092-11e8-a0ee-a7f9aa6e7572X-Amzn-Trace-Id: sampled=0;root=1-5a67c042-3405ff97a36fd78ee5cce278X-Cache: Miss from cloudfrontVia: 1.1 bdf69c9338fccde2f01f587a28200671.cloudfront.net (CloudFront)X-Amz-Cf-Id: 4iF3SMkI1xcf_P7mLPyoj5cCpLdx--TiMJUrVKdNf3lpCdCVJCNLgQ==Connection: Keep-alive{ "detectorIds":[ "12abc34d567e8fa901bc2d34e56789f0" ]}

ListFilters現在のフィルタのリストを返します。


GET https://<endpoint>/detector/{detectorId}/filter?maxResults=&nextToken=

本文:

{ "filterNames": [ "string" ], "nextToken": "string"}


フィルタを一覧表示する対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列

必須: はいmaxResults


タイプ: 整数

必須: いいえ

デフォルト: 50

制約: 最小値は 1 です。最大値は 50 です。

150


nextToken

結果のページ分割を行います。ListFilters オペレーションへの最初の呼び出しでは、このパラメータの値を NULL に設定します。その後の呼び出しでは、リクエストの nextToken に以前のレスポンスの nextToken の値を入力して、データの続きを表示します。

型: 文字列

必須: いいえ


{ "filterNames": [ "string" ], "nextToken": "string"}



filterName

フィルタ名のリストです。



型: 文字列










151

Amazon GuardDuty Amazon Guard Duty ユーザーガイドListFindings












リクエストは却下されました。パラメータ (nextToken) の値が無効です。





InternalException



ListFindings指定したディテクター ID に関する Amazon GuardDuty の結果を一覧表示します。


POST https://<endpoint>/detector/{detectorId}/findings

本文:

{ "findingCriteria": { "criterion": { "<field>": { "Gt": "integer", "Gte": "integer", "Lt": "integer", "Lte": "integer",

152


"Eq": [ "string" ], "Neq": [ "string" ] } } }, "sortCriteria": { "attributeName": "string", "orderBy": "[ASC|DESC]" }, "maxResults": "integer", "nextToken": "string"}


結果を一覧表示する対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列

必須: はい


maxResults


タイプ: 整数

必須: いいえ

デフォルト: 50


結果のページ分割を行います。ListFindings オペレーションへの最初の呼び出しでは、このパラメータの値を NULL に設定します。その後の呼び出しでは、リクエストの nextToken に以前のレスポンスの nextToken の値を入力して、データの続きを表示します。

型: 文字列


結果のクエリに使用する条件を表します。


必須: いいえ

153







id 結果 ID



























154



















severity 重要度




Gt




必須: いいえ

155


Lt




必須: いいえEq




必須: いいえsortCriteria

結果のソートに使用する条件を表します。

型: SortCriteria

必須: いいえattributeName

クエリ可能な結果のパラメータを表します。

型: 文字列

必須: いいえorderBy

ソートリクエストの順序を表します。

有効な値: ASC | DESC

型: 文字列

必須: いいえ


{ "findingIds": [ "string" ], "nextToken": "string"}


156



findingIds

オペレーションから返る結果を指定する ID のリスト。



型: 文字列
























157


リクエストは却下されました。パラメータ (sortCriteria) の値が無効です。





InternalException




POST /detector/12abc34d567e8fa901bc2d34e56789f0/findings HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 70Authorization: AUTHPARAMSX-Amz-Date: 20180212T223938ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "findingCriteria":{ "criterion":{ "updatedAt":{ "gte":1486685375 } } }}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 1746Date: Mon, 12 Feb 2018 22:39:39 GMTx-amzn-RequestId: 9c063378-1045-11e8-912b-55dcb9d58ea1X-Amzn-Trace-Id: sampled=0;root=1-5a8217ab-91c20067a9d784bf259099f2X-Cache: Miss from cloudfrontVia: 1.1 1a1272478361d8461b68eec8a4e3b072.cloudfront.net (CloudFront)X-Amz-Cf-Id: hJB2P8k3QOSuLXimNeOn2EuBvz_ixcnsaOHW1pBZ7KNnPYPdTE0rEA==Connection: Keep-alive{ "findingIds":[ "d4b0be682aeeb94e06ff046f3b720aaf", "40b0be6cfea750c084aae20c21ace107", "cab0be7a06e5ebe1d8911cadbfbd51c8", "d0b0c39ae57fb67f9edbd2622961771d", "14b0be677c07323d61d7006cce074238", "6eb0be66d03c7b27037f8609875c9bf7", "c4b0be6e6177dd4e269da24de95c933e", "64b0c3bb2da01d83eb306d067ea73e67",

158

Amazon GuardDuty Amazon Guard Duty ユーザーガイドListInvitations

"3ab0c0e7734ccbda8f7074952063a45f", "38b0c0ce04f29861dc6331631a233b6b", "4cb0c28afacdfc4bb5577b224e0e52ae", "94b0c2305c7d6ff1e3d483e7f36a5238", "72b0c1f80a23ca9082133c46c7558666", "d6b0c1910d5faeb6e89fe40bd78a35e6", "14b0c18efa4f2981d44b2131a560b73a", "9cb0be64df8ba1df249c45eb8a0bf584", "08b0be64df8b46440d718fc5e33e449c", "70b0be64df8b3342472e966717a5f2d8", "86b0be64df8ae19c13c4d55080b48e6a", "e6b0be64df8ae6744746c151aebbef4c", "36b0be64df8a1f72cbc32e723c2d8b89", "4cb0be64df8a20484f3a1f7ad816ca96", "5cb0be64df8a6b5c3da491b5599fc8ae", "44b0be64df89360da7c31819b3f515fa", "76b0be64df89cc6ffa31a5d34888368c", "0eb0be64df890a043aef0b1b807ddfc7", "ceb0be64df894fdef2500c7ffcc44b84", "32b0be64df88b6c6e8bbc29a798739ca", "50b0be64df88991e0221f80f4288441d", "72b0be64df88753b1aa9146729bc2fcc", "fab0be64df887026d806b6553d67bacb", "2ab0be64df878810cbe619a0ba7ef05d", "78b0be64df87ab9eb027d0c0820433d6", "3eb0be64df872fa74d318e6e31d03728", "40b0be64df8746cdecf990d3f89fe633", "56b0be64df86ad5f22e15c17b381bd8c", "9eb0be64df8693f01ade916097512133", "d2b0be64df86145bbafa2f2ea9e05dba", "d8b0be64df85da2fb107ee60013fef4d", "f0b0be64df864f7d6c70d0adc21ec430", "aeb0be64df85d6365eb815b1bef28dff", "ccb0be64df85e42caf8e33b916eaf7d1", "2cb0be64df852627bbb68f63749b36e0", "90b0be64df8513c19d6864ea3a02b91f", "7ab0be64df84dd2cb89e38547264e956", "94b0be64df84c4e7ce9f49f95b58b4ac", "92b0be64df846c83bd36dca0d7cd8271", "ccb0be64df845a4ed9258957024d0a5b", "50b0be64df83e63bb9693bb63b2e9faa" ], "nextToken":""}

ListInvitations現在の AWS アカウントに送信された Amazon GuardDuty のすべてのメンバーシップ招待を表示します。

リクエストの構文GET https://<endpoint>/invitation

本文:

{ "maxResults" : "integer"

159


"nextToken" : "string"}


maxResults


タイプ: 整数

必須: いいえ

デフォルト: 50


結果のページ分割を行います。ListInvitations オペレーションへの最初の呼び出しでは、このパラメータの値を NULL に設定します。その後の呼び出しでは、リクエストの nextToken に以前のレスポンスの NextToken の値を入力して、データの続きを表示します。

必須: いいえ

型: 文字列


{ "invitations": [ { "accountId": "string", "invitationId": "string", "invitedAt": "string", "relationshipStatus": "string" } ], "nextToken": "string"}



invitations

この AWS アカウントに送信された GuardDuty メンバーシップ招待に関する詳細のリスト。


招待を送信した AWS アカウントの ID。

160


型: 文字列invitationId

招待の一意の ID。


招待が送信されたタイムスタンプ。


招待者と招待対象者のアカウントの間の現在の関係を表すステータス。有効な値: CREATED |INVITED | DISABLED | ENABLED | REMOVED | RESIGNED | EMAILVERIFICATIONINPROGRESS |EMAILVERIFICATIONFAILED

型: 文字列nextToken

レスポンスの生成時に一覧表示されるデータが多くなると、このパラメータはレスポンスで提供され、後続のページ分割リクエストの nextToken パラメータに使用する値が含まれます。表示するデータがなくなると、このパラメータは NULL に設定されます。

型: 文字列
















161



InternalException




GET /invitation HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180125T201238ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 180Date: Thu, 25 Jan 2018 20:12:39 GMTx-amzn-RequestId: 176ef1d7-020c-11e8-8ed9-eb03a370f9dbX-Amzn-Trace-Id: sampled=0;root=1-5a6a3a37-ce08a19c90097c2711af6d20X-Cache: Miss from cloudfrontVia: 1.1 8a4a49fefe26d51023ff83ac514d5779.cloudfront.net (CloudFront)X-Amz-Cf-Id: 6lDytN8vgXTKCeKmTKW6n9uu-Q8auCCDJENKQ46nagklpnjkeIuFkA==Connection: Keep-alive{ "invitations":[ { "accountId":"6012345678901", "invitationId":"2cb097774d0b74808af8fa270f1dc404", "invitedAt":"2018-01-25T20:07:24.438Z", "relationshipStatus":"Invited" } ], "empty":false}

ListIPSetsディテクター ID で指定された Amazon GuardDuty サービスの IPSet のリスト。

Important

メンバーアカウントのユーザーがこの API を実行すると、レスポンスにはマスターアカウントがアップロードした IPSet が含まれます。現時点では、メンバーアカウントの GuardDuty, ユーザーが IPSet のアップロードや管理を行うことはできません。マスターアカウントからアップロードされた IPSet は、そのメンバーアカウントの GuardDuty 機能に適用されます。詳細については、「Amazon GuardDuty で AWS アカウントを管理する (p. 45)」を参照してください。

162


リクエストの構文パスパラメータ:

GET https://<endpoint>/detector/{detectorId}/ipset

本文:



IPSet オブジェクトを一覧表示する対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列

必須: はい


maxResults


タイプ: 整数

必須: いいえ

デフォルト: 50


結果のページ分割を行います。ListIPSets オペレーションへの最初の呼び出しでは、このパラメータの値を NULL に設定します。その後の呼び出しでは、リクエストの nextToken に以前のレスポンスの NextToken の値を入力して、データの続きを表示します。

型: 文字列

必須: いいえ


{

163


"ipSetIds": [ "string" ], "nextToken": "string"}



ipSetIds

指定した GuardDuty サービスの IPSet オブジェクトを指定する ID のリスト。



型: 文字列


















164







InternalException




GET /detector/26b092acdf3e60c625b69013f7488f7b/ipset HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180124T001914ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 66Date: Wed, 24 Jan 2018 00:19:16 GMTx-amzn-RequestId: 3655f06a-009c-11e8-b1c0-63f7fc930fe2X-Amzn-Trace-Id: sampled=0;root=1-5a67d104-81ea75e98e2fe32d09842944X-Cache: Miss from cloudfrontVia: 1.1 5b51f6e8f38342d63beb93a0db7a392b.cloudfront.net (CloudFront)X-Amz-Cf-Id: RPe-C-TRFt4cMylGV8ux1PCoeG5eK1seeolplZTVhYTtRZLEkDUd6w==Connection: Keep-alive{ "ipSetId":"0cb0141ab9fbde177613ab9436212e90"}

ListMembersAmazon GuardDuty の現在のマスターアカウントのすべてのメンバーアカウントに関する詳細を表示します。

リクエストの構文GET https://<endpoint>/detector/{detectorId}/member

165


本文:

{ "maxResults": "integer", "nextToken": "string", "onlyAssociated": "boolean"}


メンバーを一覧表示する GuardDuty アカウントのディテクター ID。

必須: はい

型: 文字列


maxResults


必須: いいえ

型: 文字列

デフォルト: 50


結果のページ分割を行います。ListMembers オペレーションへの最初の呼び出しでは、このパラメータの値を NULL に設定します。その後の呼び出しでは、リクエストの nextToken に以前のレスポンスの NextToken の値を入力して、データの続きを表示します。

必須: いいえ

型: 文字列onlyAssociated

マスターアカウントとの関係ステータスに基づいてレスポンスに含むメンバーアカウントを指定します。デフォルト値は TRUE です。onlyAssociated が TRUE に設定されている場合、レスポンスには、マスターとの関係ステータスが ENABLED または DISABLED に設定されているメンバーアカウントが含まれます。onlyAssociated が FALSE に設定されている場合、そのレスポンスには既存のすべてのメンバーアカウントが含まれます。

必須: いいえ


デフォルト: True

166



{ "members": [ { "accountId": "string", "detectorId": "string", "email": "string", "masterId": "string", "relationshipStatus": "string", "invitedAt": "string", "updatedAt": "string" } ], "nextToken": "string"}



members

GuardDuty メンバーアカウントに関する詳細のリスト。




GuardDuty メンバーアカウントの一意の ID。

型: 文字列email

GuardDuty メンバーアカウントの E メールアドレス。

型: 文字列masterId

メンバーアカウントの GuardDuty マスターアカウント ID。


メンバーアカウントとそのマスターアカウント間の関係のステータス。有効な値: CREATED |INVITED | DISABLED | ENABLED | REMOVED | RESIGNED | EMAILVERIFICATIONINPROGRESS |EMAILVERIFICATIONFAILED

型: 文字列

167


invitedAt

メンバーアカウントが GuardDuty に招待されたタイムスタンプ。


updatedAt

このメンバーアカウントが更新されたタイムスタンプ。


nextToken

ページ分割に必要なトークン。レスポンスの生成時に一覧表示されるデータが多くなると、このパラメータはレスポンスで提供され、後続のページ分割リクエストの nextToken パラメータに使用する値が含まれます。表示するデータがなくなると、このパラメータは NULL に設定されます。

タイプ: 整数



















168




リクエストは却下されました。パラメータ (onlyAssociated) の値が無効です。





InternalException




GET /detector/26b092acdf3e60c625b69013f7488f7b/member HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180209T214335ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 256Date: Fri, 09 Feb 2018 21:43:37 GMTx-amzn-RequestId: 48c4d871-0de2-11e8-a0da-35504ea5b4f3X-Amzn-Trace-Id: sampled=0;root=1-5a7e1608-de91dbb494298683e2ba0b97X-Cache: Miss from cloudfrontVia: 1.1 a8a06e035420932f2808c2efee52f455.cloudfront.net (CloudFront)X-Amz-Cf-Id: _tzbuMnoMN2zwkakGIqpbLE0Dd2sbIyiJ3dj2c3anx_Db7MNmrlNCQ==Connection: Keep-alive{ "members":[ { "accountId":"123456789012", "detectorId":"12abc34d567e8fa901bc2d34e56789f0", "email":"[email protected]", "relationshipStatus":"Enabled", "invitedAt":"2018-02-09T21:33:05.568Z", "masterId":"234567890123", "updatedAt":"2018-02-09T21:33:46.363Z" } ]}

169

Amazon GuardDuty Amazon Guard Duty ユーザーガイドListThreatIntelSets

ListThreatIntelSetsディテクター ID で指定された GuardDuty サービスの ThreatIntelSets のリスト。

Important

メンバーアカウントのユーザーがこの API を実行すると、レスポンスにはマスターアカウントがアップロードした ThreatIntelSets が含まれます。現時点では、メンバーアカウントのGuardDuty, ユーザーが ThreatIntelSets のアップロードや管理を行うことはできません。マスターアカウントからアップロードされた ThreatIntelSets は、そのメンバーアカウントのGuardDuty 機能に適用されます。詳細については、「Amazon GuardDuty で AWS アカウントを管理する (p. 45)」を参照してください。

リクエストの構文GET https://<endpoint>/detector/{detectorId}/threatintelset

本文:



ThreatIntelSets を一覧表示する対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列

必須: はい


maxResults


タイプ: 整数

必須: いいえ

デフォルト: 50


結果のページ分割を行います。ListThreatIntelSets オペレーションへの最初の呼び出しでは、このパラメータの値を NULL に設定します。今後、このアクションを呼び出す場合は、リクエストのnextToken に以前のレスポンスの NextToken の値を入力して、データの続きを表示します。

170


型: 文字列

必須: いいえ


{ "threatIntelSetIds": [ "string" ], "nextToken": "string"}

レスポンス要素サービスから以下のデータが JSON 形式で返されます。

threatIntelSetIds

指定した GuardDuty サービスの ThreatIntelSet オブジェクトを指定する ID のリスト。


制約: 最小項目数は 0 です。最大数は 50 項目です。nextToken


型: 文字列











171














InternalException




GET /detector/12abc34d567e8fa901bc2d34e56789f0/threatintelset HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityAuthorization: AUTHPARAMSX-Amz-Date: 20180124T195513ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 75Date: Wed, 24 Jan 2018 19:55:14 GMTx-amzn-RequestId: 7e5a935c-0140-11e8-a9ab-51b1993e9c62X-Amzn-Trace-Id: sampled=0;root=1-5a68e4a2-f59a246addd680e790b6c2e0X-Cache: Miss from cloudfrontVia: 1.1 7cbd9c5a78702cfae1a7ed58e294736e.cloudfront.net (CloudFront)X-Amz-Cf-Id: -LPBY0XNC0h0ifRWzhb9Lo4HLRJA2BxaFfLzzvVeAhXrPkuqlcnBpg==Connection: Keep-alive{ "threatIntelSetIds":[ "8cb094db7082fd0db09479755d215dba" ],

172

Amazon GuardDuty Amazon Guard Duty ユーザーガイドStartMonitoringMembers

"nextToken":null}

StartMonitoringMembersアカウント ID で指定されたメンバーアカウントの結果を Amazon GuardDuty で再度モニタリングできるようにします。StopMonitoringMembers (p. 176) を実行して、これらのメンバーの結果を GuardDuty でモニタリングすることを無効にした場合、GuardDuty マスターアカウントではこのコマンドを実行して再有効化できます。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/member/start

本文:



メンバーアカウントの結果のモニタリングを停止する対象の GuardDuty アカウントのディテクターID。

型: 文字列

必須: はい


accountIds

マスターアカウントで結果のモニタリングを再有効化する GuardDuty メンバーアカウントのアカウント ID のリスト。




173


型: 文字列





unprocessedAccounts






型: 文字列



リクエストは却下されました。指定されたアカウント ID は、現在のアカウントの関連付けられたメンバーではありません。






174
















InternalException




POST /detector/26b092acdf3e60c625b69013f7488f7b/member/start HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 32Authorization: AUTHPARAMSX-Amz-Date: 20180209T215455ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "accountIds":[ "123456789012" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 26Date: Fri, 09 Feb 2018 21:54:56 GMT

175

Amazon GuardDuty Amazon Guard Duty ユーザーガイドStopMonitoringMembers

x-amzn-RequestId: dde3efad-0de3-11e8-9ba1-c17118e93549X-Amzn-Trace-Id: sampled=0;root=1-5a7e18b0-786dcf902e5059ee64f7e30aX-Cache: Miss from cloudfrontVia: 1.1 b2532cb29a55e8fe8106a4a9a9241592.cloudfront.net (CloudFront)X-Amz-Cf-Id: pSrlCyqEfDP1FOdZMXIafXMzF5nPf2DZrIatSiD4E5b9ZXFHd1Ot0w==Connection: Keep-alive{ "unprocessedAccounts":[

]}

StopMonitoringMembersアカウント ID で指定されたメンバーアカウントの結果を Amazon GuardDuty でモニタリングできないようにします。このコマンドを実行した後で、これらのメンバーの結果を GuardDuty で再度モニタリングするには、GuardDuty マスターアカウントで StartMonitoringMembers (p. 173) を実行します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/member/stop

本文:



メンバーアカウントの結果のモニタリングを停止する対象の GuardDuty アカウントのディテクターID。

型: 文字列

必須: はい


accountIds

マスターアカウントで結果のモニタリングを停止する対象の GuardDuty メンバーアカウントのアカウント ID のリスト。

176





型: 文字列





unprocessedAccounts






型: 文字列



リクエストは却下されました。指定されたアカウント ID は、現在のアカウントのメンバーではありません。


177




















InternalException




POST /detector/26b092acdf3e60c625b69013f7488f7b/member/stop HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 32Authorization: AUTHPARAMSX-Amz-Date: 20180209T215008ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "accountIds":[ "123456789012" ]}

178

Amazon GuardDuty Amazon Guard Duty ユーザーガイドUnarchiveFindings

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 26Date: Fri, 09 Feb 2018 21:50:09 GMTx-amzn-RequestId: 32b833a1-0de3-11e8-b5b7-6ffb530727e9X-Amzn-Trace-Id: sampled=0;root=1-5a7e1791-5affbdd584be95ecf97cc9f2X-Cache: Miss from cloudfrontVia: 1.1 4b41f5d4002cf5daabe6e170bd619abc.cloudfront.net (CloudFront)X-Amz-Cf-Id: KhOTiBOnEjFXmBjANQOjIiYCE2fGOGiaFAKfetjK65Dv16VWeH4ESw==Connection: Keep-alive{ "unprocessedAccounts":[

]}

UnarchiveFindings結果 ID のリストで指定された Amazon GuardDuty の結果を解凍します。

リクエストの構文パスパラメータ:

POST https://<endpoint>/detector/{detectorId}/findings/unarchive

本文:

{ "findingIds": [ "string" ]}


結果を解凍する対象の GuardDuty サービスを指定するディテクターの ID。

必須: はい


179


findingIds

解凍する結果の ID。


必須: はい
























180


InternalException




POST /detector/c6b0be64463ff852400d8ae5b2353866/findings/unarchive HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 52Authorization: AUTHPARAMSX-Amz-Date: 20180209T231331ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "findingIds":[ "9cb0be64df8ba1df249c45eb8a0bf584" ]}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Fri, 09 Feb 2018 23:13:32 GMTx-amzn-RequestId: d8d7831e-0dee-11e8-b703-ab81f2419585X-Amzn-Trace-Id: sampled=0;root=1-5a7e2b1c-5d5292523c568f02a266c57bX-Cache: Miss from cloudfrontVia: 1.1 8a4a49fefe26d51023ff83ac514d5779.cloudfront.net (CloudFront)X-Amz-Cf-Id: WWIYv0gEFz8k9cuPE_FT54T1aDL80Nrpfn3bDVLW7s1AbuQzWcMhkg==Connection: Keep-alive

UpdateDetectorディテクター ID で指定された Amazon GuardDuty ディテクターを更新します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}

本文:

{ "enable" : "boolean"}

181



更新するディテクターの一意の ID。

型: 文字列

必須: はい


有効化

ディテクターが有効であるかどうかを指定します。


必須: いいえ
















182


リクエストは却下されました。必要なアクセス許可 (iam:CreateServiceLinkedRole) がありません。





InternalException




POST /detector/12abc34d567e8fa901bc2d34e56789f0 HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 16Authorization: AUTHPARAMSX-Amz-Date: 20180123T231356ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "enable":true}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Tue, 23 Jan 2018 23:13:57 GMTx-amzn-RequestId: 16c23992-0093-11e8-a33d-67e86e7cc0b9X-Amzn-Trace-Id: sampled=0;root=1-5a67c1b5-f8ce3625e119d47f2531e4acX-Cache: Miss from cloudfrontVia: 1.1 b7b35e3be0ac217c56fb0eb4da9b75bb.cloudfront.net (CloudFront)X-Amz-Cf-Id: _y_e0gjS2U1RcJ8yknRPGjYB5coSSyeG1vkV9-IKaHGUUBs03-900A==Connection: Keep-alive

UpdateFilterフィルタ名で指定されたフィルタを更新します。

リクエストの構文POST https://<endpoint>/detector/{detectorId}/filter/<filter-name>

183


本文:

{ "description": "string", "criteria": [ "criterion": { "<field>": { "gt": "integer", "gte": "integer", "lt": "integer", "lte": "integer", "eq": [ "string" ], "neq": [ "string" ] } } ], "action": "[NOOP|ARCHIVE]", "rank": "integer" }


フィルタをアップデートする対象の GuardDuty サービスを指定する、ディテクターの一意の ID。

型: 文字列



型: 文字列

必須: はい


description


型: 文字列




184


必須: いいえ






id 結果 ID


























185




















severity 重要度




Gt




186


必須: いいえLt




必須: いいえEq




必須: いいえaction


タイプ: Enum

必須: いいえ

有効な値: NOOP | ARCHIVErank


タイプ: 整数

必須: いいえ

制限: 最小値は 1 で、最大値は現在のフィルタ総数の増分と等しくなります。


{ "name": "string"}


name


187
















リクエストは却下されました。パラメータ (description) の値が無効です。






リクエストは却下されました。パラメータ (action) の値が無効です。



リクエストは却下されました。パラメータ (rank) の値が無効です。








188





InternalException




POST /detector/12abc34d567e8fa901bc2d34e56789f0 HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 16Authorization: AUTHPARAMSX-Amz-Date: 20180123T231356ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "enable":true}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Tue, 23 Jan 2018 23:13:57 GMTx-amzn-RequestId: 16c23992-0093-11e8-a33d-67e86e7cc0b9X-Amzn-Trace-Id: sampled=0;root=1-5a67c1b5-f8ce3625e119d47f2531e4acX-Cache: Miss from cloudfrontVia: 1.1 b7b35e3be0ac217c56fb0eb4da9b75bb.cloudfront.net (CloudFront)X-Amz-Cf-Id: _y_e0gjS2U1RcJ8yknRPGjYB5coSSyeG1vkV9-IKaHGUUBs03-900A==Connection: Keep-alive

UpdateFindingsFeedbackAmazon GuardDuty の指定された結果を有用または無用としてマークします。


POST https://<endpoint>/detector/{detectorId}/findings/feedback

本文:

189


{ "findingIds": [ "string" ], "feedback": "[USEFUL|NOT_USEFUL]", "comments": "string"}

リクエストパラメータdetectorId

結果を有用または無用としてマークする対象の GuardDuty サービスのディテクター ID。

型: 文字列


findingIds

有用または無用としてマークする結果の ID。

タイプ: 文字列の配列. 最小項目数は 0 です。最大数は 50.

必須: はいフィードバック

型: 文字列

必須: はい

有効な値: USEFUL | NOT_USEFULcomments

GuardDuty の結果に関する追加のフィードバック。

型: 文字列

必須: いいえ

制限: 最大 160 文字。使用できる文字は、a-z、A-Z、0-9、一重引用符および二重引用符のみです。





190













リクエストは却下されました。パラメータコメントに無効な値が含まれています。








InternalException




POST /detector/c6b0be64463ff852400d8ae5b2353866/findings/feedback HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 78Authorization: AUTHPARAMSX-Amz-Date: 20180209T230429ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "findingIds":[ "9cb0be64df8ba1df249c45eb8a0bf584" ], "feedback":"NOT_USEFUL"}

191

Amazon GuardDuty Amazon Guard Duty ユーザーガイドUpdateIPSet

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Fri, 09 Feb 2018 23:04:30 GMTx-amzn-RequestId: 9599e105-0ded-11e8-a294-df0cbca23cedX-Amzn-Trace-Id: sampled=0;root=1-5a7e28fe-885816710d8ec164f83ae38dX-Cache: Miss from cloudfrontVia: 1.1 33cfbeb7154bbef1432b207659c6dac5.cloudfront.net (CloudFront)X-Amz-Cf-Id: Z6_YLuTs4hTxC5OUgUUVwoqhEALPrE9HyelAd-6qxmRViJO0L6bjcA==Connection: Keep-alive

UpdateIPSetIPSet ID で指定されている IPSet を更新します。

Important



POST https://<endpoint>/detector/{detectorId}/ipset/{ipSetId}

本文:

{ "name": "string", "location": "string", "activate": "boolean"}


IPSet を更新する対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列


更新対象の IPSet を指定する一意の ID。

192


型: 文字列

必須: はい


name

更新された IPSet のわかりやすい名前。

型: 文字列

必須: いいえlocation

IPSet を含むファイルの更新された URI。

型: 文字列

必須: いいえactivate

IPSet がアクティブであるかどうかを指定します。


必須: いいえ













193






















BadRequestException






BadRequestException

リクエストは却下されました。指定したサービスロールはサービスロールではありません。


InternalException


194




POST /detector/12abc34d567e8fa901bc2d34e56789f0/ipset/0cb0141ab9fbde177613ab9436212e90 HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 19Authorization: AUTHPARAMSX-Amz-Date: 20180124T002823ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "activate":false}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Wed, 24 Jan 2018 00:28:25 GMTx-amzn-RequestId: 7d04eb7e-009d-11e8-9150-9b7ab09573a9X-Amzn-Trace-Id: sampled=0;root=1-5a67d328-1f5cd901719c010f77e58ee3X-Cache: Miss from cloudfrontVia: 1.1 2d8af5cc5befc5d35bb54b4a5b6494c9.cloudfront.net (CloudFront)X-Amz-Cf-Id: 9yHsYLUD63GBTsSwOGPBRRDtoU5m_Ncv9LAJ-EmknNTNxi9wzC0zew==Connection: Keep-alive

UpdateThreatIntelSetThreatIntelSet ID で指定された ThreatIntelSet を更新します。

Important



POST https://<endpoint>/detector/{detectorId}/threatintelset/{threatIntelSetId}

本文:

{

195


"name": "string", "location": "string", "activate": "boolean"}


ThreatIntelSet を更新する対象の GuardDuty サービスを指定するディテクター ID。

型: 文字列


更新する ThreatIntelSet を指定する一意の ID。

型: 文字列

必須: はい


name

更新された ThreatIntelSet のわかりやすい名前。

型: 文字列

必須: いいえlocation

ThreatIntelSet を含むファイルの更新された URI。

型: 文字列

必須: いいえactivate

ThreateIntelSet がアクティブであるかどうかを指定します。

必須: いいえ




196
































BadRequestException

197







BadRequestException



InternalException




POST /detector/12abc34d567e8fa901bc2d34e56789f0/threatintelset/8cb094db7082fd0db09479755d215dba HTTP/1.1Host: guardduty.us-west-2.amazonaws.comAccept-Encoding: identityContent-Length: 19Authorization: AUTHPARAMSX-Amz-Date: 20180124T212506ZUser-Agent: aws-cli/1.14.29 Python/2.7.9 Windows/8 botocore/1.8.33{ "activate":false}

レスポンス例

HTTP/1.1 200 OKContent-Type: application/jsonContent-Length: 0Date: Wed, 24 Jan 2018 21:25:09 GMTx-amzn-RequestId: 0d3e8284-014d-11e8-beb7-958380c0c8daX-Amzn-Trace-Id: sampled=0;root=1-5a68f9b4-00718037918ec6f8abaacdddX-Cache: Miss from cloudfrontVia: 1.1 7a06af51e583997d8673ab89482dd45a.cloudfront.net (CloudFront)X-Amz-Cf-Id: 1YgXeOCWt1SC7nBaB2s8unBvIfhp45JRVJxXL3B-KHRWByGMCAyNRA==Connection: Keep-alive

198


Amazon GuardDuty のドキュメント履歴

次の表は、GuardDuty の今回のリリースの内容をまとめたものです。

• API バージョン: 1.0• 最新のドキュメンテーションの更新: 2018 年 1 月 25 日

変更説明日付

初版発行 Amazon GuardDuty ユーザーガイドの初回リリース。

2017 年 11 月 28 日

GuardDuty メンバーアカウントの制限の引き上げ

このリリースでは、AWS アカウント (GuardDuty マスターアカウント) ごとに最大 1000 件のGuardDuty メンバーアカウントを追加することができます。

2018 年 1 月 25 日

GuardDuty のマスターアカウントおよびメンバーアカウントの信頼できる IP リストと脅威リストのアップロードと管理の変更

このリリースでは、GuardDutyのマスターアカウントのユーザーが信頼できる IP リストと脅威リストをアップロードして管理することができます。メンバーの GuardDuty アカウントのユーザーは、リストをアップロードし管理することができません。マスターアカウントからアップロードされた信頼されている IP リストや脅威リストは、そのメンバーアカウントのGuardDuty 機能に適用されます。詳細については、「AmazonGuardDuty で AWS アカウントを管理する (p. 45)」および「信頼できる IP リストと脅威リストの使用 (p. 41)」を参照してください。

2018 年 1 月 25 日

次の 3 つの脅威インテリジェンス検出 (結果タイプ) が追加されました:

• Trojan:EC2/PhishingDomainRequest!DNS

• Trojan:EC2/BlackholeTraffic!DNS

• Trojan:EC2/DGADomainRequest.C!DNS

これらの新しい結果タイプは、サポートされているすべてのリージョンの GuardDuty で自動的に有効になります。詳細については、「Amazon GuardDutyの結果タイプ (p. 24)」を参照してください。

2018 年 2 月 5 日

199


変更説明日付

次の 9 個の CloudTrail ベースの異常検出が追加されました (結果タイプ):

• Recon:IAMUser/NetworkPermissions

• Recon:IAMUser/ResourcePermissions

• Recon:IAMUser/UserPermissions

• Persistence:IAMUser/NetworkPermissions

• Persistence:IAMUser/ResourcePermissions

• Persistence:IAMUser/UserPermissions

• ResourceConsumption:IAMUser/ComputeResources

• Stealth:IAMUser/LoggingConfigurationModified

• UnauthorizedAccess:IAMUser/ConsoleLogin

これらの新しい結果タイプは、サポートされているすべてのリージョンの GuardDuty で自動的に有効になります。詳細については、「Amazon GuardDutyの結果タイプ (p. 24)」を参照してください。

2018 年 2 月 28 日

AWS CloudFormation を使用したGuardDuty のマスターアカウントとメンバーアカウントの作成がサポートされるようになりました。

詳細については、AWS::GuardDuty::Master および AWS::GuardDuty::Memberを参照してください。

2018 年 3 月 6 日

GuardDuty は欧州 (パリ) リージョンで利用できます

GuardDuty は、欧州 (パリ) で利用可能になりました。これにより継続したセキュリティのモニタリングを拡張し、AWS の新しい欧州リージョンで脅威を検出できます。

2018 年 3 月 29 日

GuardDuty 自動アーカイブルールのサポートを追加しました

顧客は、結果の数を抑えられるよう、詳細な自動アーカイブ (p. 4)ルールを構築できるようになりました。自動アーカイブルールに一致する検索結果の場合、GuardDuty はそれらを自動的にアーカイブ済みとしてマークします。これにより、顧客はGuardDuty をさらに細かく調整して、現在の結果の表に関連性のある調査結果のみを保持できます。

2018 年 5 月 4 日

200

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-guardduty-master.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-guardduty-member.html


AWS の用語集最新の AWS の用語については、『AWS General Reference』の「AWS の用語集」を参照してください。

201

http://docs.aws.amazon.com/general/latest/gr/glos-chap.html

amazon guardduty - amazon guard duty ユーザーガ … guardduty amazon guard duty...

Documents