Amazon GuardDuty - Amazon Guard Duty ユーザーガイド

Amazon GuardDuty

Amazon Guard Duty ユーザーガイド

Amazon GuardDuty: Amazon Guard Duty ユーザーガイド

Copyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.

Table of Contents

Amazon GuardDuty とは ... 1

GuardDuty の料金表 ... 1

GuardDuty へのアクセス ... 1

Amazon GuardDuty でデータソースを使用する方法 ... 2

AWS CloudTrail イベントログ ... 2

VPC フローログ ... 3

DNS ログ ... 3

Amazon GuardDuty の用語と概念 ... 4

Amazon GuardDuty サービスの制限 ... 6

Amazon GuardDuty でサポートされているリージョン ... 8

Amazon GuardDuty をセットアップする ... 10

Amazon GuardDutyの有効化 ... 10

Amazon GuardDuty 無料トライアル ... 12

サービスにリンクされたロールの使用 ... 12

GuardDuty のサービスにリンクされたロールのアクセス許可 ... 12

のサービスにリンクされたロールの作成GuardDuty ... 14

GuardDuty のサービスにリンクされたロールの編集 ... 14

GuardDuty のサービスにリンクされたロールの削除 ... 14

Amazon GuardDuty へのアクセスの管理 ... 15

GuardDuty の有効化に必要なアクセス許可 ... 15

サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 ... 16

IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する ... 17

GuardDuty での AWS 管理 (事前定義) ポリシー ... 17

カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 ... 18

カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与 ... 19

カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否 ... 19

カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 ... 20

Amazon GuardDutyの結果 ... 23

GuardDuty 結果の検索と分析 ... 23

GuardDuty 結果のアーカイブ、エクスポート、およびフィードバックの提供 ... 25

結果のフィルタリングと自動アーカイブ ... 25

GuardDuty 結果の重要度 ... 26

GuardDuty 結果サンプルの生成 ... 27

PoC (概念実証) - 複数の一般的な GuardDuty 結果の自動生成 ... 27

GuardDuty の結果タイプの形式 ... 28

GuardDuty のアクティブな結果タイプ ... 29

GuardDuty の Backdoor 結果タイプ ... 30

GuardDuty の Behavior 結果タイプ ... 31

GuardDuty の CryptoCurrency 結果タイプ ... 32

GuardDuty の PenTest 結果タイプ ... 32

GuardDuty の永続性結果タイプ ... 33

GuardDuty の Recon 検索タイプ ... 34

GuardDuty の ResourceConsumption 結果タイプ ... 37

GuardDuty の Stealth 結果タイプ ... 38

GuardDuty の Trojan 検索タイプ ... 39

GuardDuty の未許可結果タイプ ... 42

GuardDuty のリタイアしている結果タイプ ... 46

Behavior:IAMUser/InstanceLaunchUnusual ... 46

CryptoCurrency:EC2/BitcoinTool.A ... 47

GuardDuty によって検出されたセキュリティ問題の修復 ... 47

侵害された EC2 インスタンスの修正 ... 47

侵害された AWS 認証情報の修正 ... 47

信頼できる IP リストと脅威リストの使用 ... 49

信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限 ... 50

信頼されている IP リストと脅威リストをアップロードするには ... 50

信頼されている IP リストや脅威リストを有効化または無効化にする ... 51

信頼されている IP リストと脅威リストを更新するには ... 51

Amazon GuardDuty の AWS アカウントの管理 ... 53

GuardDuty マスターアカウント ... 53

GuardDuty メンバーアカウント ... 54

GuardDuty コンソールでマスターアカウントとメンバーアカウントを指定する ... 55

GuardDuty API オペレーションでのマスターアカウントとメンバーアカウントの指定 ... 56

複数のアカウントで同時に GuardDuty を有効にする ... 58

Python スクリプトを使用して複数のアカウントで同時に GuardDuty を有効にする ... 58

AWS CloudFormation StackSets を使用して複数のアカウントで同時に GuardDuty を有効にする .. 58

Amazon GuardDuty の停止または無効化 ... 61

を使用した API 呼び出しのログ作成 ... 62

内の 情報 ... 62

例: GuardDuty ログファイルエントリ ... 63

を使用した 結果のモニタリング ... 64

GuardDuty に関する CloudWatch イベント の通知頻度 ... 64

CloudWatch イベント を使用した、アーカイブされた GuardDuty 結果のモニタリング ... 64

GuardDuty の CloudWatch イベントの形式 ... 65

の ルールおよびターゲットの作成 ... 65

Amazon GuardDuty API リファレンス ... 67

AcceptInvitation ... 68

リクエストの構文 ... 68

パスパラメータ ... 68

リクエストパラメータ ... 68

レスポンス要素 ... 69

エラー ... 69

例 ... 70

ArchiveFindings ... 71

リクエストの構文 ... 71

パスパラメータ ... 71

リクエストパラメータ ... 71

レスポンス要素 ... 71

エラー ... 71

例 ... 72

CreateDetector ... 73

リクエストの構文 ... 73

リクエストパラメータ ... 73

レスポンスの構文 ... 74

レスポンス要素 ... 74

エラー ... 74

例 ... 75

CreateFilter ... 75

リクエストの構文 ... 75

パスパラメータ ... 76

リクエストパラメータ ... 76

レスポンスの構文 ... 79

レスポンス要素 ... 79

エラー ... 80

例 ... 81

CreateIPSet ... 82

リクエストの構文 ... 82

パスパラメータ ... 82

リクエストパラメータ ... 83

レスポンスの構文 ... 83

レスポンス要素 ... 83

エラー ... 84

例 ... 85

CreateMembers ... 86

リクエストの構文 ... 86

パスパラメータ ... 86

リクエストパラメータ ... 86

レスポンスの構文 ... 87

レスポンス要素 ... 87

エラー ... 88

例 ... 89

CreateSampleFindings ... 89

リクエストの構文 ... 89

パスパラメータ ... 90

リクエストパラメータ ... 90

レスポンス要素 ... 90

エラー ... 90

例 ... 91

CreateThreatIntelSet ... 92

リクエストの構文 ... 92

パスパラメータ ... 92

リクエストパラメータ ... 92

レスポンスの構文 ... 93

レスポンス要素 ... 93

エラー ... 93

例 ... 95

DeclineInvitations ... 96

リクエストの構文 ... 96

リクエストパラメータ ... 96

レスポンスの構文 ... 96

レスポンス要素 ... 96

エラー ... 97

例 ... 97

DeleteDetector ... 98

リクエストの構文 ... 98

パスパラメータ ... 98

レスポンス要素 ... 98

エラー ... 98

例 ... 99

DeleteFilter ... 100

リクエストの構文 ... 100

パスパラメータ ... 98

レスポンス要素 ... 98

エラー ... 98

例 ... 101

DeleteInvitations ... 102

リクエストの構文 ... 102

リクエストパラメータ ... 102

レスポンスの構文 ... 102

レスポンス要素 ... 103

エラー ... 103

例 ... 104

DeleteIPSet ... 104

リクエストの構文 ... 105

パスパラメータ ... 105

レスポンスの構文 ... 105

エラー ... 105

例 ... 106

DeleteMembers ... 107

リクエストの構文 ... 107

パスパラメータ ... 107

リクエストパラメータ ... 107

レスポンスの構文 ... 108

レスポンス要素 ... 108

エラー ... 108

例 ... 109

DeleteThreatIntelSet ... 110

リクエストの構文 ... 110

パスパラメータ ... 110

レスポンスの構文 ... 110

エラー ... 110

例 ... 111

DisassociateFromMasterAccount ... 112

リクエストの構文 ... 112

パスパラメータ ... 112

レスポンス要素 ... 112

エラー ... 113

例 ... 113

DisassociateMembers ... 114

リクエストの構文 ... 114

リクエストパラメータ ... 114

リクエストパラメータ ... 114

レスポンスの構文 ... 115

レスポンス要素 ... 115

エラー ... 115

例 ... 116

GetDetector ... 117

リクエストの構文 ... 117

パスパラメータ ... 117

レスポンスの構文 ... 117

レスポンス要素 ... 117

エラー ... 118

例 ... 118

GetFilter ... 119

リクエストの構文 ... 119

パスパラメータ ... 119

レスポンスの構文 ... 120

レスポンス要素 ... 120

エラー ... 122

例 ... 122

GetFindings ... 123

リクエストの構文 ... 123

パスパラメータ ... 124

リクエストパラメータ ... 124

レスポンスの構文 ... 125

レスポンス要素 ... 127

エラー ... 137

例 ... 138

GetFindingsStatistics ... 141

リクエストの構文 ... 141

パスパラメータ ... 141

リクエストパラメータ ... 141

レスポンスの構文 ... 142

レスポンス要素 ... 143

エラー ... 143

例 ... 144

GetInvitationsCount ... 144

リクエストの構文 ... 144

レスポンスの構文 ... 144

レスポンス要素 ... 145

エラー ... 145

例 ... 145

GetIPSet ... 146

リクエストの構文 ... 146

パスパラメータ ... 146

レスポンスの構文 ... 147

レスポンス要素 ... 147

エラー ... 147

例 ... 106

GetMasterAccount ... 149

リクエストの構文 ... 149

パスパラメータ ... 149

レスポンスの構文 ... 149

レスポンス要素 ... 150

エラー ... 150

例 ... 151

GetMembers ... 151

リクエストの構文 ... 151

パスパラメータ ... 152

リクエストパラメータ ... 152

レスポンスの構文 ... 152

レスポンス要素 ... 153

エラー ... 154

例 ... 154

GetThreatIntelSet ... 155

リクエストの構文 ... 155

パスパラメータ ... 156

レスポンスの構文 ... 156

レスポンス要素 ... 156

エラー ... 157

例 ... 158

InviteMembers ... 158

リクエストの構文 ... 158

パスパラメータ ... 159

リクエストパラメータ ... 159

レスポンスの構文 ... 159

レスポンス要素 ... 160

エラー ... 160

例 ... 161

ListDetectors ... 162

リクエストの構文 ... 162

リクエストパラメータ ... 162

レスポンスの構文 ... 163

レスポンス要素 ... 163

エラー ... 163

例 ... 164

ListFilters ... 164

リクエストの構文 ... 164

パスパラメータ ... 165

レスポンスの構文 ... 165

レスポンス要素 ... 165

エラー ... 166

例 ... 167

ListFindings ... 167

リクエストの構文 ... 167

パスパラメータ ... 168

リクエストパラメータ ... 168

レスポンスの構文 ... 171

レスポンス要素 ... 165

エラー ... 172

例 ... 173

ListInvitations ... 174

リクエストの構文 ... 174

リクエストパラメータ ... 175

レスポンスの構文 ... 175

レスポンス要素 ... 175

エラー ... 176

例 ... 177

ListIPSets ... 177

リクエストの構文 ... 178

パスパラメータ ... 178

リクエストパラメータ ... 178

レスポンスの構文 ... 178

レスポンス要素 ... 179

エラー ... 179

例 ... 106

ListMembers ... 180

リクエストの構文 ... 180

パスパラメータ ... 181

リクエストパラメータ ... 181

レスポンスの構文 ... 182

レスポンス要素 ... 182

エラー ... 183

例 ... 184

ListThreatIntelSets ... 184

リクエストの構文 ... 185

パスパラメータ ... 185

リクエストパラメータ ... 185

レスポンスの構文 ... 186

レスポンス要素 ... 186

エラー ... 186

例 ... 187

StartMonitoringMembers ... 188

リクエストの構文 ... 188

パスパラメータ ... 188

リクエストパラメータ ... 188

レスポンスの構文 ... 188

レスポンス要素 ... 189

エラー ... 189

例 ... 190

StopMonitoringMembers ... 191

リクエストの構文 ... 191

パスパラメータ ... 191

リクエストパラメータ ... 191

レスポンスの構文 ... 192

レスポンス要素 ... 192

エラー ... 192

例 ... 193

UnarchiveFindings ... 194

リクエストの構文 ... 194

パスパラメータ ... 194

リクエストパラメータ ... 194

レスポンス要素 ... 195

エラー ... 195

例 ... 195

UpdateDetector ... 196

リクエストの構文 ... 196

パスパラメータ ... 196

リクエストパラメータ ... 197

レスポンス要素 ... 197

エラー ... 197

例 ... 198

UpdateFilter ... 198

リクエストの構文 ... 198

パスパラメータ ... 199

リクエストパラメータ ... 199

レスポンスの構文 ... 202

レスポンス要素 ... 202

エラー ... 197

例 ... 204

UpdateFindingsFeedback ... 204

リクエストの構文 ... 204

リクエストパラメータ ... 205

リクエストパラメータ ... 205

レスポンス要素 ... 205

エラー ... 205

例 ... 206

UpdateIPSet ... 207

リクエストの構文 ... 207

パスパラメータ ... 105

リクエストパラメータ ... 208

レスポンスの構文 ... 208

エラー ... 105

例 ... 106

UpdateThreatIntelSet ... 210

リクエストの構文 ... 210

パスパラメータ ... 211

リクエストパラメータ ... 211

レスポンスの構文 ... 211

エラー ... 212

例 ... 213

ドキュメント履歴 ... 214

以前の更新 ... 215

AWS の用語集 ... 216

GuardDuty の料金表

Amazon GuardDuty とは

Amazon GuardDuty は、次のデータソースを分析して処理する継続的なセキュリティモニタリングサービ スです: VPC フローログ、AWS CloudTrail イベントログ、DNS ログ。悪意のある IP やドメインのリスト などの脅威インテリジェンスフィードおよび機械学習を使用して、AWS 環境内の予期しない潜在的に未許 可なアクティビティや悪意のあるアクティビティを識別します。このアクティビティには、権限昇格や、

公開されている認証情報の使用、悪意のある IP や URL、ドメインとの通信などの問題も含まれます。た とえば、GuardDuty はマルウェアやマイニングビットコインに使われている侵害された EC2 インスタンス を検出できます。また、AWS アカウントのアクセス動作をモニタリングして、未許可のインフラストラク チャのデプロイ (これまで使用されたことのないリージョンへのインスタンスのデプロイなど) や、異常な API コール (パスワードポリシーがパスワードの強度が下がるものに変更されるなど) など、侵害の兆候を 探します。

GuardDuty では、 コンソールまたは Amazon CloudWatch イベントで表示することができるセキュリティ の結果を生成して、 環境のステータスを通知しています。

GuardDuty の料金表

GuardDuty の料金の詳細については、「Amazon GuardDuty 料金表」を参照してください。

GuardDuty へのアクセス

次のいずれかの方法で GuardDuty を使用できます。

GuardDuty コンソール

https://console.aws.amazon.com/guardduty

コンソールは、GuardDuty にアクセスして使用するためのブラウザベースのインターフェイスです。

AWS SDK

AWS には、さまざまなプログラミング言語およびプラットフォーム

(Java、Python、Ruby、.NET、iOS、Android など) のライブラリとサンプルコードで構成されたソフ トウェア開発キット (SDK) が用意されています。SDK は、GuardDuty へのアクセス権限をプログラ ムによって作成するのに役立ちます。AWS SDK のダウンロードやインストールなどの詳細について は、「アマゾン ウェブ サービスのツール」を参照してください。

GuardDuty HTTPS API

サービスに HTTPS リクエストを直接発行できる GuardDuty HTTPS API を使用して、プログラムによ り と にアクセスできます。詳細については、『Amazon GuardDuty API リファレンス (p. 67)』を 参照してください。

AWS CloudTrail イベントログ

Amazon GuardDuty でデータソース を使用する方法

AWS 環境で許可されず、予期されないアクティビティを検出するために、GuardDuty は AWS CloudTrail イベントログ、VPC フローログおよび DNS ログを分析して処理します。このようなデータソースから のログは Amazon S3 バケットに保存されます。GuardDuty は、HTTPS プロトコルを使用してこれらに アクセスします。これらのデータソースから GuardDuty への通信中、ログデータはすべて暗号化されま す。GuardDuty はこれらのログのさまざまなフィールドを抽出して、プロファイリングと異常の検出を 行った後、ログを破棄します。

次のセクションでは、GuardDuty でサポートされている各データソースを使用する方法の詳細を説明しま す。

トピック

• AWS CloudTrail イベントログ (p. 2)

• VPC フローログ (p. 3)

• DNS ログ (p. 3)

AWS CloudTrail イベントログ

AWS CloudTrail は、アカウントの AWS API コールの履歴を提供します。履歴には、AWS マネジメント コンソール、AWS SDK、コマンドラインツール、高レベルの AWS サービスを使用した API コールが含 まれます。CloudTrail では、 をサポートするサービス用に API を呼び出したユーザーとアカウント、呼び 出し元のソース IP アドレス、および呼び出しの発生日時を特定することもできます。詳細については、

「AWS CloudTrail とは」を参照してください。

管理イベントあるいはデータイベント (またはその両方) のログを記録するように CloudTrail 証跡を設定 できます。管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについての 洞察が得られます。たとえば、セキュリティの設定 (IAM AttachRolePolicy API オペレーション)、デバ イスの登録 (Amazon EC2 CreateDefaultVpc API オペレーション)、ルーティングデータのルールの設定 (Amazon EC2 CreateSubnet API オペレーション)、ログ記録の設定 (AWS CloudTrail CreateTrail API オ ペレーション) などです。データイベントでは、リソース上またはリソース内で実行されたリソースオペ レーションについての洞察が得られます。たとえば、Amazon S3 のオブジェクトレベルの API アクティビ ティ (GetObject、DeleteObject、および PutObject の API オペレーション)、AWS Lambda 関数の実行ア クティビティ (呼び出し API) などです。詳細については、「証跡のデータイベントと管理イベントのログ 記録」を参照してください。

現在のところ、GuardDuty は CloudTrail 管理イベントのみを分析します。CloudTrail で設定したログデー タイベントがある場合、 データに基づいた 分析と CloudTrail 自体が配信するログでは違いが生じます。

GuardDuty で CloudTrail をデータソースとして使用する場合のもう一つの重要な点は、CloudTrail のグ ローバルイベントの取扱いと処理です。ほとんどのサービスの場合、イベントはアクションが発生した リージョンで記録されます。AWS IAM、AWS STS、Amazon CloudFront や Route 53 などのグローバル サービスの場合、イベントはグローバルサービスが含まれた任意の証跡に配信され、発生した場所は米国 東部 (バージニア北部) リージョンであるとログに記録されます。詳細については、「グローバルサービス イベントについて」を参照してください。

GuardDuty は、CloudTrail がすべてのリージョンに送信するグローバルイベントを含む、リージョンに届 くすべてのイベントを処理します。これにより、GuardDuty は各リージョンでユーザーとロールプロファ イルを維持し、悪意のある認証情報をリージョン間で確実に検出できます。

VPC フローログ

Important

GuardDuty は、サポートされているすべての AWS リージョンで有効にすることが強く推奨され ています。このように設定することで、お客様が能動的に使用していないリージョンでも、許可 されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成でき ます。また、GuardDuty では、グローバルな AWS のサービスについても AWS CloudTrail イベン トをモニタリングできます。

GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバル サービスに関連するアクティビティを検出する機能は低下します。

VPC フローログ

VPC フローログは、Amazon EC2 のネットワークインターフェイスとの間で行き来する IP トラフィック に関する情報をキャプチャします。詳細については、「VPC フローログ」を参照してください。

Important

GuardDuty を有効にすると、ただちに VPC フローログのデータの分析が開始されます。フロー ログの単独ストリームおよび重複ストリームの VPC フローログ機能から直接 VPC フローログイ ベントを使用します。このプロセスによる既存のフローログ設定への影響はありません。

GuardDuty はフローログを管理しません。また、アカウントによるフローログへのアクセスを可 能にすることはありません。フローログのアクセスと保持期間を管理するには、VPC フローログ 機能を設定する必要があります。

フローログへの GuardDuty アクセスには追加料金はかかりません。ただし、保持するフローロ グを有効にするか、アカウントで使用した場合は、既存の料金表が適用されます。詳細について は、「フローログの使用」を参照してください。

DNS ログ

EC2 インスタンスで AWS DNS リゾルバーを使用している場合 (デフォルト設定)、GuardDuty は、内部の AWS DNS リゾルバーを介して、リクエストと応答の DNS ログにアクセスして処理することができます。

サードパーティの DNS リゾルバー (例: OpenDNS または GoogleDNS) を使用している場合、または独自 の DNS リゾルバーを設定している場合は、GuardDuty でこのデータソースからデータにアクセスしたり 処理したりすることはできません。

Amazon GuardDuty の用語と概念

Amazon GuardDuty の使用を開始するにあたり、その主要コンセプトを確認しておくとメリットがありま す。

アカウント

リソースを含む標準のアマゾン ウェブ サービス () アカウント。アカウントを使用して AWS にサイン インし、GuardDuty を有効にできます。

他のアカウントを招待して、GuardDuty を有効にし、 の アカウントに関連付けることもできます。

招待が受け入れられると、アカウントは GuardDuty のマスターアカウントとして指定され、これに追 加されたアカウントはメンバーアカウントになります。これにより、マスターアカウントの代わりに GuardDuty の結果を表示および管理することができます。

マスターアカウントのユーザーは、自分のアカウントおよびすべてのメンバーアカウントの

GuardDuty を設定できるだけでなく、GuardDuty の結果を表示および管理できます。GuardDuty に最 大 1000 のメンバーアカウントを登録できます。

メンバーアカウントのユーザーは、自分のアカウントの GuardDuty を設定できるだけでな

く、GuardDuty の結果を表示および管理できます (GuardDuty 管理コンソールまたは GuardDuty API を使用)。メンバーアカウントのユーザーは、他のメンバーアカウントの結果を表示または管理するこ とはできません。

AWS アカウントを GuardDuty のマスターアカウントとメンバーアカウントに同時に設定することは できません。AWS アカウントで承諾できるメンバーシップの招待は 1 つのみです。メンバーシップ の招待の承諾はオプションです。

詳細については、「Amazon GuardDuty の AWS アカウントの管理 (p. 53)」を参照してください。

自動アーカイブ

自動アーカイブルールを使用すると、特定の属性の組み合わせを作成して結果数を抑えることができ ます。たとえば、特定の VPC のインスタンス、特定の AMI を実行するインスタンス、特定の EC2 タ グがあるインスタンスなどのみで、 を自動アーカイブするために、 フィルタを使ってルールを定義で きます。このルールにより、ポートスキャンの検索結果は、条件を満たすインスタンスから自動的に アーカイブされます。ただし、暗号化通貨のマイニングなど、他の悪意のある行為を行っているイン スタンスが GuardDuty によって検出された場合には、アラートが出されます。

GuardDuty マスターアカウントで定義された自動アーカイブルールは、GuardDuty メンバーアカウン トに適用されます。GuardDuty メンバーアカウントは自動アーカイブルールを変更できません。

自動アーカイブルールでは、GuardDuty は依然としてすべての結果を生成します。自動アーカイブ ルールは、すべてのアクティビティの完全で不変な履歴を維持しながら、結果の数を抑えます。

データソース

データのセットのオリジンまたは場所です。AWS 環境で許可されず、予期されないアクティビティ を検出するために、GuardDuty は AWS CloudTrail イベントログ、VPC フローログおよび DNS ロ グを分析して処理します。詳細については、「Amazon GuardDuty でデータソースを使用する方 法 (p. 2)」を参照してください。

結果

GuardDuty によって発見された潜在的なセキュリティの問題。詳細については、「Amazon GuardDutyの結果 (p. 23)」を参照してください。

結果は、セキュリティ問題に関する詳細な説明と合わせて、GuardDuty コンソールに表示されま す。GetFindings (p. 123) および ListFindings (p. 167) HTTPS API オペレーションを呼び出して生 成された結果を取得することもできます。

イベントを使用して、 の結果を表示することもできます。GuardDuty は、結果を HTTPS プロトコ ル経由で Amazon CloudWatch に送信します。詳細については、「 を使用した 結果のモニタリン グ (p. 64)」を参照してください。

信頼できる IP リスト

高い安全性で AWS 環境と通信することを目的としてホワイトリストに登録されている IP アドレスの リスト。GuardDuty では、信頼されている IP リストに基づく結果は生成されません。詳細について は、「信頼できる IP リストと脅威リストの使用 (p. 49)」を参照してください。

脅威リスト

既知の悪意のある IP アドレスのリスト。GuardDuty は、脅威リストに基づいて結果を生成します。詳 細については、「信頼できる IP リストと脅威リストの使用 (p. 49)」を参照してください。

Amazon GuardDuty サービスの制限

各リージョンの AWS アカウントごとの Amazon GuardDuty の制限は以下のとおりです。

リソース デフォルトの制限 コメント

ディテクター 1 各リージョンの AWS ア

カウントごとに作成お よびアクティブ化でき るディテクターリソー スの最大数。

これはハード制限で す。ディテクターの制 限の引き上げをリクエ ストすることはできま せん。

GuardDuty フィルタ 100 各リージョンの AWS

アカウントごとに保存 できるフィルタの最大 数。

これはハード制限で す。フィルターの制限 の引き上げをリクエス トすることはできませ ん。

信頼できる IP セット 1 各リージョンの AWS ア

カウントごとにアップ ロードおよびアクティ ブ化できる信頼できる IP セットの最大数。

これはハード制限で す。信頼できる IP セッ トの制限の引き上げを リクエストすることは できません。

脅威インテリジェンスセット 6 各リージョンの AWS ア

カウントごとにアップ ロードおよびアクティ ブ化できる脅威インテ リジェンスセットの最 大数。

これはハード制限で す。脅威インテリジェ ンスセットの制限の引 き上げをリクエストす ることはできません。

リソース デフォルトの制限 コメント

GuardDuty メンバーアカウント 1,000 各リージョンの AWS ア

カウント ( マスターアカ ウント) ごとに追加でき る メンバーアカウント の最大数。

これはハード制限で す。メンバーアカウン トの制限の引き上げを リクエストすることは できません。

GuardDuty 結果の保持時間 90 日間 GuardDuty で生成さ

れた結果の最大保存日 数。

これはハード制限で す。結果の保持日数の 制限の引き上げをリク エストすることはでき ません。

Amazon GuardDuty でサポートされ ているリージョン

現在、Amazon GuardDuty は次の AWS リージョンでサポートされています。

• アジアパシフィック (ムンバイ)

• アジアパシフィック (ソウル)

• アジアパシフィック (シンガポール)

• アジアパシフィック (シドニー)

• アジアパシフィック (東京)

• カナダ (中部)

• 欧州 (フランクフルト)

• 欧州 (アイルランド)

• 欧州 (ロンドン)

• EU (パリ)

• 米国東部（バージニア北部）

• 米国東部 (オハイオ)

• 米国西部 (北カリフォルニア)

• 米国西部 (オレゴン)

• 南米 (サンパウロ)

• AWS GovCloud (米国)

Important

次のリストは、他のサポートされている AWS リージョンと比較して AWS GovCloud (米国) リージョンで GuardDuty を使用する場合の違いを示しています。詳細については、AWS Gov Cloud (米国) ユーザーガイドの「Amazon GuardDuty トピック」を参照してください。

• で を使用して リソースを設定することはサポートされていません。

• サポートがないため、 の StackSet 機能を使用して、同時に複数のアカウントで を有効にす ることはできません。この制限を回避するには、「Amazon GuardDuty の AWS アカウント の管理 (p. 53)」で説明されている Python スクリプトを使用します。

• リージョン間のデータ転送は、サポートされていません。

• 以下の DNS 関連の結果タイプは、AWS GovCloud (US) では生成されません。

• Trojan:EC2/BlackholeTraffic!DNS

• Trojan:EC2/DriveBySourceTraffic!DNS

• Trojan:EC2/DropPoint!DNS

• Backdoor:EC2/C&CActivity.B!DNS

• CryptoCurrency:EC2/BitcoinTool.B!DNS

• Trojan:EC2/DGADomainRequest.B

• Trojan:EC2/DNSDataExfiltration

• Trojan:EC2/DGADomainRequest.C!DNS

Important

GuardDuty は、サポートされているすべての AWS リージョンで有効にすることが強く推奨され ています。このように設定することで、お客様が能動的に使用していないリージョンでも、許 可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成 できます。また、GuardDuty では、IAM などのグローバルな AWS のサービスについても AWS CloudTrail イベントをモニタリングできます。

GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グローバル サービスに関連するアクティビティを検出する機能は低下します。

Amazon GuardDutyの有効化

Amazon GuardDuty をセットアップ する

Amazon GuardDuty を有効にするには、AWS アカウントが必要です。アカウントをお持ちでない場合は、

次に説明する手順にしたがってアカウントを作成してください。

AWS にサインアップするには

1. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。

Note

AWS アカウントのルートユーザー 認証情報を使用して、すでに AWS マネジメントコンソー ル にサインインしている場合は、[Sign in to a different account (別のアカウントにサインイ ンする)] を選択します。IAM 認証情報を使用して、すでにコンソールにサインインしている 場合は、[Sign-in using root account credentials (ルートアカウントの資格情報を使ってサイン イン)] を選択します。[新しい AWS アカウントの作成] を選択します。

2. オンラインの手順に従います。

サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを 入力することが求められます。

トピック

• Amazon GuardDutyの有効化 (p. 10)

• Amazon GuardDuty 無料トライアル (p. 12)

• Amazon GuardDuty のサービスにリンクされたロールの使用 (p. 12)

Amazon GuardDutyの有効化

GuardDuty を使用するには、最初に有効にする必要があります。GuardDuty を有効にする手順は以下のと おりです。

1. GuardDuty を有効にするために使用する IAM アイデンティティ (ユーザー、ロール、グループ) に は、必須のアクセス許可が必要です。GuardDuty を有効にするために必要なアクセス許可を付与する には、次のポリシーを IAM ユーザー、グループ、またはロールにアタッチします。

Note

以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow",

Amazon GuardDutyの有効化

"guardduty:*"

],

"Resource": "*"

}, {

"Effect": "Allow", "Action": [

"iam:CreateServiceLinkedRole"

],

"Resource": "arn:aws:iam::123456789123:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": {

"StringLike": {

"iam:AWSServiceName": "guardduty.amazonaws.com"

} } } ] }

2. ステップ 1 の IAM アイデンティティの認証情報を使用して、GuardDuty コンソールにサインインしま す。最初に GuardDuty コンソールを開いたときに、[Get Started]、[Enable GuardDuty] の順に選択し ます。

GuardDuty の有効化については、以下の点に注意してください。

• GuardDuty には、サービスにリンクされたロールとして AWSServiceRoleForAmazonGuardDuty が割り当てられます。このサービスにリンクされたロールには、AWS CloudTrail、VPC

フローログ、および DNS ログのイベントを GuardDuty で直接使用および分析し、セ キュリティの結果を生成するために必要なアクセス権限と信頼ポリシーが含まれていま

す。AWSServiceRoleForAmazonGuardDuty の詳細を表示するには、[Welcome to GuardDuty]

ページの [View service role permissions] を選択してください。詳細については、「サービスにリン クされたロールによる GuardDuty へのアクセス許可の委任 (p. 16)」を参照してください。サー ビスにリンクされたロールの詳細については、「サービスにリンクされたロールの使用」を参照し てください。

• GuardDuty を有効にすると、直ちに AWS CloudTrail、VPC フローログ、および DNS ログか らの独立したデータのストリームのプルおよび分析を開始し、セキュリティ結果を生成しま す。GuardDuty はこのデータを調査のためにのみ使用するため、GuardDuty を使用して AWS CloudTrail、VPC フローログ、および DNS ログを管理したり、イベントやログをお客様が利用す ることはできません。これらのサービスを GuardDuty に関係なく有効にしている場合は、それぞれ のコンソールまたは API を使用して、引き続きこれらのデータソースの設定を構成するオプション を使用します。GuardDuty が統合するデータソースに関する詳細については、「AWS CloudTrail と は」および「フローログを使用する」を参照してください。

Important

GuardDuty は、サポートされているすべての AWS リージョンで有効にすることが強く推 奨されています。このように設定することで、お客様が能動的に使用していないリージョ ンでも、許可されていないアクティビティや異常なアクティビティに関する検索結果を GuardDuty で生成できます。また、GuardDuty では、IAM などのグローバルな AWS の サービスについても AWS CloudTrail イベントをモニタリングできます。

GuardDuty がサポートされているすべてのリージョンで有効になっていない場合、グロー バルサービスに関連するアクティビティを検出する機能は低下します。

GuardDuty は無料またはわずかな追加料金で、アクティブなワークロードをデプロイして いないリージョンをモニタリングできます。

• GuardDuty はいつでも無効化して、AWS CloudTrail イベント、VPC フローログ、DNS ログの処理 や分析を停止できます。詳細については、「Amazon GuardDuty の停止または無効化 (p. 61)」を 参照してください。

Amazon GuardDuty 無料トライアル

Amazon GuardDuty 無料トライアル

初めて GuardDuty を有効にすると、AWS アカウントは 30 日 GuardDuty 無料トライアルで自動的に登録 されます。GuardDuty の無料トライアルの詳細については、GuardDuty コンソールの [Free trial] ページを 参照 (ナビゲーションペインの [Free trial]/[Details] を選択) してください。詳細には、無料トライアルのタ イムライン上における現在の位置と、無料トライアル終了後の GuardDuty の日次見積コストが表示されま す。この見積りは、無料トライアル期間中に GuardDuty で毎日処理および分析したログに基づきます。

Important

この推定日次コストには、 を有効化したすべての AWS アカウントおよびリージョンにおける の 使用に対する課金は表示されません。推定日次コストは、現在サインインしている アカウントお よび リージョン における の使用状況のみに基づきます。

無料トライアルの終了まで、GuardDuty の使用に対して課金されることはありません。GuardDuty の料金 の詳細については、「Amazon GuardDuty 料金表」を参照してください。

Amazon GuardDuty のサービスにリンクされたロー ルの使用

Amazon GuardDuty は、AWS Identity and Access Management (IAM)サービスにリンクされたロール) を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプの ロールです IAMGuardDuty。サービスにリンクされたロールは、GuardDuty による事前定義済みのロールであり、

ユーザーに代わって GuardDuty から AWS の他のサービスを呼び出すために必要なすべてのアクセス権限 を備えています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるた め、GuardDuty の設定が簡単になります。GuardDuty はこのサービスにリンクされたロールのアクセス許 可を定義し、特にアクセス許可が定義されている場合を除き、GuardDuty のみがそのロールを引き受けま す。定義されるアクセス権限には、信頼ポリシーやアクセス許可ポリシーなどがあり、そのアクセス許可 ポリシーを他の IAM エンティティにアタッチすることはできません。

GuardDuty は、GuardDuty が利用できるすべてのリージョンで、サービスにリンクされたロールの使用を サポートします。詳細については、「Amazon GuardDuty でサポートされているリージョン (p. 8)」を参 照してください。

GuardDuty サービスにリンクされたロールの削除は、それが有効になっているすべてのリージョンで GuardDuty を無効にした後でのみ、行うことができます。アクセスに必要なアクセス許可を誤って削除し てしまうことがなくなり、GuardDuty リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、IAM ユーザーガイドの「IAM と 連携する AWS サービス」で、「サービスにリンクされたロール」列が「はい」になっているサービスを 確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[は い] リンクを選択します。

GuardDuty のサービスにリンクされたロールのアクセ ス許可

GuardDuty では、サービスにリンクされたロールとして AWSServiceRoleForAmazonGuardDuty を使 用します。allows Amazon GuardDuty to consume and analyze events directly from AWS CloudTrail, VPC Flow Logs, and DNS logs and generate security findings。

GuardDuty のサービスにリン クされたロールのアクセス許可

AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは、ロールを引き受ける上で次 のサービスを信頼します。

• guardduty.amazonaws.com

ロールのアクセス権限ポリシーは、指定したリソースに対して以下のアクションを実行することを GuardDuty に許可します。

• アクション: ec2:DescribeInstances

• アクション: ec2:DescribeImages

• リソース: arn:aws:iam::*:role/aws-service-role/guardduty.amazonaws.com/

AWSServiceRoleForAmazonGuardDuty

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロー ルを作成、編集、削除できるようにするには、アクセス権限を設定する必要がありま

す。AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを適切に作成するに は、GuardDuty を使用する IAM アイデンティティに、必要なアクセス権限が付与されている必要がありま す。必要なアクセス許可を付与するには、次のポリシーをこの IAM ユーザー、グループ、またはロールに アタッチします。

Note

以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"guardduty:*"

],

"Resource": "*"

}, {

"Effect": "Allow", "Action": [

"iam:CreateServiceLinkedRole"

],

"Resource": "arn:aws:iam::123456789012:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": {

"StringLike": {

"iam:AWSServiceName": "guardduty.amazonaws.com"

} } }, {

"Effect": "Allow", "Action": [

"iam:PutRolePolicy", "iam:DeleteRolePolicy"

],

"Resource": "arn:aws:iam::1234567890123:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"

} ] }

のサービスにリンクされたロールの作成GuardDuty

のサービスにリンクされたロールの作成GuardDuty

GuardDuty を初めて有効にするか、以前に有効にしていなかったサポート対象リージョンで GuardDuty を 有効にすると、AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールが自動的に作成 されます。AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールは、IAM コンソー ル、IAM CLI、または IAM API を使用して手動で作成することもできます。

Important

マスター GuardDuty アカウント用に作成されたサービスにリンクされたロールは、メンバーの GuardDuty アカウントには適用されません。

手動によるロールの作成の詳細については、IAM ユーザーガイドの「サービスにリンクされたロールを作 成する」を参照してください。

GuardDuty のサービスにリンクされたロールの編集

GuardDuty では、AWSServiceRoleForAmazonGuardDuty サービスにリンクされたロールを編集するこ とはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参 照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説 明の編集はできます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」

を参照してください。

GuardDuty のサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除 することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングさ れたり、メンテナンスされたりすることがなくなります。

Important

AWSServiceRoleForAmazonGuardDuty を削除するためには、有効になっているすべてのリー ジョンで最初に GuardDuty を無効にする必要があります。

サービスにリンクされたロールを削除しようとしたときに、GuardDuty サービスが無効になっ ていない場合、削除は失敗します。詳細については、「Amazon GuardDuty の停止または無効 化 (p. 61)」を参照してください。

GuardDuty を無効にすると、AWSServiceRoleForAmazonGuardDuty は自動的に削除されません。後で GuardDuty を再度有効にする場合、既存の AWSServiceRoleForAmazonGuardDuty を使用して起動さ れます。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForAmazonGuardDuty サー ビスにリンクされたロールを削除します。詳細については、『サービスにリンクされたロールの削除」を 参照してくださいIAM ユーザーガイド。

GuardDuty の有効化に必要なアクセス許可

Amazon GuardDuty へのアクセスの 管理

トピック

• GuardDuty の有効化に必要なアクセス許可 (p. 15)

• サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任 (p. 16)

• IAM ポリシーを使用して GuardDuty へのアクセス権を IAM アイデンティティに委任する (p. 17)

GuardDuty の有効化に必要なアクセス許可

このセクションでは、コンソールまたはプログラム ( API または AWS CLI の コマンド) から を最初に有効 にするために必要な IAM アイデンティティ (ユーザー、グループ、ロール) 別のアクセス許可について説明 します。

GuardDuty を有効にするために必要なアクセス許可を付与するには、次のポリシーを IAM ユーザー、グ ループ、またはロールにアタッチします。

Note

以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"guardduty:*"

],

"Resource": "*"

}, {

"Effect": "Allow", "Action": [

"iam:CreateServiceLinkedRole"

],

"Resource": "arn:aws:iam::123456789012:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": {

"StringLike": {

"iam:AWSServiceName": "guardduty.amazonaws.com"

} } }, {

"Effect": "Allow", "Action": [

"iam:PutRolePolicy", "iam:DeleteRolePolicy"

],

サービスにリンクされたロールによ る GuardDuty へのアクセス許可の委任

"Resource": "arn:aws:iam::1234567890123:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"

} ] }

サービスにリンクされたロールによる GuardDuty へのアクセス許可の委任

このセクションでは、GuardDuty サービス自体が動作するためと、ユーザーの代わりにオペレーション (結果の生成など) を実行するために必要なアクセス許可について説明します。

コンソールまたはプログラム (API オペレーションまたは AWS CLI コマンド) を使用して を有効にする と、AWSServiceRoleForAmazonGuardDuty というサービスにリンクされたロールが自動的に割り当て られます。サービスにリンクされたロールは、AWS のサービス (この場合は GuardDuty) に直接リンクさ れた一意なタイプの IAM ロールです。サービスにリンクされたロールは、サービスによって事前に定義さ れ、ユーザーに代わってサービスが AWS の他のサービスを呼び出すために必要なアクセス権限をすべて 含んでいます。このリンクされたサービス (この場合は GuardDuty) でも、サービスにリンクされたロール を作成、変更、削除する方法を定義します。サービスにリンクされたロールの詳細については、「サービ スにリンクされたロールの使用」を参照してください。

を有効にすると、サービスにリンクされたロールとして が自動的に作成されます。これには、、VPC フ ローログ、および DNS ログのイベントを で直接使用および分析し、セキュリティの結果を生成するため に必要なアクセス許可と信頼ポリシーが含まれています。

サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty を編集することはできませ ん。IAM コンソールで、このサービスにリンクされたロールのアクセス権限を表示したり、このロール自 体を削除したりできます。サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty を 削除するには、まずその AWS アカウントのすべてのリージョンで GuardDuty を無効 (p. 61)にしてお く必要があります。

AWSServiceRoleForAmazonGuardDuty にアタッチされたアクセス許可を表示するには、GuardDuty コ ンソールの [Setting/General] タブで [View service role permissions] ボタンを選択します。

サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty にアタッチされているアクセ ス権限ポリシードキュメントは次のとおりです。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"ec2:DescribeInstances", "ec2:DescribeImages"

],

"Resource": "*"

} ] }

サービスにリンクされたロール AWSServiceRoleForAmazonGuardDuty にアタッチされている信頼ポ リシーは次のとおりです。

IAM ポリシーを使用して GuardDuty へのア クセス権を IAM アイデンティティに委任する

{

"Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Principal": {

"Service": "guardduty.amazonaws.com"

},

"Action": "sts:AssumeRole"

} ] }

IAM ポリシーを使用して GuardDuty へのアクセス 権を IAM アイデンティティに委任する

このセクションでは、GuardDuty へのアクセス権をさまざまな IAM アイデンティティ (ユーザー、グルー プ、ロール) に委任する方法について説明します。

デフォルトでは、GuardDuty リソース (ディテクター、信頼された IP リスト、脅威リスト、結果、メン バー、マスターアカウント、および呼び出し) へのアクセスは、リソースが作成された AWS アカウントの 所有者に限定されます。所有者の場合は、GuardDuty へのフルアクセスまたは制限付きのアクセス権をア カウントのさまざまな IAM アイデンティティに付与できます。IAM アクセスポリシーの作成の詳細につい ては、「AWS Identity and Access Management (IAM)」を参照してください。

トピック

• GuardDuty での AWS 管理 (事前定義) ポリシー (p. 17)

• カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与 (p. 18)

• カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与 (p. 19)

• カスタム IAM ポリシーによる GuardDuty の結果へのアクセスの拒否 (p. 19)

• カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 (p. 20)

GuardDuty での AWS 管理 (事前定義) ポリシー

AWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユー スケースに対応します。これらの管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与す ることで、どの権限が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、

『IAM ユーザーガイド』の「AWS 管理ポリシー」を参照してください。

アカウントのユーザーにアタッチ可能な以下の AWS 管理ポリシーは、GuardDuty に固有のものです。

• AmazonGuardDutyFullAccess – – は、GuardDuty のすべての機能にアクセスできます。ただし、信頼さ れている IP リストおよび脅威リストを GuardDuty で操作する場合、ID のアクセスはこの管理ポリシー によって制限されます。具体的には、AmazonGuardDutyFullAccess 管理ポリシーがアタッチされている ID はアップロードされた信頼されている IP リストと脅威リストの名前変更および無効化のみを実行で きます。

さまざまな ID に、信頼されている IP リストと脅威リストの操作 (名前変更および無効化に加えて、リ ストのアップロード、有効化、削除、場所の更新が含まれます) を行うためのフルアクセスを付与する には、次のアクションが IAM ユーザー、グループ、またはロールにアタッチされたアクセス権ポリシー に存在することを確認してください。

カスタム IAM ポリシーによる GuardDuty へのフルアクセスの付与

{

"Effect": "Allow", "Action": [

"iam:PutRolePolicy", "iam:DeleteRolePolicy"

],

"Resource": "arn:aws:iam::123456789123:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"

}

• AmazonGuardDutyReadOnlyAccess – – は、GuardDuty への読み取り専用アクセスを提供します。

カスタム IAM ポリシーによる GuardDuty へのフルア クセスの付与

以下のカスタムポリシーを使用して、IAM ユーザー、ロール、またはグループに GuardDuty コンソールと GuardDuty のすべてのオペレーションへのフルアクセスを付与できます。

Note

以下の例のサンプルのアカウント ID を実際の AWS アカウント ID に置き換えます。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"guardduty:*"

],

"Resource": "*"

}, {

"Effect": "Allow", "Action": [

"iam:CreateServiceLinkedRole"

],

"Resource": "arn:aws:iam::123456789123:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": {

"StringLike": {

"iam:AWSServiceName": "guardduty.amazonaws.com"

} } }, {

"Effect": "Allow", "Action": [

"iam:PutRolePolicy", "iam:DeleteRolePolicy"

],

"Resource": "arn:aws:iam::123456789123:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"

} ] }

カスタム IAM ポリシーによる GuardDuty への読み取り専用アクセスの付与

カスタム IAM ポリシーによる GuardDuty への読み取 り専用アクセスの付与

次のポリシーを使用して、IAM ユーザー、ロール、またはグループに GuardDuty への読み取り専用アクセ ス権を付与できます。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"guardduty:ListMembers", "guardduty:GetMembers", "guardduty:ListInvitations", "guardduty:ListDetectors", "guardduty:GetDetector", "guardduty:ListFindings", "guardduty:GetFindings", "guardduty:ListIPSets", "guardduty:GetIPSet",

"guardduty:ListThreatIntelSets", "guardduty:GetThreatIntelSet", "guardduty:GetMasterAccount", "guardduty:GetInvitationsCount", "guardduty:GetFindingsStatistics"

],

"Resource": "*"

} ]

}

カスタム IAM ポリシーによる GuardDuty の結果への アクセスの拒否

次のポリシーを使用し、IAM ユーザー、ロール、またはグループに対して、GuardDuty の結果へのアクセ スを拒否できます。ユーザーは結果やその詳細は表示できませんが、その他すべての GuardDuty のオペ レーションにはアクセスできます。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"guardduty:CreateDetector", "guardduty:DeleteDetector", "guardduty:UpdateDetector", "guardduty:GetDetector", "guardduty:ListDetectors", "guardduty:CreateIPSet", "guardduty:DeleteIPSet", "guardduty:UpdateIPSet", "guardduty:GetIPSet",

カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限 "guardduty:ListIPSets",

"guardduty:CreateThreatIntelSet", "guardduty:DeleteThreatIntelSet", "guardduty:UpdateThreatIntelSet",

"guardduty:GetThreatIntelSet", "guardduty:ListThreatIntelSets",

"guardduty:ArchiveFindings", "guardduty:UnarchiveFindings", "guardduty:CreateSampleFindings", "guardduty:CreateMembers", "guardduty:InviteMembers", "guardduty:GetMembers", "guardduty:DeleteMembers", "guardduty:DisassociateMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:ListMembers",

"guardduty:GetMasterAccount",

"guardduty:DisassociateFromMasterAccount", "guardduty:AcceptInvitation",

"guardduty:ListInvitations", "guardduty:GetInvitationsCount", "guardduty:DeclineInvitations", "guardduty:DeleteInvitations"

],

"Resource": "*"

}, {

"Effect": "Allow", "Action": [

"iam:CreateServiceLinkedRole"

],

"Resource": "arn:aws:iam::123456789123:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": {

"StringLike": {

"iam:AWSServiceName": "guardduty.amazonaws.com"

} } }, {

"Effect": "Allow", "Action": [

"iam:PutRolePolicy", "iam:DeleteRolePolicy"

],

"Resource": "arn:aws:iam::123456789123:role/aws-service-role/

guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"

} ] }

カスタム IAM ポリシーによる GuardDuty のリソース へのアクセスの制限

ディテクター ID に基づいて GuardDuty に対するユーザーのアクセスを定義するには、次のオペレーショ ンを除くすべての GuardDutyオペレーションをカスタム IAM ポリシー内で使用できます。

• guardduty:CreateDetector

• guardduty:DeclineInvitations

• guardduty:DeleteInvitations

カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限

• guardduty:GetInvitationsCount

• guardduty:ListDetectors

• guardduty:ListInvitations

IAM ポリシーの以下のオペレーションを使用し、IPSet ID および ThreatIntelSet ID に基づい て、GuardDuty に対するユーザーのアクセス権を定義できます。

• guardduty:DeleteIPSet

• guardduty:DeleteThreatIntelSet

• guardduty:GetIPSet

• guardduty:GetThreatIntelSet

• guardduty:UpdateIPSet

• guardduty:UpdateThreatIntelSet

以下の例では、前述のオペレーションのいくつかを使用してポリシーを作成する方法を示します。

• このポリシーでは、ユーザーは リージョンでディテクター ID として 1234567 を使用し、 オペレーショ ンを実行できます。

{

"Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"guardduty:UpdateDetector", ],

"Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/1234567"

} ] }

• このポリシーでは、ユーザーは リージョンでディテクター ID として 1234567、IPSet ID として 000000 を使用し、 オペレーションを実行できます。

Note

GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス許可が そのユーザーにあることを確認します。詳細については、「信頼されている IP リストと脅威リ ストをアップロードするために必要なアクセス権限 (p. 50)」を参照してください。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"guardduty:UpdateIPSet", ],

"Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/1234567/

ipset/000000"

} ] }

• このポリシーでは、ユーザーは リージョンで任意のディテクター ID と、IPSet ID として 000000 を使 用し、 オペレーションを実行できます。

カスタム IAM ポリシーによる GuardDuty のリソースへのアクセスの制限

Note

GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス許可が そのユーザーにあることを確認します。詳細については、「信頼されている IP リストと脅威リ ストをアップロードするために必要なアクセス権限 (p. 50)」を参照してください。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"guardduty:UpdateIPSet", ],

"Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/*/

ipset/000000"

} ] }

• このポリシーでは、ユーザーは リージョンでディテクター ID として 1234567 と任意の IPSet ID を使用 し、 オペレーションを実行できます。

Note

GuardDuty の信頼された IP のリストと脅威リストにアクセスするために必要なアクセス許可が そのユーザーにあることを確認します。詳細については、「信頼されている IP リストと脅威リ ストをアップロードするために必要なアクセス権限 (p. 50)」を参照してください。

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"guardduty:UpdateIPSet", ],

"Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/1234567/ipset/

*"

} ] }