Amazon GuardDuty アカウントをアクティブ化しましたが、検出結果タイプを受け取っていません。これをトラブルシューティングするにはどうすればよいですか?
簡単な説明
GuardDuty をアクティブ化すると、セキュリティ脅威のモニタリングがすぐに開始されます。GuardDuty がセキュリティ上の問題を検出すると、検出結果タイプが生成されます。GuardDuty がセキュリティの脅威を検出しない場合、検出結果タイプは生成されません。
解決方法
GuardDuty が検出結果タイプを生成しなかった理由をトラブルシューティングするには、次の設定を確認します。
データソース
GuardDuty は、データソースを使用して、一部の AWS のサービスのリソースタイプで許可および予期されていないアクティビティを検出します。データソースには次が含まれます。
- AWS CloudTrail 管理イベントログ。
- Virtual Private Cloud (Amazon VPC) フローログ。
- DNS ログ。
- Amazon Simple Storage Service (Amazon S3) の CloudTrail データイベント
- Kubernetes 監査ログ
- Amazon Elastic Block Store (Amazon EBS) ボリュームデータ
デフォルトではアクティブ化されていない GuardDuty Kubernetes Protection、Amazon S3 保護、および Malware Protection をアクティブ化するのがベストプラクティスです。
注: GuardDuty は、デフォルトの VPC DNS リゾルバーを使用する場合にのみ DNS ログを処理します。他のすべての種類の DNS リゾルバーは、DNS ベースの検出結果を生成しません。
GuardDuty のステータス
生成する検出結果タイプのために GuardDuty をアクティブ化する必要があります。GuardDuty が一時停止しているか、または無効になっている場合、検出結果タイプは生成されません。サポートされているすべての AWS リージョンで GuardDuty をアクティブ化するのがベストプラクティスです。これにより、GuardDuty は、アクティブに使用していないリージョンでも、許可されていないアクティビティや異常なアクティビティの検出結果タイプを生成できます。
信頼できる IP リスト
AWS 環境で通信するために信頼できる IP アドレスを、信頼できる IP リストに追加できます。信頼できる IP リストは、信頼できる IP アドレスから発生したイベントの検出結果タイプを GuardDuty が生成しないようにします。
環境内で検出された問題を認識するには、信頼できる IP リストの代わりに抑制ルールを使用するのがベストプラクティスです。抑制ルールは、検出結果タイプからの通知を減らします。抑制ルールは、特定の条件に一致する GuardDuty によって生成された新しい検出結果を自動的にアーカイブします。[Findings] (検出結果) ビューのドロップダウンメニューを [Current] (最近) から [Archived] (アーカイブ済み) に変更することにより、抑制された検出結果を GuardDuty コンソールから確認できます。
テスト用に GuardDuty の検出結果を作成するには、次のいずれかを実行します。
詳細については、「GuardDuty の信頼できる IP アドレスリストをセットアップする方法を教えてください」を参照してください。
関連情報
GuardDuty の開始方法
Why did GuardDuty send me alert findings for a trusted IP list address? (GuardDuty から信頼できる IP リストアドレスのアラート検出結果が送信されたのはなぜですか?)