SCSC03-DET#5
次の Amazon GuardDuty 検出結果の一部を確認しました。
{
"schemaVersion": "2.0",
"accountId": "111122223333",
"region": "ap-northeast-1",
"type": "CryptoCurrency:EC2/BitcoinTool.B!DNS",
"resource": { "resourceType": "Instance" },
"severity": 8.0,
"title": "EC2 instance is querying a domain associated with cryptocurrency-related activity."
}この検出結果の重要度区分と型名の解釈として正しいものはどれですか。
解説
【正解: B】の理由
GuardDuty の個々の検出結果の重要度は 1.0〜8.9 の数値で表され、1.0〜3.9 が Low、4.0〜6.9 が Medium、7.0〜8.9 が High に区分されます(攻撃シーケンスを検出する Extended Threat Detection では 9.0 の Critical も加わります)。したがって severity が 8.0 の本検出結果は High に分類され、優先的な調査が推奨される重大なアクティビティです。型名(finding type)は ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact という規則的な構造を持ち、この例では脅威の目的が CryptoCurrency、影響を受けたリソース種別が EC2、脅威ファミリが BitcoinTool、検出機構が DNS であることを表します。すなわち EC2 インスタンスが暗号通貨マイニングに関連する既知の悪意あるドメインへ DNS クエリを行っていることを示しています。重要度は数値が大きいほど深刻度が高いことを意味し、誤検知の確率を示すものではありません。この命名規則と重要度スケールの理解は、検出結果のトリアージや EventBridge によるフィルタリングの基礎となります。
【他選択肢が違う理由】
- A: 重要度 8.0 は Medium ではなく High です。また型名の 2 番目の要素 EC2 は検出手法ではなく、影響を受けたリソース種別(ResourceTypeAffected)を示します。
- C: 重要度 8.0 は Critical ではなく High に分類され、また値の大小は誤検知の可能性ではなく深刻度の高さを示すため、この説明は二重に誤りです。
- D: GuardDuty の重要度は 0〜100 ではなく 1.0〜8.9 のスケールで、8.0 は Low ではなく High に相当するため、スケールと区分の双方が誤っています。

コメント