証跡のインサイトイベントの記録 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

証跡のインサイトイベントの記録

AWSCloudTrail インサイトは、AWSユーザーは、関連付けられた異常なアクティビティを特定し、それに応答します。writeCloudTrail 管理イベントを継続的に分析することにより、API 呼び出しを実行できます。

CloudTrail が異常を検出すると、インサイトイベントが記録されます。write管理 API アクティビティをアカウントに追加します。CloudTrail インサイトを有効にしていて、CloudTrail が異常なアクティビティを検出した場合、インサイトイベントは証跡の宛先 S3 バケットに配信されます。CloudTrail コンソールでインサイトイベントを表示すると、インサイトのタイプとインシデント期間も確認できます。CloudTrail 証跡でキャプチャされた他のタイプのイベントとは異なり、インサイトイベントは、アカウントの典型的な使用パターンと大きく異なるアカウントの API 使用状況の変化を CloudTrail が検出した場合にだけログに記録されます。

CloudTrail インサイトは、CloudTrail を継続的に監視write管理イベントを作成し、数学的モデルを使用して、アカウントの API およびサービスイベントアクティビティの通常のレベルを決定します。CloudTrail インサイトは、通常のパターンの外にある動作を特定し、インサイトイベントを生成し、これらのイベントを/CloudTrail-Insight証跡として選択した送信先 S3 バケットにフォルダを追加します。また、インサイトイベントにアクセスして表示することもできます。AWS Management ConsoleCloudTrail 用。コンソールで、[インサイト] イベントにアクセスして表示する方法の詳細については、[AWS CLIを参照してください。CloudTrail インサイトイベントの表示このガイドの「」を参照してください。

デフォルトでは、証跡はすべての管理イベントをログに記録し、データイベントやインサイトイベントは記録しません。データイベントとインサイトイベントには追加料金が適用されます。詳細については、「AWS CloudTrail料金表」を参照してください。

アカウントでイベントが発生すると、CloudTrail はイベントが証跡の設定と一致するかどうかを評価します。証跡設定に一致するイベントだけが、Amazon S3 バケットと Amazon CloudWatch Logs グループに配信されます。

インサイトについて

CloudTrail インサイトを使用すると、AWSアカウントにアクセスして、インサイトイベントを発生させます。CloudTrail インサイトは、API 呼び出しボリュームの通常のパターンを測定します。ベースライン、ボリュームが通常のパターン外にある場合に Insights イベントを生成します。インサイトイベントはwrite管理 API。

CloudTrail でを初めて有効にした後、異常なアクティビティが検出された場合に、CloudTrail が最初のインサイトイベントを配信するまで最大 36 時間かかることがあります。CloudTrail Insights は、グローバルではなく 1 つのリージョンで発生する書き込み管理イベントを分析します。CloudTrail インサイトイベントは、サポート対象の管理イベントが生成されるのと同じリージョンに生成されます。

次の図は、インサイトイベントの例を示しています。インサイトイベントの詳細ページを開くには、[ダッシュボード] ページまたは [インサイト] ページからインサイトイベント名を選択します。

証跡で CloudTrail インサイトを無効にするか、証跡の記録を停止した (CloudTrail インサイトが無効になります) 場合、インサイトイベントは送信先 S3 バケットに保存されているか、インサイトページで、Insights を有効にした以前の日付が反映されます。

[フィルタ] 列

左側の列には、サブジェクト API に関連し、同じインサイトイベントタイプを持つインサイトイベントのリストが表示されます。列では、詳細情報が必要なインサイトイベントを選択できます。この列でイベントを選択すると、そのイベントがインサイトグラフタブ。デフォルトでは、CloudTrail はフィルターを適用し、'CloudTrail イベントタブを、Insights イベントをトリガーした異常なアクティビティの期間中に呼び出された特定の API に関するものに設定します。異常なアクティビティの期間中に呼び出されたすべての CloudTrail イベント (Insights イベントとは無関係なイベントを含む) を表示するには、フィルターをオフにします。

インサイトグラフタブ

リポジトリの []インサイトグラフタブで、インサイトイベントの詳細ページには、1 つ以上のインサイトイベントが記録される前後の一定期間に発生した API コールボリュームのグラフが表示されます。グラフでは、インサイトイベントは縦棒で強調表示され、棒の幅はサイトイベントの開始時刻と終了時刻を示します。

この例では、強調表示している縦帯は、Amazon CloudWatch の異常な数字を示しています。DeleteAlarmsAPI 呼び出しをアカウントで使用します。強調表示された領域では、DeleteAlarmsコールがアカウントのベースライン平均である 1 分あたり 0.05 回を超えた場合、異常なアクティビティが検出されると CloudTrail がインサイトイベントを記録しました。インサイトイベントでは、3 件のインサイトイベントを記録しました。DeleteAlarmsの呼び出しは、午前11時20分ごろに行われました。これは、アカウントに対して予想されるよりも毎分約 3 回多い API コールです。この例では、グラフの期間は 3 時間、つまり 9:50 です。2020年8月5日午後12時50分~午後12時50分 2020年8月5日のPDT。このイベントの開始時刻は午前 11:20 2020 年 8 月 5 日午後 5 日午後 (PDT)、終了時刻はその 1 分後。

ベースラインは、Insights イベントの開始前の 7 日間にわたって計算されます。ベースライン期間(CloudTrail が API での通常のアクティビティを測定する期間)の値は約 7 日間ですが、CloudTrail はベースライン期間を整数の 1 日に四捨五入するので、正確なベースライン期間は変化する可能性があります。


                    インサイトイベントとして記録された異常な API アクティビティを示す CloudTrail インサイト詳細ページ。

Attributionsタブ

-帰属タブには、インサイトイベントに関する次の情報が表示されます。


                    アトリビューションを示す CloudTrail インサイトイベントの詳細ページ。
  • 上位のユーザー ID ARN-この表は、トップファイブまで示していますAWSユーザーまたは IAM ロール(ユーザーID)を、異常なアクティビティ期間およびベースライン期間中に API 呼び出しに寄与した API 呼び出しの平均数の降順で表示します。異常な活動に寄与した活動総数としての平均の割合を括弧内に示す。5 つ以上のユーザー ID ARN が異常なアクティビティに寄与した場合、そのアクティビティはその他行。

  • 上位のユーザーエージェント-この表は、トップファイブまで示していますAWSツールを使用して、異常なアクティビティおよびベースライン期間中に API 呼び出しにユーザー ID が貢献した API 呼び出しの平均数の降順で指定します。これらのツールには、AWS Management Console,AWS CLI、またはAWSSDK。たとえば、ユーザーエージェントのec2.amazonaws.comは、Amazon EC2 コンソールが API を呼び出すために使用されたツールの中にあったことを示します。異常な活動に寄与した活動総数としての平均の割合を括弧内に示す。5 つ以上のユーザーエージェントが異常なアクティビティに貢献した場合、そのアクティビティはその他行。

  • トップエラーコード-この表は、異常なアクティビティおよびベースライン期間中に API 呼び出しで発生したエラーコードの上位 5 つまでを、API 呼び出しの最大数から最小数の降順に表示します。異常な活動に寄与した活動総数としての平均の割合を括弧内に示す。異常なアクティビティまたはベースラインアクティビティ中に 5 つ以上のエラーコードが発生した場合、それらのアクティビティはその他行。

    Noneを上位 5 つのエラーコード値のうちの 1 つとして使用すると、Insights イベントの原因となった呼び出しのかなりの割合がエラーにならなかったことを意味します。エラーコードの値がNone、テーブル内に他のエラーコードがない場合、インサイト平均およびベースライン平均列は、インサイトイベント全体と同じ値になります。また、これらの値は、インサイト平均およびベースライン平均凡例をインサイトグラフタブにある1 分あたり API コール数

'CloudTrail イベントタブ

リポジトリの []'CloudTrail イベントタブで、異常なアクティビティが発生したと判断するために CloudTrail が分析した関連イベントを表示します。デフォルトでは、フィルターはすでにインサイトイベント名に適用されています。これは関連する API の名前でもあります。異常なアクティビティの期間中に記録されたすべての CloudTrail イベントを表示するには、選択したインサイトイベントのイベントのみを表示。-'CloudTrail イベントタブには、インサイトイベントの開始時刻と終了時刻の間に発生したサブジェクト API に関連する CloudTrail 管理イベントが表示されます。これらのイベントは、より深い分析を実行して、インサイトイベントの考えられる原因と、異常な API アクティビティの理由を特定するのに役立ちます。

インサイトイベントレコードタブ

他の CloudTrail イベントと同様に、CloudTrail インサイトイベントは JSON 形式のレコードです。-インサイトイベントレコードタブには、インサイトの開始イベントと終了イベントの JSON 構造とコンテンツが表示されます。payload。インサイトイベントレコードのフィールドとコンテンツの詳細については、「」を参照してください。インサイトイベントのレコードフィールドおよびCloudTrail インサイトinsightDetailselementこのガイドの「」を参照してください。

を使用したインサイトイベントの記録AWS Management Console

既存の証跡で CloudTrail インサイトイベントを有効にします。デフォルトでは、インサイトイベントは有効になっていません。

  1. CloudTrail コンソールの左のナビゲーションペインで、証跡ページを開き、証跡名を選択します。

  2. Eclipseインサイトイベント選択する編集

    注記

    インサイトイベントの記録には追加料金が適用されます。CloudTrail の料金については、AWS CloudTrail料金

  3. Eclipseイベントタイプ[] を選択し、インサイトイベント。ログ記録する必要があります書き込み管理イベントを使用して、インサイトイベントを記録します。

  4. 選択証跡を更新変更を保存するには、[] をクリックします。

異常なアクティビティが検出された場合、CloudTrail が最初のインサイトイベントを配信するまで最大 36 時間かかることがあります。

AWS Command Line Interfaceを使用したインサイトイベントの記録

証跡を設定して、インサイトイベントを記録するように証跡を設定できます。AWS CLI。

証跡がインサイトイベントをログに記録しているかどうかを確認するには、get-insight-selectorsコマンド。

aws cloudtrail get-insight-selectors --trail-name TrailName

次の結果は、証跡に対するデフォルト設定を示しています。デフォルトでは、証跡はインサイトイベントを記録しません。インサイトイベントコレクションが有効になっていないため、InsightType 属性値が空になっていて、インサイトイベントセレクタが指定されていません。

{ "InsightSelectors": [ { "InsightType": "" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }

証跡を設定して、インサイトイベントを記録するように証跡を設定するには、put-insight-selectorsコマンド。次に、インサイトイベントを含めるように証跡を設定する方法の例を示します。このリリースでは、インサイトセレクタは ApiCallRateInsight のみです。

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"}]'

次の結果は、証跡用に設定されたインサイトイベントセレクタを示しています。

{ "InsightSelectors": [ { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }

AWS SDK を使用してイベントのログを記録する

を実行GetInsightSelectorsオペレーションを使用して、証跡が証跡のインサイトイベントをログに記録しているかどうかを確認します。証跡を設定して、インサイトイベントを記録するように証跡を設定できます。PutInsightSelectorsオペレーション. 詳細については、「AWS CloudTrail API リファレンス」を参照してください。

Amazon CloudWatch Logs へのイベントの送信

CloudTrail は、CloudWatch Logs へのインサイトイベントの送信をサポートします。CloudWatch Logs グループにインサイトイベントを送信するように証跡を設定すると、CloudTrail インサイトは証跡で指定されているイベントだけを送信します。たとえば、管理イベントとインサイトイベントをログに記録するように証跡を設定すると、証跡によって管理イベントとインサイトイベントが CloudWatch Logs グループに配信されます。CloudWatch コンソールまたは API で CloudWatch イベントを設定するには、AWS Insight via CloudTrailイベントタイプをルールの作成ページに移動します。詳細については、「Amazon CloudWatch Logs を使用した CloudTrail ログファイルのモニタリング」を参照してください