証跡のインサイトイベントの記録 - AWS CloudTrail

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

証跡のインサイトイベントの記録

AWS CloudTrail Insights は、CloudTrail 管理イベントを継続的に分析することで、AWS ユーザーが write API コールに関連する異常なアクティビティを特定し、それに応答するのに役立ちます。

Insights events は、CloudTrail がアカウントで異常な write 管理 API アクティビティを検出したときにログに記録されます。CloudTrail Insights を有効にし、CloudTrail が異常なアクティビティを検出した場合、Insights events は証跡の宛先 S3 バケットに配信されます。CloudTrail コンソールで Insights events を表示すると、インサイトのタイプとインシデント期間も確認できます。CloudTrail 証跡でキャプチャされた他のタイプのイベントとは異なり、Insights events は、アカウントの典型的な使用パターンと大きく異なるアカウントの API 使用状況の変化を CloudTrail が検出した場合にだけログに記録されます。

CloudTrail Insights は継続的に CloudTrail write 管理イベントを監視し、数学モデルを使用して、アカウントの API およびサービスイベントアクティビティの通常のレベルを決定します。CloudTrail Insights は、通常のパターン外にある動作を識別して、Insights events を生成し、証跡の選択した送信先 S3 バケット内の /CloudTrail-Insight フォルダにそれらのイベントを配信します。また、CloudTrail のAWS マネジメントコンソールで Insights events にアクセスして表示することもできます。コンソールで、および AWS CLI を使用して Insights events にアクセスして表示する方法の詳細については、このガイドの「CloudTrail Insights イベントの表示」を参照してください。

デフォルトでは、証跡はすべての管理イベントを記録し、データイベントや Insights events は記録しません。データと Insights events には、追加料金が適用されます。詳細については、「AWS CloudTrail料金表」を参照してください。

アカウントでイベントが発生すると、CloudTrail はイベントが証跡の設定と一致するかどうかを評価します。証跡設定に一致するイベントだけが、Amazon S3 バケットと Amazon CloudWatch Logs ロググループに配信されます。

インサイトについて

CloudTrail Insightsは、 を発生させることでAWSアカウント内の異常な API アクティビティを検出できますInsights events。 CloudTrail Insightsは、 API コールボリュームの通常のパターン (ベースラインとも呼ばれる) を測定し、ボリュームが通常のパターンの外Insights eventsに生成されると生成します。Insights eventswriteAPIs

証跡で CloudTrail Insights を初めて有効にした後、異常なアクティビティが検出された場合に、CloudTrail が最初のインサイトイベントを配信するまで最大 36 時間かかることがあります。CloudTrail Insights は、グローバルではなく、単一のリージョンで発生する書き込み管理イベントを分析します。CloudTrail Insights イベントは、サポート対象の管理イベントが生成されるのと同じリージョンに生成されます。

Insights events の例を以下の図に示します。インサイトイベントの詳細ページを開くには、[ダッシュボード] ページまたは [インサイト] ページからインサイトイベント名を選択します。

証跡で CloudTrail Insights を無効にするか、証跡の記録を停止した (CloudTrail Insights が無効になります) 場合、インサイトを有効にした前の期間の日付で、Insights events が送信先 S3 バケットに保存されているか、コンソールの [インサイト] ページに表示されている可能性があります。

フィルタ列

左側の列には、サブジェクト API に関連し、同じインサイトイベントタイプを持つ Insights events のリストが表示されます。この列では、詳細情報を希望するインサイトイベントを選択できます。この列でイベントを選択すると、[インサイトグラフ] タブのグラフでイベントが強調表示されます。デフォルトでは、 CloudTrail CloudTrailは [イベント] タブに表示されるイベントを、インサイトイベントをトリガーした異常なアクティビティの期間中に呼び出された特定の API に関するイベントに制限するフィルタを適用します。異常なアクティビティ (インサイトCloudTrailイベントとは関係のないイベントなど) 期間中に呼び出されたすべてのイベントを表示するには、フィルタをオフにします。

インサイトグラフタブ

[インサイトグラフ] タブでは、インサイトイベントの詳細ページに、1 つ以上の API が記録される前後の一定期間に発生したコールボリュームのグラフが表示されます。Insights eventsグラフでは、Insights events は縦棒で強調表示され、棒の幅はサイトイベントの開始時刻と終了時刻を示します。

この例では、強調表示している縦帯は、アカウント内の Amazon CloudWatch DeleteAlarms API コールの数が以上であることを示しています。強調表示された領域で、DeleteAlarms呼び出しの数はアカウントのベースライン平均 0.05 回/分を上回っているため、異常なアクティビティを検出するとインサイトイベントCloudTrailが記録されました。インサイトイベントでは、午前 11 時 20 分頃に 3 件のDeleteAlarms呼び出しが行われたことが記録されました。これは、アカウントに対して予想されるよりも毎分 3 回多い API コールです。この例では、グラフの期間は 3 時間、つまり 2020 年 8 月 5 日午後 12 時 50 分 (PDT) から 2020 年 8 月 5 日午後 2:10 (PDT) までです。このイベントの開始時刻は、午前 11 時 20 分 (UTC) です。2020 年 8 月 5 日午後 5 時 (PDT)、および 1 分後の終了時刻。

ベースラインは、インサイトイベントが開始されてから 7 日間に計算されます。ベースライン期間 ( — で通常のアクティビティに対してCloudTrail測定される期間は約 7 日APIs—) の値はありますが、 はベースライン期間を整数日にCloudTrail丸めるため、正確なベースライン期間は異なる場合があります。


                    インサイトイベントとして記録された異常な API アクティビティを示すCloudTrail Insights詳細ページ。

Attributionsタブ

[属性] タブには、インサイトイベントに関する次の情報が表示されます。


                    属性を示すCloudTrail Insightsイベント詳細ページ。
  • トップユーザー ID ARNs - このテーブルは、異常なアクティビティ中およびベースライン期間の API コールに影響する上位 5 人のAWSユーザーまたはIAMロール (ユーザー ID) を、発生した API コールの平均数の降順に表示します。異常なアクティビティに寄与したアクティビティの合計数の平均の割合が括弧内に示されます。5 つ以上のユーザー ID が異常なアクティビティARNsに寄与した場合、そのアクティビティは他の行に合計されます。

  • トップユーザーエージェント - このテーブルは、異常なアクティビティ中およびベースライン期間中にユーザー ID が API コールに寄与した上位 5 つのAWSツールを、発生した API コールの平均数の降順に示しています。これらのツールには、AWS AWS CLI マネジメントコンソール、 、 などがありますAWSSDKs。 たとえば、 という名前のユーザーエージェントec2.amazonaws.comは、 Amazon EC2 コンソールが API の呼び出しに使用されるツールの一部であったことを示します。異常なアクティビティに寄与したアクティビティの合計数の平均の割合が括弧内に示されます。5 つ以上のユーザーエージェントが異常なアクティビティに貢献した場合、そのアクティビティは他の行に合計されます。

  • 上位のエラーコード - この表は、異常なアクティビティおよびベースライン期間中に API コールで発生した上位 5 つのエラーコードを示しています (最大数の API コールから最小数の降順)。異常なアクティビティに寄与したアクティビティの合計数の平均の割合が括弧内に示されます。異常なアクティビティまたはベースラインアクティビティ中に 5 つ以上のエラーコードが発生した場合、そのアクティビティは他の行に合計されます。

    のエラーコードの上位 5 つの値の 1 つNoneとしての値は、インサイトイベントに寄与した呼び出しのかなりの割合がエラーに該当しなかったことを意味します。エラーコードの値が None であり、テーブルに他のエラーコードが存在しない場合、[Insight average (インサイト平均)] 列と [Baseline Average (ベースライン平均)] 列の値は、インサイトイベント全体の値と同じです。これらの値は、インサイトグラフタブの 1 分あたりの API コール数により、インサイト平均ベースライン平均の凡例にも表示されます

[CloudTrailevents] タブ

[CloudTrail イベント] タブで、異常なアクティビティが発生したと判断するために CloudTrail が分析した関連イベントを表示します。デフォルトでは、インサイトイベント名にはフィルターがすでに適用されています。これは関連する API の名前でもあります。異常なアクティビティの期間中に記録されたすべてのCloudTrailイベントを表示するには、[Only show events for selected Insights (選択したインサイトイベントのイベントのみを表示)] をオフにします。[CloudTrail イベント] タブには、インサイトイベントの開始時刻と終了時刻の間に発生したサブジェクト API に関連する CloudTrail 管理イベントが表示されます。これらのイベントは、より深い分析を実行して、インサイトイベントの考えられる原因と、異常な API アクティビティの理由を特定するのに役立ちます。

インサイトイベントレコードタブ

すべてのCloudTrailイベントと同様に、CloudTrailインサイトイベントは JSON 形式のレコードです。[インサイトイベントレコード] タブには、インサイトの開始および終了イベントの JSON 構造とコンテンツが表示され、イベントペイロードと呼ばれることもあります。インサイトイベントレコードのフィールドとコンテンツの詳細については、このガイドの「 インサイトイベントのレコードフィールド」を参照してください。CloudTrailInsights insightDetails要素

を使用したインサイトイベントのログ記録AWS マネジメントコンソール

既存の証跡CloudTrailInsights eventsで を有効にします。デフォルトでは、 Insights eventsは有効になっていません。

  1. CloudTrailコンソールの左側のナビゲーションペインで、[Trails] ページを開き、証跡名を選択します。

  2. インサイトイベントで、[編集] を選択します

    注記

    インサイトイベントの記録には追加料金が適用されます。CloudTrail の料金については、「AWS CloudTrail 料金表」を参照してください。

  3. イベントタイプで、[インサイトイベント] を選択します。インサイトイベントを記録するには、書き込み管理イベントをログ記録する必要があります。

  4. [Update trail (証跡の更新)] を選択して変更を保存します。

異常なアクティビティが検出された場合、CloudTrail が最初の Insights events を配信するまでに最大 36 時間かかることがあります。

AWS Command Line Interfaceを使用したインサイトイベントの記録

AWS CLI を使用して Insights events を記録するように証跡を設定できます。

証跡が Insights events を記録しているかどうかを確認するには、get-insight-selectors コマンドを実行します。

aws cloudtrail get-insight-selectors --trail-name TrailName

次の結果は、証跡に対するデフォルト設定を示しています。デフォルトでは、証跡は Insights events を記録しません。インサイトイベントコレクションが有効になっていないため、InsightType 属性値が空になっていて、インサイトイベントセレクタが指定されていません。

{ "InsightSelectors": [ { "InsightType": "" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }

Insights events を記録するように証跡を設定するには、put-insight-selectors コマンドを実行します。次に、Insights events を含むように証跡を設定する方法の例を示します。このリリースでは、インサイトセレクタは ApiCallRateInsight のみです。

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"}]'

次の結果は、証跡用に設定されたインサイトイベントセレクタを示しています。

{ "InsightSelectors": [ { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }

を使用して イベントをログ記録するAWSSDKs

GetInsightSelectorsオペレーションを実行して、証跡がログを記録しているかどうか確認します。Insights eventsInsights eventsPutInsightSelectorsオペレーションでログを記録するように証跡を設定できます。詳細については、AWS CloudTrail API Reference を参照してください。

Amazon CloudWatch Logs にイベントを送信する

CloudTrail は CloudWatch Logs への Insights events の送信をサポートします。CloudWatch Logs ロググループに Insights events を送信するように証跡を設定すると、CloudTrail Insights は証跡で指定されているイベントだけを送信します。たとえば、ログ管理と Insights events を記録するように証跡を設定した場合、証跡によって管理と Insights events が CloudWatch Logs ロググループに配信されます。CloudWatch コンソールまたは API を使用して CloudWatch イベント を設定するには、CloudWatch コンソールの [ルールの作成] ページで AWS Insight via CloudTrail イベントタイプを選択します。詳細については、Amazon CloudWatch Logs を使用して CloudTrail のログファイルをモニタリングする を参照してください。