CloudTrail コンソールでの CloudTrail Insights イベントの表示 - AWS CloudTrail

CloudTrail コンソールでの CloudTrail Insights イベントの表示

証跡で CloudTrail Insights イベントを有効にすると、CloudTrail が異常な API アクティビティまたはエラー率を検出すると、CloudTrail が Insights イベントを生成し、AWS Management Console の [Dashboard] (ダッシュボード) および [Insights] のページに表示します。コンソールで Insights イベントを表示して、異常なアクティビティのトラブルシューティングを行うことができます。直近 90 日間の Insights イベントがコンソールに表示されます。AWS CloudTrail コンソールを使用して Insights イベントをダウンロードすることもできます。AWS SDK または AWS Command Line Interface を使用してプログラムでイベントを検索できます。CloudTrail Insights イベントの詳細については、このガイドの「証跡の Insights イベントの記録」を参照してください。

Insights イベントが記録されると、それらのイベントは [インサイト] ページに 90 日間表示されます。[インサイト] ページからイベントを手動で削除することはできません。CloudTrail Insights を有効にする前に証跡を作成する必要があるため、証跡設定で設定された S3 バケットに保存している限り、証跡に記録された Insights イベントを表示できます。

証跡ログをモニタリングし、Amazon CloudWatch Logs での特定の特定の Insights イベントアクティビティの発生時に通知を受けることができます。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。

Insights イベントを表示するには

コンソールに Insights イベントを表示するには、証跡で CloudTrail Insights イベントを有効にする必要があります。異常なアクティビティが検出された場合、CloudTrail が最初の Insights イベントを配信するまでに最大 36 時間かかることがあります。

  1. AWS Management Console にサインインし、CloudTrail コンソールを開きます (https://console.aws.amazon.com/cloudtrail/home/)

  2. ナビゲーションペインで、[ダッシュボード] を選択して最新の Insights イベント 5 つを表示するか、[Insights] を選択して過去 90 日間にアカウントにログインしたすべての Insights イベントを表示します。

    [Insights] ページでは、Insights イベント API ソース、イベント名、イベント ID などの条件で Insights イベントをフィルタリングし、表示されるイベントを特定の時間範囲内に発生したイベントに制限できます。Insights イベントのフィルタリングの詳細については、「Insights イベントのフィルタリング」を参照してください。

Insights イベントのフィルタリング

[インサイト] におけるイベントのデフォルト表示では、イベントが日付の逆順に表示されます。イベント開始時刻でソートされた最新の Insights イベントが一番上に表示されます。次のリストでは、使用可能な属性について説明します。最初の 3 つの属性 Event nameEvent sourceEvent ID でフィルタリングできます。


                CloudTrail Insights イベントリストフィルター。
イベント名

イベントの名前。通常は、異常なレベルのアクティビティが記録された AWS API です。

イベントソース

リクエスト先の AWS サービス (iam.amazonaws.coms3.amazonaws.com など)。[Event source] フィルタを選択すると、イベントソースのリストをスクロールできます。

イベント ID

Insights イベントの ID。イベント ID は [Insights] ページのテーブルには表示されませんが、Insights イベントをフィルタリングできる属性です。Insights イベントを生成するために分析される管理イベントのイベント ID は、Insights イベントのイベント ID とは異なります。

イベント開始時間

Insights イベントの開始時刻。異常なアクティビティが記録された最初の分として測定されます。この属性は、[Insights] テーブルに表示されますが、コンソールでイベント開始時刻をフィルタリングすることはできません。

ベースライン平均

API コールレートアクティビティまたはエラーレートアクティビティの通常のパターン。ベースライン平均は、Insights イベントの開始前の 7 日間にわたって計算されます。ベースライン期間 (CloudTrail が API での通常のアクティビティを測定する期間) 値は約 7 日間ですが、CloudTrail はベースライン期間を整数の日数に四捨五入するので、正確なベースライン期間は変化する可能性があります。

インサイト平均

Insights イベントをトリガーした API コールの平均数、または API コールで返された特定エラーの平均数。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした発生率です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティ期間の発生率です。

レートの変化

測定されたベースライン平均インサイト平均の値 (割合) の差分。例えば、発生する AccessDenied エラーのベースライン平均が 1.0 で、インサイト平均が 3.0 の場合、レートの変化率は 300% です。インサイト平均の割合変化がベースライン平均を超えると、値の横に上矢印が表示されます。アクティビティがベースライン平均を下回り Insights イベントがログに記録された場合、[Rate change] (レートの変化) はパーセンテージの横に下向きの矢印を表示します。アクティビティがベースライン平均を下回っているために Insights イベントが記録された場合、レート変更パーセンテージの横に下向き矢印を示します。

選択した属性または時間に記録されたイベントがない場合、結果リストは空です。時間範囲に加えて、1 つの属性フィルタのみを適用できます。別の属性フィルタを選択した場合は、指定した時間範囲が保持されます。

次のステップでは、属性でフィルタリングする方法について説明します。

属性でフィルタリングするには

  1. 属性で結果をフィルタリングするには、ドロップダウンメニューからルックアップ属性を選択し、[Enter lookup value] ボックスに値を入力するか、または選択します。

  2. 属性フィルタを削除するには、属性フィルタボックスの右側にある [X] を選択します。

次のステップでは、開始と終了の日時でフィルタリングする方法について説明します。

開始と終了の日時ででフィルタリングするには

  1. 表示したいイベントの時間範囲を絞り込むには、テーブル上部の期間の時間範囲を選択します・・・ プリセットされた時間範囲は、30 分、1 時間、3 時間、または 12 時間です。カスタムの時間範囲を指定するには、[Custom] を選択します。

  2. 次のいずれかのテーブルを選択します。

    • [Absolute] - 特定の時間を選択できます。次のステップに進みます。

    • [Relative to value] - デフォルトで選択されています。Insights イベントの開始時刻を基準とした期間を選択できます。ステップ 4 に進みます。

  3. [Absolute] の時間範囲を設定するには、次の操作を行います。

    1. [Absolute] タブで、時間範囲を開始する日を選択します。選択した日の開始時刻を入力します。手動で日付を入力するには、yyyy/mm/dd の形式で日付を手動で入力します。開始時刻と終了時刻は 24 時間制で、値は hh:mm:ss の形式である必要があります。例えば、午後 6 時 30 分の開始時刻を指定するには、18:30:00 を入力します。

    2. カレンダーの範囲で終了日を選択するか、カレンダーの下にある終了日時を指定します。[Apply] を選択します。

  4. [Relative to selected event] の時間範囲を設定するには、次の操作を行います。

    1. Insights イベントの開始時刻を基準としたプリセット期間を選択します。プリセット値は、分、時間、日数、週数で使用できます。最大相対期間は 12 週間です。

    2. 必要に応じて、プリセットの下のボックスでプリセット値をカスタマイズします。[Clear] を選択して、必要に応じて変更をリセットします。相対時間を設定したら、[適用] を選択します。

  5. [終了] で、日付を選択し、時間範囲の終了時刻を指定します。[Apply] を選択します。

  6. 時間範囲フィルタを削除するには、[時間範囲] ボックスの右側にあるカレンダーアイコンを選択し、[削除] を選択します。

Insights イベントの詳細の表示

  1. 結果リストで Insights イベントを選択して、詳細を表示します。Insights イベントの詳細ページには、異常なアクティビティタイムラインのグラフが表示されます。

    
                        CloudTrail Insights イベントとして記録された異常な API アクティビティを示す  詳細ページ。
  2. 強調表示されたバンドにマウスカーソルを合わせると、グラフ内の各 Insights イベントの開始時刻と継続期間が表示されます。

    
                        Insights イベントにマウスカーソルを合わせると表示される Insights イベントの統計情報。

    では、次の情報が示されています。追加情報グラフの面積:

    • Insights タイプ。これは API コールレートまたは API エラーレートです。

    • トリガー これは、[Cloudtrail イベント] タブが表示されます。このタブには、異常なアクティビティが発生したと判断するために分析された管理イベントが一覧表示されます。

    • 分あたりの API 呼び出し数

      • Baseline average (ベースライン平均) - アカウントの特定のリージョンで、過去約 7 日内に測定された、Insights イベント がログに記録された API での 1 分あたりの標準的な発生率。

      • Insights average (インサイト平均) - Insights イベントをトリガーしたこの API での 1 分あたりの発生率。開始イベントの CloudTrail Insights 平均は、Insights イベントをトリガーした API での 1 分あたりの API コールまたはエラーの割合です。通常、これは異常なアクティビティの最初の 1 分です。終了イベントのインサイト平均は、開始 Insights イベントと終了 Insights イベントの間の異常なアクティビティの期間における 1 分あたりの API コールまたはエラーの割合です。

    • イベントソース 異常な回数の API コールまたはエラーがログに記録された AWS サービスエンドポイント。前の画像では、ソースは ec2.amazonaws.com で、これは Amazon EC2 のサービスエンドポイントです。

    • イベント ID

      • Start event ID (開始イベント ID) - 異常なアクティビティの開始時に記録されたInsights イベントの ID。

      • End event ID (終了イベント ID) - 異常なアクティビティの終了時に記録された Insights イベントの ID。

      • Shared event ID (共有イベント ID) - Insights イベントでは、共有イベント ID は、Insights イベントの開始と終了のペアを一意的に識別するために CloudTrail Insights が生成する GUID です。共有イベント ID は、Insights イベントの開始から終了まで共有され、両方のイベントの相関関係を作成して異常なアクティビティを一意的に識別するのに役立ちます。

  3. [Attributions] (属性) タブを選択して、ユーザーID、ユーザーエージェント、API コールレート Insight イベント、異常なベースラインアクティビティに相関するエラーコードに関する情報を表示します。最大 5 つのユーザーアイデンティティ、5 つのユーザーエージェント、5 つのエラーコードが、アクティビティ数の平均でソートされ、高いものから低いものへの降順で [属性] タブのテーブルに表示されます。[属性] タブの詳細については、このガイドの「[Attributions] (属性) タブ」および「CloudTrail Insights insightDetails 要素」を参照してください。

  4. [CloudTrail events] タブで、異常なアクティビティが発生したと判断するために CloudTrail が分析した関連イベントを表示します。デフォルトで、フィルターはすでに Insights イベント名に適用されています。これは関連する API の名前でもあります。[CloudTrail イベント] タブには、Insights イベントの開始時刻 (マイナス 1 分) と終了時刻 (プラス 1 分) の間に発生したサブジェクト API に関連する CloudTrail 管理イベントが表示されます。

    グラフで他の Insights イベントを選択すると、[CloudTrail イベント] テーブルに表示されるイベントが変わります。これらのイベントは、より深い分析を実行して、Insights イベントの考えられる原因と、異常な API アクティビティの理由を特定するのに役立ちます。

    関連する API のイベントだけでなく、Insights イベント期間中に記録されたすべての CloudTrail イベントを表示するには、フィルターをオフにします。

  5. [Insights event record] タブを選択して、Insights の開始イベントと終了イベントを JSON 形式で表示します。

  6. リンクされた [イベントソース] を選択すると、そのイベントソースによってフィルタリングされた [インサイト] ページに戻ります。

グラフのズーム、パン、ダウンロード

右上隅にあるツールバーを使用して、Insights イベントの詳細ページでグラフの軸をズーム、パン、リセットできます。


                PNG としてダウンロード、ズーム、パン、ズームイン、ズームアウト、および軸のリセットコマンドツールバー。

グラフツールバーのコマンドボタンは、次の操作を行います (左から右の順)。

  • プロットを PNG としてダウンロード - 詳細ページに表示されているグラフ画像をダウンロードし、PNG 形式で保存します。

  • ズーム - ドラッグしてグラフ上の領域を選択し、拡大して詳細を表示します。

  • パン - グラフをシフトして、隣接する日付または時刻を表示します。

  • 軸のリセット - グラフ軸を元の軸に戻し、ズームとパンの設定をクリアします。

グラフの期間設定の変更

グラフの右上隅にある設定を選択すると、グラフに表示されるタイムスパン (X 軸上に示される選択したイベントの継続時間) を変更できます。


                Insights イベントのタイムスパンコントロール。

グラフに表示されるデフォルトの期間は、選択した Insights イベントの期間によって異なります。

Insights イベントの期間 デフォルトの期間

4 時間未満

3h (3 時間)

4~12 時間

12h(12 時間)

12~24 時間

1d (1 日)

24~72 時間

3d (3 日)

72 時間超

1w (1 週間)

プリセットは、5 分、30 分、1 時間、3 時間、12 時間、または [Custom] から選択できます。次の画像は、選択したイベントの相対期間 ([Custom] で選択できます) を示しています。相対期間は、Insights イベントの詳細ページに表示される、選択した Insights イベントの開始と終了が収まるおおよその期間です。


                Insights グラフ、期間、カスタム設定、[相対] 時間

選択したプリセットをカスタマイズするには、プリセットの下のボックスに数値と時間単位を指定します。

正確な日付と時刻の範囲を指定するには、[絶対] タブを選択します。日付と時刻の絶対範囲を設定する場合は、開始時刻と終了時刻が必要です。時間を設定する方法の詳細については、このトピックの Insights イベントのフィルタリング を参照してください。


                Insights グラフ、期間、カスタム設定、[絶対]時間

Insights イベントのダウンロード

記録された Insights イベント履歴は、CSV または JSON 形式のファイルとしてダウンロードできます。ダウンロードするファイルのサイズを減らすには、フィルタと時間範囲を使用します。

注記

CloudTrail イベント履歴ファイルは、個々のユーザーによって設定できる情報 (リソース名など) を含むデータファイルです。一部のデータは、このデータ (CSV インジェクション) の読み取りと分析に使用されるプログラムでコマンドとして解釈される可能性があります。例えば、CloudTrail イベントが CSV にエクスポートされ、スプレッドシートプログラムにインポートされると、そのプログラムから、セキュリティ上の問題について警告を受け取る場合があります。セキュリティ上のベストプラクティスとして、ダウンロードされたイベント履歴ファイルからリンクまたはマクロを無効にします。

  1. ダウンロードするイベントのフィルタと時間範囲を指定します。たとえば、イベント名 StartInstances を指定し、過去 3 日間のアクティビティの時間範囲を指定できます。

  2. [Download events] (イベントのダウンロード) 選択し、その後 [Download CSV] (CSV のダウンロード) または [Download JSON] (JSON のダウンロード) を選択します。ファイルを保存する場所を選択するプロンプトが表示されます。

    注記

    ダウンロードが完了するまで時間がかかる場合があります。迅速な結果を得るには、より特定のフィルタまたは短い時間範囲を使って結果を絞り込んでから、ダウンロードプロセスを開始します。

  3. ダウンロードが完了したら、ファイルを開いて、指定したイベントを表示します。

  4. ダウンロードをキャンセルする場合は、[ダウンロードのキャンセル] を選択します。ダウンロードが完了する前にキャンセルした場合、ローカルコンピューター上の CSV ファイルまたは JSON ファイルにイベントの一部しか含まれていない可能性があります。