Amazon Detective の前提条件と推奨事項 - Amazon Detective
にサインアップする AWS アカウント管理ユーザーの作成サポートされている AWS Command Line Interface バージョン GuardDuty および との推奨アラインメント AWS Security Hub必要な Detective アクセス許可の付与通知頻度の GuardDuty CloudWatch推奨更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Detective の前提条件と推奨事項

Amazon Detective を有効にするには、まず AWS アカウント が必要です。

にサインアップする AWS アカウント

がない場合は AWS アカウント、次のステップを実行して作成します。

にサインアップするには AWS アカウント

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを使用して検証コードを入力するように求められます。

    にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権限があります。セキュリティのベストプラクティスとして、管理ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行します。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/[アカウント] をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理ユーザーの作成

にサインアップしたら AWS アカウント、 を保護し AWS アカウントのルートユーザー、 を有効にして AWS IAM Identity Center、日常的なタスクにルートユーザーを使用しないように管理ユーザーを作成します。

のセキュリティ保護 AWS アカウントのルートユーザー

  1. ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Consoleとして にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、「AWS サインイン ユーザーガイド」の「ルートユーザーとしてサインインする」を参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「IAM ユーザーガイド」の AWS アカウント 「ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

管理ユーザーを作成する

  1. IAM アイデンティティセンターを有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。

  2. IAM アイデンティティセンターで、管理ユーザーに管理アクセス権を付与します。

    を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 ユーザーガイド」の「デフォルト でユーザーアクセスを設定する IAM アイデンティティセンターディレクトリAWS IAM Identity Center 」を参照してください。

管理ユーザーとしてサインインする

  • IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、「 AWS サインイン ユーザーガイド」の AWS 「 アクセスポータルにサインインする」を参照してください。

また、次の要件および推奨事項に注意する必要があります。

サポートされている AWS Command Line Interface バージョン

を使用して Detective タスク AWS CLI を実行するために必要な最小バージョンは 1.16.303 です。

GuardDuty と に登録している場合は AWS Security Hub、アカウントをこれらのサービスの管理者アカウントとすることをお勧めします。管理者アカウントが 3 つのサービスすべてで同じである場合、次の統合ポイントはシームレスに機能します。

  • GuardDuty または Security Hub では、 GuardDuty 検出結果の詳細を表示するときに、検出結果の詳細から Detective の検出結果プロファイルにピボットできます。

  • Detective では、 GuardDuty 検出結果を調査するときに、その検出結果をアーカイブするオプションを選択できます。

GuardDuty と Security Hub の管理者アカウントが異なる場合は、使用するサービスに基づいて管理者アカウントを調整することをお勧めします。

  • GuardDuty より頻繁に を使用する場合は、 GuardDuty 管理者アカウントを使用して Detective を有効にします。

    AWS Organizations を使用してアカウントを管理する場合は、 GuardDuty 組織の Detective 管理者アカウントとして管理者アカウントを指定します。

  • Security Hub をより頻繁に使用する場合は、Security Hub の管理者アカウントを使用して Detective を有効にします。

    Organizations を使用してアカウントを管理する場合は、Security Hub 管理者アカウントを組織の Detective 管理者アカウントとして指定します。

すべてのサービスで同じ管理者アカウントを使用できない場合は、Detective を有効にした後、オプションでクロスアカウントロールを作成できます。このロールは、管理者アカウントに他のアカウントへのアクセス権を付与します。

IAM がこのタイプのロールをサポートする方法については、「IAM ユーザーガイド」の「所有している別の AWS アカウントの IAM ユーザーへのアクセスを許可する」を参照してください。

必要な Detective アクセス許可の付与

Detective を有効にする前に、必要な Detective アクセス許可を IAM プリンシパルに付与する必要があります。プリンシパルは、既に使用している既存のユーザーまたはロールにすることも、Detective で使用する新しいユーザーまたはロールを作成することもできます。

Amazon Web Services (AWS) にサインアップすると、Amazon Detective を含むすべての AWS のサービス に、アカウントが自動的にサインアップされます。ただし、Detective を有効化して使用するには、まず Amazon Detective コンソールと API オペレーションへのアクセスを許可するアクセス許可を設定する必要があります。これを行うには、 AWS Identity and Access Management (IAM) を使用して、すべての Detective アクションへのアクセスを許可する IAM プリンシパルに AmazonDetectiveFullAccess管理ポリシーをアタッチします。

では GuardDuty、ディテクターは Amazon CloudWatch 通知頻度で設定され、その後の検出結果の発生を報告します。これには Detective への通知の送信が含まれます。

デフォルトでは、頻度は 6 時間です。これは、検出結果が何回も繰り返し発生しても、新しい発生は最長で 6 時間後まで Detective に反映されないことを意味します。

Detective がこれらの更新を受信するのにかかる時間を短縮するために、 GuardDuty 管理者アカウントがディテクターの 設定を 15 分に変更することをお勧めします。設定を変更しても、 の使用コストには影響しないことに注意してください GuardDuty。

通知頻度の設定については、「Amazon ユーザーガイド」の「Amazon CloudWatch Events で GuardDuty の検出結果のモニタリング」を参照してください。 GuardDuty