Amazon Detective の前提条件と推奨事項

Amazon Detective を有効にするには、まずが必要ですAWS アカウント。

AWS アカウントにサインアップする

AWS アカウント がない場合は、以下のステップを実行して作成します。

AWS アカウント にサインアップするには

1. https://portal.aws.amazon.com/billing/signup を開きます。

2. オンラインの手順に従います。

   サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて検証コードを入力するように求められます。

   AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、管理ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS のサインアップ処理が完了すると、ユーザーに確認メールが送信されます。https://aws.amazon.com/ の [My Account] (アカウント) をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理ユーザーを作成する

AWS アカウント にサインアップした後、日常的なタスクにルートユーザーを使用しないように、管理ユーザーを作成します。

AWS アカウントのルートユーザー をセキュリティで保護する

1. [ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。

   ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「ルートユーザーとしてサインインする」を参照してください。

2. ルートユーザーの多要素認証 (MFA) を有効にします。

   手順については、IAM ユーザーガイドの「AWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

管理ユーザーを作成する

• 日常的な管理タスクのためには、AWS IAM Identity Center (successor to AWS Single Sign-On) の管理ユーザーに管理アクセスを割り当てます。

  手順については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドの「開始方法」を参照してください。

管理ユーザーとしてサインインする

• IAM Identity Center ユーザーとしてサインインするには、IAM Identity Center ユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

  IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「AWS アクセスポータルにサインインする」を参照してください。

また、次の要件および推奨事項に注意する必要があります。

サポートされる AWS Command Line Interface バージョン

AWS CLI を使用して Detective タスクを実行するために必要な最小バージョンは 1.16.303 です。

アカウントが Amazon GuardDuty を有効にしている必要があります

Detective を有効にしようとすると、Detective GuardDuty はアカウントのために 48 時間以上が経過しているかどうかを確認します。

GuardDuty お客様ではない場合、または 48 時間が経過していない場合、Detective を有効にすることはできません。 GuardDuty GuardDuty 有効にするか 48 時間待つ必要があります。これにより、 GuardDuty アカウントが生成するデータ量を評価できます。

アカウントのデータ量は Detective クォータの範囲内にある必要があります

動作グラフに流入するデータの量は、Detective が許容する最大値より小さい必要があります。

Detective を有効にしようとする際に、アカウントのデータ量が大き過ぎると、Detective を有効にできません。Detective コンソールには、データ量が大き過ぎることを示す通知が表示されます。

GuardDuty との推奨配置AWS Security Hub

GuardDuty およびに登録している場合はAWS Security Hub、ご利用のアカウントをこれらのサービスの管理者アカウントにすることをお勧めします。管理者アカウントが 3 つのサービスすべてで同じである場合、次の統合ポイントはシームレスに機能します。

• GuardDuty または Security Hub では、 GuardDuty 検出結果の詳細から Detective の検出結果プロファイルにピボットできます。

• Detective では、 GuardDuty 検出結果の詳細から、その検出結果の詳細から Detective の検出結果の詳細から Detective の検出結果プロファイルにできます。

GuardDuty と Security Hub の管理者アカウントが異なる場合は、より頻繁に利用するサービスに基づいて管理者アカウントを調整することをお勧めします。

• GuardDuty より頻繁に使用する場合は、 GuardDuty 管理者アカウントを使用して Detective を有効にします。

  AWS Organizationsアカウントの管理に使用している場合は、 GuardDuty 管理者アカウントを組織の Detective 管理者アカウントとして指定してください。

• Security Hub をより頻繁に使用する場合は、Security Hub の管理者アカウントを使用して Detective を有効にします。

  Organizations を使用してアカウントを管理する場合は、Security Hub 管理者アカウントを組織の Detective の管理者アカウントとして指定してください。

すべてのサービスで同じ管理者アカウントを使用できない場合は、Detective を有効にした後、オプションでクロスアカウントロールを作成できます。このロールは、管理者アカウントに他のアカウントへのアクセス権を付与します。

IAM がこのタイプのロールをサポートする方法については、IAM ユーザーガイドの所有している別のAWSアカウントへのアクセス権を IAM ユーザーに提供を参照してください。

必要なDetective 権限の付与

Detective を有効にする前に、IAM プリンシパルに必要な Detective 権限があることを確認する必要があります。プリンシパルは、既に使用している既存のユーザーまたはロールにすることも、Detective で使用する新しいユーザーまたはロールを作成することもできます。

Amazon Web Services (AWS) にサインアップすると、Amazon Detective を含むすべてのにAWS のサービス、お客様のアカウントが自動的にサインアップされます。ただし、Detective を有効化して使用するには、まず Amazon Detective コンソールと API オペレーションへのアクセスを許可するアクセス許可を設定する必要があります。管理者または管理者はAWS Identity and Access Management (IAM) AmazonDetectiveFullAccessを使用して管理ポリシーを IAM プリンシパルにアタッチすることでこれを行うことができます。これにより、すべての Detective アクションへのアクセスが許可されます。

GuardDuty CloudWatch通知頻度に対する推奨される更新

では GuardDuty、ディテクターは、その後の検出結果の発生をレポートするために Amazon CloudWatch の通知頻度で設定されます。これには Detective への通知の送信が含まれます。

デフォルトでは、頻度は 6 時間です。これは、検出結果が何回も繰り返し発生しても、新しい発生は最長で 6 時間後まで Detective に反映されないことを意味します。

Detective がこれらの更新を受信するのにかかる時間を短縮するために、 GuardDuty 管理者アカウントがディテクターの設定を 15 分に変更することをお勧めします。設定を変更しても、使用コストには影響しないことに注意してください GuardDuty。

通知頻度の設定については、Amazon GuardDuty ユーザーガイドの「Amazon CloudWatch Events GuardDuty による結果のモニタリング」を参照してください。