動作グラフで使用されるソースデータ - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

動作グラフで使用されるソースデータ

動作グラフにデータを入力するために、Amazon Detective は、動作グラフの管理者アカウントとメンバーアカウントのソースデータを使用します。


   動作グラフがどのように管理者アカウントとメンバーアカウントのデータを使用し、動作グラフのデータ構造を使用するかを示す図。

動作グラフのデータ構造の詳細については、Detective ユーザーガイドOverview of the behavior graph data structure を参照してください。

Detective のコアデータソースのタイプ

Detective は、次のタイプの AWS ログからデータを取り込みます。

  • AWS CloudTrail ログ

  • Amazon Virtual Private Cloud (Amazon VPC) フローログ

  • に登録されているアカウントの場合 GuardDuty、Detective も取り込んで GuardDuty 検出結果。

Detective は消費します。 CloudTrail および VPC フローログイベントをの独立した重複ストリームを使用して CloudTrail および VPC フローログに記録されます。これらのプロセスは、既存のプロセスに影響を与えたり、これらを使用したりすることはありません。 CloudTrail および VPC フローログ設定。また、これらのサービスのパフォーマンスに影響を与えたり、コストを増加させたりすることもありません。

Detective のオプションデータソースの種類

Detective は、Detective コアパッケージで提供される 3 つのデータソースに加えて、オプションのソースパッケージを提供します (コアパッケージにはAWS CloudTrailログ、VPC フローログ、 GuardDuty 検出結果)。動作グラフのオプションのデータソースパッケージは、いつでも動作グラフ用に起動または停止できます。

Detective は、リージョンごとにすべてのオプションのソースパッケージに 30 日間の無料トライアルを提供します。

注記

データソースのすべてのログは、最長 1 年間保持されます。

現在、以下のオプションのソースパッケージが利用可能です。

  • EKS 監査ログ

    このオプションのデータソースパッケージを使用すると、Detective は環境内の EKS クラスターに関する詳細情報を取り込み、そのデータを行動グラフに追加できます。詳細については、「Detective の Amazon EKS 監査ログ」を参照してください。

オプションのデータソースを開始または停止します。

  1. でDetective コンソールを開きます。https://console.aws.amazon.com/detective/

  2. 下のナビゲーションパネルから設定、選択将軍

  3. []オプションのソースパッケージで、更新。次に、有効にするデータソースを選択するか、すでに有効になっているデータソースのボックスの選択を解除して、更新をクリックして、どのデータソースパッケージを有効にするかを変更します。

注記

オプションのデータソースを停止してから再起動すると、一部のエンティティプロファイルに表示されるデータにギャップが表示されます。このギャップは、コンソールの表示に表示され、データソースが停止した期間を表します。データソースが再起動されると、Detective は遡及的にデータを取り込むことはありません。

Detective がソースデータを取り込み、保存する方法

Detective を有効にすると、Detective は、動作グラフの管理者アカウントからソースデータの取り込みを開始します。メンバーアカウントが動作グラフに追加されると、Detective は、それらのメンバーアカウントからのデータの使用も開始します。

Detective のソースデータは、元のフィードの構造化されたバージョンと処理されたバージョンで構成されています。Detective の分析をサポートするため、Detective は、Detective のソースデータのコピーを保存します。

Detective の取り込みプロセスは、Detective のソースデータストアの Amazon Simple Storage Service (Amazon S3) バケットにデータをフィードします。新しいソースデータが到着すると、他の Detective コンポーネントがデータを取得し、抽出および分析プロセスを開始します。詳細については、Detective ユーザーガイドHow Detective uses source data to populate a behavior graph を参照してください。

Detective が動作グラフのデータ量のクォータを適用する方法

Detective には、各動作グラフで許可されるデータの量に関する厳密なクォータがあります。データ量は、Detective の動作グラフにフローする 1 日あたりのデータ量です。

管理者アカウントが Detective を有効にし、メンバーアカウントが動作グラフにデータを提供するための招待を承諾すると、Detective はこれらのクォータを適用します。

  • 管理者アカウントのデータ量が 1 日あたり 3.6 TB を超える場合、管理者アカウントは Detective を有効にできません。

  • メンバーアカウントからデータ量が追加されることにより、動作グラフが 1 日あたり 3.6 TB を超えることになる場合、メンバーアカウントを有効にすることはできません。

動作グラフのデータ量は、時間が経過するにつれて自然に増加することもあります。Detective は、クォータを超えることのないよう、動作グラフのデータ量を毎日チェックします。

動作グラフのデータ量がクォータに近づいている場合、Detective はコンソールに警告メッセージを表示します。クォータを超えないように、メンバーアカウントを削除できます。

動作グラフのデータ量が 1 日あたり 3.6 TB を超える場合、動作グラフに新しいメンバーアカウントを追加することはできません。

動作グラフのデータ量が 1 日あたり 4.5 TB を超える場合、Detective は動作グラフへのデータの取り込みを停止します。1 日あたり 4.5 TB は、通常のデータ量とデータ量のスパイクの両方を反映しています。このクォータに達すると、新しいデータは動作グラフに取り込まれませんが、既存のデータは削除されません。引き続きその履歴データを調査に使用することはできます。コンソールには、動作グラフのデータ取り込みが一時停止されていることを示すメッセージが表示されます。

データの取り込みが一時停止されている場合は、AWS Support を使用してデータを再度有効にする必要があります。可能であれば、AWS Support に問い合わせる前に、メンバーアカウントを削除して、データ量がクォータを下回るように試みてください。これにより、動作グラフのデータ取り込みを再度有効にすることが容易になります。