動作グラフで使用されるソースデータ - Amazon Detective
Detective のコアデータソースのタイプDetective のオプションデータソースのタイプDetective がソースデータを取り込み、保存する方法Detective が動作グラフのデータ量のクォータを適用する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

動作グラフで使用されるソースデータ

動作グラフにデータを入力するために、Amazon Detective は、動作グラフの管理者アカウントとメンバーアカウントのソースデータを使用します。

Detective を使用すると、最長 1 年間の履歴イベントデータにアクセスできるようになりました。このデータは、選択した時間枠でのアクティビティのタイプと量の変化を示す一連のビジュアライゼーションによって表示されます。Detective は、このような変化を GuardDuty の検出結果にリンクします。

動作グラフがどのように管理者アカウントとメンバーアカウントのデータを使用し、動作グラフのデータ構造を使用するかを示す図。

動作グラフのデータ構造の詳細については、Detective ユーザーガイドOverview of the behavior graph data structure を参照してください。

Detective のコアデータソースのタイプ

Detective は、次のタイプの AWS ログからデータを取り込みます。

  • AWS CloudTrail ログ

  • Amazon Virtual Private Cloud (Amazon VPC) フローログ

  • GuardDuty に登録されているアカウントについては、Detective は GuardDuty の検出結果も取り込みます。

Detective は、CloudTrail および VPC フローログの独立した重複ストリームを使用して、CloudTrail および VPC フローログイベントを消費します。これらのプロセスは、既存の CloudTrail および VPC フローログ設定に影響を与えたり、これらを使用したりすることはありません。また、これらのサービスのパフォーマンスに影響を与えたり、コストを増加させたりすることもありません。

Detective のオプションデータソースのタイプ

Detective は、Detective コアパッケージで3 つのデータソース (コアパッケージには AWS CloudTrail ログ、VPC フローログ、GuardDuty からの検出結果が含まれています) を提供しているほか、オプションのソースパッケージもご用意しております。オプションのデータソースパッケージは、動作グラフに対し、いつでも起動または停止できます。

Detective は、リージョンごとに、コアソースパッケージとオプションソースパッケージの両方用に 30 日間の無料トライアルを提供します。

注記

Detective は、各データソースパッケージから受信したすべてのデータを最大 1 年間保持します。

現在、以下のオプションソースパッケージをご利用いただけます。

  • EKS 監査ログ

    このオプションデータソースパッケージにより、Detective は環境内の EKS クラスターに関する詳細情報を取り込み、そのデータを動作グラフに追加できます。詳細については、「Detective 用の Amazon EKS 監査ログ」を参照してください。

  • AWS からのセキュリティに関する検出結果

    このオプションのデータソースパッケージにより、Detective は Security Hub からデータを取り込み、そのデータを動作グラフに追加することができます。詳細については、「AWS からのセキュリティに関する検出結果」を参照してください。

オプションデータソースを起動したり停止したりするには、以下の手順を実行します。

  1. https://console.aws.amazon.com/detective/ で Detective コンソールを開きます。

  2. ナビゲーションパネルで [設定][全般] を選択します。

  3. [オプションのソースパッケージ][更新] を選択します。次に、有効にするデータソースを選択します。または、既に有効になっているデータソースのチェックボックスをオフにして、有効にするデータソースパッケージを変更するために [更新] を選択します。

注記

オプションのデータソースを停止して再起動すると、一部のエンティティプロファイルに表示されるデータにギャップが見られます。このギャップはコンソール画面に表示され、データソースが停止していた期間を表します。データソースを再起動しても、Detective はデータを遡及的に取り込むことはありません。

Detective がソースデータを取り込み、保存する方法

Detective を有効にすると、Detective は、動作グラフの管理者アカウントからソースデータの取り込みを開始します。メンバーアカウントが動作グラフに追加されると、Detective は、それらのメンバーアカウントからのデータの使用も開始します。

Detective のソースデータは、元のフィードの構造化されたバージョンと処理されたバージョンで構成されています。Detective の分析をサポートするため、Detective は、Detective のソースデータのコピーを保存します。

Detective の取り込みプロセスは、Detective のソースデータストアの Amazon Simple Storage Service (Amazon S3) バケットにデータをフィードします。新しいソースデータが到着すると、他の Detective コンポーネントがデータを取得し、抽出および分析プロセスを開始します。詳細については、Detective ユーザーガイドHow Detective uses source data to populate a behavior graph を参照してください。

Detective が動作グラフのデータ量のクォータを適用する方法

Detective には、各動作グラフで許可されるデータの量に関する厳密なクォータがあります。データ量は、Detective の動作グラフにフローする 1 日あたりのデータ量です。

管理者アカウントが Detective を有効にし、メンバーアカウントが動作グラフにデータを提供するための招待を承諾すると、Detective はこれらのクォータを適用します。

  • 管理者アカウントのデータ量が 1 日あたり 10 TB を超える場合、管理者アカウントは Detective を有効にできません。

  • メンバーアカウントからデータ量が追加されることにより、動作グラフが 1 日あたり 10 TB を超えることになる場合、メンバーアカウントを有効にすることはできません。

動作グラフのデータ量は、時間が経過するにつれて自然に増加することもあります。Detective は、クォータを超えることのないよう、動作グラフのデータ量を毎日チェックします。

動作グラフのデータ量がクォータに近づいている場合、Detective はコンソールに警告メッセージを表示します。クォータを超えないように、メンバーアカウントを削除できます。

動作グラフのデータ量が 1 日あたり 10 TB を超える場合、動作グラフに新しいメンバーアカウントを追加することはできません。

動作グラフのデータ量が 1 日あたり 15 TB を超える場合、Detective は動作グラフへのデータの取り込みを停止します。1 日あたり 15 TB のクォータは、通常のデータ量とデータ量のスパイクの両方を反映しています。このクォータに達すると、新しいデータは動作グラフに取り込まれませんが、既存のデータは削除されません。引き続きその履歴データを調査に使用することはできます。コンソールには、動作グラフのデータ取り込みが一時停止されていることを示すメッセージが表示されます。

データの取り込みが一時停止されている場合は、AWS Support を使用してデータを再度有効にする必要があります。可能であれば、AWS Support に問い合わせる前に、メンバーアカウントを削除して、データ量がクォータを下回るように試みてください。これにより、動作グラフのデータ取り込みを再度有効にすることが容易になります。