Amazon Detective とは

Amazon Detective を使用すると、セキュリティに関する検出結果や疑わしいアクティビティの根本原因を分析、調査、および迅速に特定できます。Detective は、 AWS リソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。Detective の事前に作成されたデータの集計、要約、およびコンテキストは、考えられるセキュリティ問題の性質と範囲を迅速に分析および特定するのに役立ちます。

Detective を使用すると、最長 1 年間の履歴イベントデータにアクセスできるようになりました。このデータは、選択した時間枠でのアクティビティのタイプと量の変化を示す一連のビジュアライゼーションによって表示されます。Detective は、これらの変更を GuardDuty 結果にリンクします。Detective のソースデータの詳細については、「動作グラフで使用されるソースデータ」を参照してください。

Amazon Detective では、データを自動的に集約し、ビジュアルツールを提供することで、セキュリティ調査を迅速かつ効率的に実行できます。潜在的な問題をすばやく分析し、セキュリティ上の脅威の範囲を特定できます。

Amazon Detective の機能

ここでは、Amazon Detective が AWS 環境内の疑わしいアクティビティを調査し、リソースを分析してセキュリティ問題の根本原因を特定するのに役立つ主な方法をいくつか紹介します。

検出結果グループ

検出結果グループを使用すると、潜在的なセキュリティイベントに関連する複数のアクティビティを調べることができます。検出 GuardDuty 結果グループを使用して、重要度の高い検出結果の根本原因を分析できます。脅威アクターが AWS 環境を侵害しようとすると、通常、複数のセキュリティ検出結果と異常な動作を生成する一連のアクションを実行します。

Detective の検出結果グループページには、動作グラフから抽出された関連するすべての検出結果グループが検出結果グループページに表示されます。さまざまなプリンシパルタイプ (IAM ユーザーや IAM ロールなど) の証拠を観察できます。一部の証拠タイプでは、[すべてのアカウント] について証拠を確認できます。

Detective は、各検出結果グループをインタラクティブに視覚化し、セキュリティ問題をより迅速かつ徹底的に調査するのに役立ちます。この視覚化は、セキュリティインシデントに関連するエンティティと検出結果を表示するように設計されているため、接続と根本原因を理解しやすくなります。 は、より少ない労力で問題を迅速かつ徹底的に調査するのに役立ちます。検出結果グループの [視覚化] パネルには、検出結果グループに含まれる検出結果とエンティティが表示されます。

検出結果の優先順位付けのための検出調査

Detective Investigation を使用すると、侵害の指標を使用して IAM ユーザーと IAM ロールを調査できます。これにより、リソースがセキュリティインシデントに関与しているかどうかを判断できます。侵害のインジケータ (IOC) とは、ネットワーク、システム、または環境内で観察され、悪意のあるアクティビティまたはセキュリティインシデントを (高い信頼性レベルで) 特定できるアーティファクトです。Detective の調査により、効率を最大化し、セキュリティの脅威に集中し、インシデント対応機能を強化できます。

Detective Investigation は、機械学習モデルと脅威インテリジェンスを使用して、最も重要で疑わしい問題のみを明らかにし、高レベルの調査に集中できるようにします。 AWS 環境内のリソースを自動的に分析して、侵害や疑わしいアクティビティの潜在的な指標を特定します。これにより、セキュリティイベントの影響を受けるリソースのパターンを特定し、理解できるため、脅威の特定と軽減にプロアクティブにアプローチできます。

Detective コンソールから Detective 調査を開始するには、Detective 調査 を実行します。プログラムで調査を実行するには、Detective API の StartInvestigationオペレーションを使用します。 AWS Command Line Interface （AWS CLI) を使用している場合は、start-investigation コマンドを実行します。

Detective と Amazon Security Lake の統合

Detective は Amazon Security Lake と統合されています。つまり、Security Lake に保存されている raw ログデータをクエリして取得できます。この統合により、Security Lake がネイティブにサポートする次のソースからログとイベントを収集できます。

• AWS CloudTrail 管理イベント

• Amazon Virtual Private Cloud (Amazon VPC) Flow Logs

Detective を Security Lake と統合すると、Detective は AWS CloudTrail 管理イベントと Amazon VPC フローログに関連する raw ログを Security Lake から取得し始めます。raw ログをクエリして、Detective のログとイベントを表示できます。

VPC フローボリュームの調査

Detective を使用すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと Kubernetes ポッドの Virtual Private Cloud (VPC) ネットワークフローのアクティビティの詳細をインタラクティブに調べることができます。Amazon EC2 Detective は、監視対象アカウントから VPC フローログを自動的に収集し、EC2 インスタンスごとに集約し、これらのネットワークフローに関する視覚的な概要と分析を表示します。

EC2 インスタンスについては、[Overall VPC flow volume] (全体的な VPC のフロー量) のアクティビティの詳細には、選択した時間範囲中の EC2 インスタンスと IP アドレス間のインタラクションが表示されます。

Kubernetes ポッドの場合、[全体的な VPC フロー量] には、すべての送信先 IP アドレスについて、Kubernetes ポッドによって割り当てられた IP アドレスに出入りするバイト総数が表示されます。

Amazon Detective へのアクセス

Amazon Detective はほとんどの で使用できます AWS リージョン。Detective が現在利用可能なリージョンのリストについては、「」の「Amazon Detective エンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。の 管理 AWS リージョン の詳細については AWS アカウント、「 AWS Account Management リファレンスガイド」の AWS リージョン 「アカウントで使用できる の指定」を参照してください。

各リージョンでは、次のいずれかの方法で Detective を使用できます。

AWS Management Console

AWS Management Console は、 リソースの作成と管理 AWS に使用できるブラウザベースのインターフェイスです。このコンソールの一部として、Amazon Detective コンソールは Detective アカウント、データ、リソースへのアクセスを提供します。Detective コンソールを使用して任意の Detective タスクを実行できます。潜在的なセキュリティ脅威を確認し、セキュリティ検出結果の根本原因を分析、調査、特定します。

AWS コマンドラインツール

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行して、Detective タスクと AWS タスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。

AWS には、 AWS Command Line Interface （AWS CLI) と の 2 セットのコマンドラインツールが用意されています AWS Tools for PowerShell。のインストールと使用については AWS CLI、「 AWS Command Line Interface ユーザーガイド」を参照してください。Tools for のインストールと使用の詳細については PowerShell、「 AWS Tools for PowerShell ユーザーガイド」を参照してください。

AWS SDK

AWS はSDKs を提供します。SDKs、Detective やその他の への便利なプログラムによるアクセスを提供します AWS のサービス。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。 AWS SDKsで構築するツール AWS」を参照してください。

Amazon Detective REST API

Amazon Detective REST API を使用すると、Detective アカウント、データ、リソースへの包括的なプログラムによるアクセスが可能になります。この API を使用すると、HTTPS リクエストを Detective に直接送信できます。ただし、 AWS コマンドラインツールや SDKsを使用するには、アプリケーションがリクエストに署名するハッシュの生成など、低レベルの詳細を処理する必要があります。この API の詳細については、「Detective API リファレンス」を参照してください。

Amazon Detective の料金

他の AWS 製品と同様に、Amazon Detective を使用するための契約や最低契約金はありません。

Detective の料金は複数のディメンションに基づいており、ソースに関係なく、すべてのデータに対して GB あたりの階層化された定額料金が課金されます。詳細については、「Amazon Detective の料金」を参照してください。

Detective の使用コストを理解して予測できるように、Detective はアカウントの推定使用コストを提供します。これらの見積もりは Amazon Detective コンソールで確認し、Amazon Detective API を使用してアクセスできます。サービスの使用方法によっては、Security Lake 統合や Detective 調査など、特定の Detective 機能 AWS のサービス と組み合わせて他の を使用するための追加コストが発生する場合があります。

Detective を初めて有効にすると、 AWS アカウント は Detective の 30 日間の無料トライアルに自動的に登録されます。これには、 AWS Organizationsで組織の一部として有効化されている個別のアカウントが含まれます。無料トライアル期間中は、該当する で Detective を使用するための料金はかかりません AWS リージョン。

無料トライアル終了後の Detective の使用コストを理解して予測できるように、Detective はトライアル中の Detective の使用に基づいて推定使用コストを提供します。使用状況データには、無料トライアルが終了するまでの残り時間も示されます。このデータは Amazon Detective コンソールで確認でき、Amazon Detective API を使用してアクセスできます。

Detective の仕組み

Detective は、ログイン試行、API コール、ネットワークトラフィックなどの時間ベースのイベントを および Amazon VPC フローログから自動的に抽出 AWS CloudTrail します。また、 によって検出された検出結果も取り込みます GuardDuty。

これらのイベントから、Detective は機械学習とビジュアライゼーションを使用して、リソースの動作と時間の経過に伴うそれらの間のインタラクションに関するインタラクティブな統合ビューを作成します。この動作グラフを詳しく確認して、失敗したログオン試行や疑わしい API コールなどのさまざまなアクションを調べることができます。これらのアクションがアカウント AWS や Amazon EC2 インスタンスなどのリソースにどのように影響するかも確認できます。さまざまなタスクの動作グラフのスコープとタイムラインを調整できます。

• 基準外のアクティビティを迅速に調査します。

• セキュリティの問題を示している可能性のあるパターンを特定します。

• 検出結果の影響を受けるすべてのリソースを理解します。

Detective に合わせたビジュアライゼーションは、アカウント情報のベースラインと概要を提供します。これらの検出結果は、「これはこのロールに対する異常な API コールですか?」などの質問に回答するのに役立ちます。あるいは、「このインスタンスからのトラフィックのこのスパイクは予想されるものですか?」という質問の回答にも役立ちます。

Detective を使用すると、データを整理したり、独自のクエリやアルゴリズムを開発、設定、調整したりする必要はありません。前払い費用はなく、分析されたイベントの料金のみをお支払いいただきます。追加のソフトウェアをデプロイしたり、他のフィードをサブスクライブしたりする必要はありません。

どのようなユーザーが Detective を使用しますか?

アカウントで Detective を有効にすると、そのアカウントが動作グラフの管理者アカウントになります。動作グラフは、1 つ以上の AWS アカウントから抽出および分析されたデータのリンクされたセットです。管理者アカウントは、メンバーアカウントを招待して、管理者アカウントの動作グラフにデータを提供します。

Detective は とも統合されています AWS Organizations。組織管理アカウントが組織の Detective 管理者アカウントを指定します。Detective 管理者アカウントは、組織動作グラフのメンバーアカウントとして組織アカウントを有効にします。

Detective が動作グラフアカウントのソースデータをどのように使用するかについては、動作グラフで使用されるソースデータ を参照してください。

管理者アカウントが動作グラフを管理する方法については、アカウントの管理 を参照してください。メンバーアカウントが動作グラフの招待とメンバーシップを管理する方法については、メンバーアカウント: 動作グラフの招待とメンバーシップの管理 を参照してください。

管理者アカウントは、動作グラフから生成された分析と視覚化を使用して、 AWS リソースと GuardDuty 検出結果を調査します。Detective と GuardDuty および の統合を使用すると AWS Security Hub、これらのサービス GuardDuty の結果から Detective コンソールに直接ピボットできます。

Detective の調査は、関係する AWS リソースに関連するアクティビティに焦点を当てています。Detective での調査プロセスの概要については、Detective ユーザーガイドの How Amazon Detective is used for investigation を参照してください。

関連サービス

のデータ、ワークロード、アプリケーションをさらに保護するには AWS、以下を Amazon Detective AWS のサービス と組み合わせて使用することを検討してください。

AWS Security Hub

AWS Security Hub は、 AWS リソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS のサービス (Detective を含む) およびサポートされている AWS パートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub は、セキュリティの傾向を分析し、 AWS 環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。

Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。

Amazon GuardDuty

Amazon GuardDuty は、Amazon S3 AWS CloudTrail のデータイベント AWS ログや CloudTrail 管理イベントログなど、特定のタイプのログを分析および処理するセキュリティモニタリングサービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードや機械学習を使用して、 AWS 環境内の予期しないアクティビティや、潜在的に不正なアクティビティや悪意のあるアクティビティを特定します。

の詳細については GuardDuty、「Amazon ユーザーガイド GuardDuty 」を参照してください。

Amazon Security Lake

Amazon Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、 AWS 環境、SaaS プロバイダー、オンプレミスソース、クラウドソース、およびサードパーティーソースのセキュリティデータを、 AWS アカウントに保存されている専用のデータレイクに自動的に一元化できます。Security Lake はセキュリティデータの分析に役立つため、組織全体のセキュリティ体制をより完全に把握できます。Security Lake を使用すると、ワークロード、アプリケーション、データの保護を強化することもできます。

Security Lake の詳細については、「Amazon Security Lake ユーザーガイド」を参照してください。Detective と Security Lake を一緒に使用する方法の詳細については、「」を参照してくださいAmazon Security Lake との統合。

その他の AWS セキュリティサービスの詳細については、「 のセキュリティ、アイデンティティ、コンプライアンス AWS」を参照してください。