翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Detective 動作グラフのデータ
<a name="behavior-graph-data-about"></a>

Amazon Detective では、Detective の動作グラフのデータを使用して調査を実行します。このセクションでは、Detective の動作グラフで使用されるコアデータソースと、Detective がソースデータを使用してデータを入力する方法について説明します。

動作グラフは、1 つ以上のアマゾン ウェブ サービス (AWS) アカウントから取り込まれた Detective ソースデータから生成されたデータのリンクされたセットです。

動作グラフでは、ソースデータを使用して以下を実行します。
+ システム、ユーザー、およびそれらの間の時間の経過に伴うインタラクションの全体像を生成する
+ 特定のアクティビティのより詳細な分析を実行して、調査を実行するときに生じる疑問を解決するのをサポートする
+ 同じイベントまたはセキュリティ問題に関連している可能性のある検出結果の集まり、エンティティの集まり、証拠の集まりを相互に関連付ける。

動作グラフデータのすべての抽出、モデリング、および分析は、個々の動作グラフのコンテキスト内で行われることに注意してください。

各動作グラフには、1 つ以上のアカウントのデータが含まれています。アカウントが Detective を有効にすると、そのアカウントが動作グラフの管理者アカウントになり、動作グラフのメンバーアカウントを選択できます。動作グラフには、最大 1,200 個のメンバーアカウントを含めることができます。管理者アカウントが動作グラフのメンバーアカウントを管理する方法については、[「Detective でのアカウントの管理](https://docs.aws.amazon.com/detective/latest/userguide/accounts.html)」を参照してください。

**Topics**
+ [Detective が動作グラフに入力する方法](behavior-graph-population-about.md)
+ [新しい Detective 動作グラフのトレーニング期間](detective-data-training-period.md)
+ [動作グラフのデータ構造の概要](graph-data-structure-overview.md)
+ [Detective 動作グラフで使用されるソースデータ](detective-source-data-about.md)

# Detective が動作グラフに入力する方法
<a name="behavior-graph-population-about"></a>

調査の raw データを提供するために、Detective は、 AWS 環境全体のみならず、それを超えてデータを収集します。これには次のデータが含まれます。
+ Amazon Virtual Private Cloud (Amazon VPC) や などのログデータ AWS CloudTrail
+ Amazon GuardDuty からの検出結果
+ からの結果 AWS Security Hub CSPM

動作グラフで使用されるソースデータの詳細については、[「動作グラフで使用されるソースデータ](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html)」を参照してください。

## Detective によるソースデータの処理方法
<a name="source-data-use"></a>

新しいデータが提供されると、Detective は抽出と分析の組み合わせを使用して動作グラフにデータを入力します。

![\[Detective が受信するソースデータのフローを示す図。動作グラフにデータを入力するために使用されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/diagram_graph_ingest_analytics.png)


## Detective の抽出
<a name="extraction-about"></a>

抽出は、設定されたマッピングルールに基づきます。マッピングルールは、基本的に「ある特定のデータについては、常にある特定の方法でそのデータを使用して動作グラフデータを更新する」ためのものです。

例えば、受信した Detective ソースデータレコードに IP アドレスが含まれている場合があります。その場合、Detective はそのレコードに含まれている情報を使用して、新しい IP アドレスエンティティを作成するか、既存の IP アドレスエンティティを更新します。

## Detective の分析
<a name="analytics-about"></a>

分析は、データを分析してエンティティに関連付けられているアクティビティのインサイトを提供する、より複雑なアルゴリズムです。

例えば、あるタイプの Detective 分析では、アルゴリズムを実行して、アクティビティが発生する頻度を分析します。API コールを実行するエンティティの場合、アルゴリズムを実行することで、エンティティが通常使用しない API コールが検索されます。アルゴリズムでは、API コールの数の大幅なスパイクも検索されます。

分析インサイトは、アナリストの主要な質問に対する回答を提供することで調査をサポートし、検出結果およびエンティティプロファイルのパネルにデータを入力するために頻繁に使用されます。

# 新しい Detective 動作グラフのトレーニング期間
<a name="detective-data-training-period"></a>

検出結果の調査する 1 つの方法は、検出結果のスコープ時間中のアクティビティを、検出結果が検出される前に発生したアクティビティと比較することです。これまでに観察されていないアクティビティは、疑わしいアクティビティとして判断される可能性が高くなります。

Amazon Detective プロファイルの一部のパネルでは、検出前の期間に観察されなかったアクティビティが強調表示されます。いくつかのプロファイルパネルには、スコープ時間の 45 日前の平均アクティビティを示すベースライン値も表示されます。スコープ時間は、時間の経過に伴うエンティティのアクティビティの概要です。

より多くのデータが動作グラフに抽出されるにつれて、Detective では、組織内の正常なアクティビティと異常なアクティビティの状況をより正確に確認できます。

ただし、このより正確な状況を確認するには、Detective は少なくとも 2 週間分のデータにアクセスする必要があります。また、Detective 分析の成熟度は、動作グラフのアカウント数とともに高まります。

Detective をアクティブ化してから最初の 2 週間は、トレーニング期間とみなされます。この期間中、スコープ時間のアクティビティを以前のアクティビティと比較するプロファイルパネルには、Detective がトレーニング期間中であるというメッセージが表示されます。

トライアル期間中、Detective では、動作グラフにできるだけ多くのメンバーアカウントを追加することをお勧めします。これにより、Detective は、より大きいサイズのデータプールを利用できるようになり、組織の通常のアクティビティをより正確に把握できます。

# 動作グラフのデータ構造の概要
<a name="graph-data-structure-overview"></a>

動作グラフのデータ構造は、抽出および分析されたデータの構造を定義します。また、ソースデータを動作グラフにマッピングする方法も定義します。

## 動作グラフのデータ構造内の要素のタイプ
<a name="graph-data-structure-elements"></a>

動作グラフのデータ構造は、次の情報の要素で構成されています。

****エンティティ****  
エンティティは、Detective ソースデータから抽出された項目を表します。  
各エンティティにはタイプがあり、それが表すオブジェクトのタイプを識別します。エンティティタイプの例には、IP アドレス、Amazon EC2 インスタンス、 AWS ユーザーなどがあります。  
各エンティティについて、ソースデータはエンティティのプロパティを入力するためにも使用されます。プロパティ値は、ソースレコードから直接抽出されることもあれば、複数のレコードにまたがって集計される場合もあります。  
一部のプロパティは、単一のスカラー値または集計値で構成されます。例えば、EC2 インスタンスの場合、Detective はインスタンスのタイプと処理された合計バイト数を追跡します。  
時系列プロパティは、時間の経過に合わせてアクティビティを追跡します。例えば、EC2 インスタンスの場合、Detective は使用した一意のポートを時間の経過に合わせて追跡します。

****関係****  
関係は、個々のエンティティ間で発生するアクティビティを表します。また、関係は、Detective ソースデータから抽出されます。  
エンティティと同様に、関係にはタイプがあります。これは、関係するエンティティのタイプと接続の方向を識別します。関係タイプの例としては、EC2 インスタンスに接続する IP アドレスを挙げることができます。  
特定のインスタンスに接続する特定の IP アドレスなど、個々の関係ごとに、Detective は時間の経過に合わせてアクティビティの発生を追跡します。

## 動作グラフのデータ構造内のエンティティのタイプ
<a name="entity-types"></a>

動作グラフのデータ構造は、次を実行するエンティティと関係タイプで構成されます。
+ 使用されているサーバー、IP アドレス、ユーザーエージェントを追跡する
+ 使用されている AWS ユーザー、ロール、アカウントを追跡する
+ ご利用の AWS 環境で発生するネットワーク接続と承認を追跡する

動作グラフのデータ構造には、次のエンティティタイプが含まれます。

**AWS アカウント**  
AWS Detective ソースデータに存在する アカウント。  
各アカウントについて、Detective は次のいくつかの質問に対する回答を提供します。  
+ アカウントで使用されたことがある API コール
+ アカウントで使用されたことがあるユーザーエージェント
+ アカウントで使用されたことがある自律型システム組織 (ASO)
+ アカウントがアクティブになったことがある地理的場所

**AWS ロール**  
AWS Detective ソースデータに存在する ロール。  
ロールごとに、Detective はいくつかの質問に対する回答を提供します。  
+ ロールで使用されたことがある API コール
+ ロールで使用されたことがあるユーザーエージェント
+ ロールで使用されたことがある ASO
+ ロールがアクティブになったことがある地理的場所
+ このロールを引き受けたリソース
+ このロールを引き受けたロール
+ このロールが関係するロールセッション

**AWS ユーザー**  
AWS Detective ソースデータに存在する ユーザー。  
ユーザーごとに、Detective はいくつかの質問に対する回答を提供します。  
+ ユーザーが使用したことのある API コール
+ ユーザーが使用したことのあるユーザーエージェント
+ ユーザーがアクティブになったことがある地理的場所
+ このユーザーが引き受けたロール
+ このユーザーが関係するロールセッション

**フェデレーティッドユーザー**  
フェデレーティッドユーザーのインスタンス。フェデレーティッドユーザーの例には次が含まれます。  
+ Security Assertion Markup Language (SAML) を使用してログインするアイデンティティ
+ ウェブ ID フェデレーションを使用してログインするアイデンティティ
フェデレーティッドユーザーごとに、Detective は以下の質問に対する回答を提供します。  
+ フェデレーティッドユーザーが認証の際に使用したアイデンティティプロバイダー
+ フェデレーティッドユーザーのオーディエンス オーディエンスは、フェデレーティッドユーザーのウェブアイデンティティトークンをリクエストしたアプリケーションを識別します。
+ フェデレーティッドユーザーがアクティブになったことがある地理的場所
+ フェデレーティッドユーザーが使用したことのあるユーザーエージェント
+ フェデレーティッドユーザーが使用したことのある ASO
+ このフェデレーティッドユーザーが引き受けたロール
+ このフェデレーティッドユーザーが関係するロールセッション

**EC2 インスタンス**  
Detective ソースデータに存在する EC2 インスタンス。  
EC2 インスタンスごとに、Detective はいくつかの質問に対する回答を提供します。  
+ インスタンスと通信した IP アドレス
+ インスタンスとの通信に使用されたポート
+ インスタンスとの間で送受信されたデータの量
+ インスタンスを含む VPC
+ EC2 インスタンスで使用されたことがある API コール
+ EC2 インスタンスで使用されたことがあるユーザーエージェント
+ EC2 インスタンスで使用されたことがある ASO
+ EC2 インスタンスがアクティブになったことがある地理的場所
+ EC2 インスタンスが引き受けたことがあるロール

**ロールセッション**  
ロールを引き受けるリソースのインスタンス。各ロールセッションは、ロール識別子とセッション名で識別されます。  
ロールごとに、Detective はいくつかの質問に対する回答を提供します。  
+ このロールセッションで関係したリソース。つまり、引き受けられたロールとそのロールを引き受けたリソース。

  クロスアカウントのロールの引き受けの場合、Detective はロールを引き受けたリソースを識別できないことに注意してください。
+ ロールセッションが使用したことのある API コール
+ ロールセッションが使用したことのあるユーザーエージェント
+ ロールセッションが使用したことのある ASO
+ ロールセッションがアクティブになったことがある地理的場所
+ このロールセッションを開始したユーザーまたはロール
+ このロールセッションから開始されたロールセッション

**結果**  
Amazon GuardDuty によって検出された結果。Detective のソースデータに入力されます。  
検出結果ごとに、Detective は、検出結果のアクティビティについて、検出結果のタイプ、オリジン、および時間枠を追跡します。  
また、検出されたアクティビティに関係するロールや IP アドレスなど、検出結果に固有の情報も保存されます。

**IP アドレス**  
Detective ソースデータに存在する IP アドレス。  
IP アドレスごとに、Detective はいくつかの質問に対する回答を提供します。  
+ アドレスで使用されたことがある API コール
+ アドレスで使用されたことがあるポート
+ IP アドレスを使用したことがあるユーザーおよびユーザーエージェント
+ IP アドレスがアクティブになったことがある地理的場所
+ この IP アドレスが割り当てられ、通信している EC2 インスタンス

**S3 バケット**  
Detective ソースデータにある S3 バケット。  
S3 バケットごとに、Detective は以下の質問に対する回答を提供します。  
+ S3 バケットとインタラクションしたプリンシパル
+ S3 バケットに対して実行された API コール
+ プリンシパルが S3 バケットに対して API コールを実行した地理的場所
+ S3 バケットとのインタラクションに使用されたユーザーエージェント
+ S3 バケットとのインタラクションに使用された ASO
S3 バケットを削除してから、同じ名前の新しいバケットを作成できます。Detective は S3 バケット名を使用して S3 バケットを識別するため、これらを単一の S3 バケットエンティティとして扱います。エンティティプロファイルでは、[**Creation time**] (作成時刻) は最初の作成時刻です。[**Deletion time**] (削除時刻) は、最新の削除時刻です。  
すべての作成イベントおよび削除イベントを表示するには、作成時刻で開始し、削除時刻で終了するようにスコープ時間を設定します。[**Overall API call volume**] (全体的な API コールの量) のプロファイルパネルで、スコープ時間のアクティビティの詳細を表示します。API メソッドをフィルタリングして、`Create` メソッドと `Delete` メソッドを表示します。「[[全体的な API コール量] のアクティビティの詳細](profile-panel-drilldown-overall-api-volume.md)」を参照してください。

**User agent**  
Detective ソースデータに存在するユーザーエージェント。  
ユーザーエージェントごとに、Detective は以下のような質問に対する回答を提供します。  
+ ユーザーエージェントが使用したことのある API コール
+ ユーザーエージェントを使用したことがあるユーザーおよびロール
+ ユーザーエージェントを使用したことがある IP アドレス

**EKS クラスター**  
Detective ソースデータに存在する EKS クラスター。  
このエンティティタイプの詳細をすべて表示するには、オプションの EKS 監査ログデータソースを有効にする必要があります。詳細については、「[Detective のオプションデータソースの種類](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)」を参照してください。
EKS クラスターごとに、Detective は以下のような質問に対する回答を提供します。  
+ このクラスターではどのような Kubernetes API コールが実行されていますか?
+ このクラスターではどの Kubernetes ユーザーとサービスアカウント (サブジェクト) がアクティブですか?
+ このクラスターではどのコンテナが起動されていますか?
+ このクラスターのコンテナの起動にはどのようなイメージが使用されていますか?

**Kubernetes ポッド**  
Detective ソースデータに存在する Kubernetes ポッド。  
このエンティティタイプの詳細をすべて表示するには、オプションの EKS 監査ログデータソースを有効にする必要があります。詳細については、「[Detective のオプションデータソースの種類](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)」を参照してください。
ポッドごとに、Detective は以下のような質問に対する回答を提供します。  
+ このポッドのどのコンテナイメージが私のアカウントでよく使用されていますか?
+ このポッドに対し、どのようなアクティビティが指示されていますか?
+ このポッドではどのコンテナが実行されていますか?
+ このポッド内のコンテナのレジストリは、私のアカウントではよく使用されていますか?
+ ワークロードの他のポッドでは他にどのようなコンテナが実行されていますか?
+ このポッドには、ワークロードの他のポッドにはない異常なコンテナがありますか?

**コンテナイメージ**  
Detective ソースデータに存在するコンテナイメージ。  
このエンティティタイプの詳細をすべて表示するには、オプションの EKS 監査ログデータソースを有効にする必要があります。詳細については、「[Detective のオプションデータソースの種類](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)」を参照してください。
コンテナイメージごとに、Detective は以下のような質問に対する回答を提供します。  
+ 環境内の他のどのイメージがこのイメージと同じリポジトリまたはレジストリを共有していますか?
+ 私の環境ではこのイメージのコピーがいくつ実行されていますか?

**Kubernetes サブジェクト**  
Detective ソースデータに存在する Kubernetes サブジェクト。Kubernetes サブジェクトはユーザーまたはサービスアカウントです。  
このエンティティタイプの詳細をすべて表示するには、オプションの EKS 監査ログデータソースを有効にする必要があります。詳細については、「[Detective のオプションデータソースの種類](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html#source-data-types-optional)」を参照してください。
サブジェクトごとに、Detective は以下のような質問に対する回答を提供します。  
+ どの IAM プリンシパルがこのサブジェクトとして認証されていますか?
+ このサブジェクトにはどのような検出結果が関連付けられていますか?
+ サブジェクトはどの IP アドレスを使用していますか?

# Detective 動作グラフで使用されるソースデータ
<a name="detective-source-data-about"></a>

動作グラフにデータを入力するために、Amazon Detective は、動作グラフの管理者アカウントとメンバーアカウントのソースデータを使用します。

Detective を使用すると、最長 1 年間の履歴イベントデータにアクセスできるようになりました。このデータは、選択した時間枠でのアクティビティのタイプと量の変化を示す一連のビジュアライゼーションによって表示されます。Detective は、このような変化を GuardDuty の検出結果にリンクします。

![\[動作グラフがどのように管理者アカウントとメンバーアカウントのデータを使用し、動作グラフのデータ構造を使用するかを示す図。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/diagram_graph_structure_overview.png)


動作グラフのデータ構造の詳細については、*Detective ユーザーガイド*の [Overview of the behavior graph data structure](https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html) を参照してください。

## Detective のコアデータソースのタイプ
<a name="source-data-types"></a>

Detective は、これらのタイプの AWS ログからデータを取り込みます。
+ AWS CloudTrail ログ 
+ Amazon Virtual Private Cloud (Amazon VPC) Flow Logs 
  + Elastic Fabric Adapters によって生成された MAC レコードではなく、IPv4 レコードと IPv6 レコードの両方を取り込みます。
  + `log-status` フィールドの値が `OK`状態のときにログレコードを取り込みます。詳細については、「Amazon VPC ユーザーガイド」の[「フローログレコード](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields)」を参照してください。
  + これらの VPCs でのみ実行されている Amazon Elastic Compute Cloud インスタンスによって生成されたフローログを取り込みます。NAT ゲートウェイ、RDS インスタンス、Fargate クラスターなどの他のリソースは使用されません。
  + 受け入れられたトラフィックと拒否されたトラフィックの両方を取り込みます。
+ GuardDuty に登録されているアカウントについては、Detective は GuardDuty の検出結果も取り込みます。

Detective は、CloudTrail および VPC フローログの独立した重複ストリームを使用して、CloudTrail および VPC フローログイベントを消費します。これらのプロセスは、既存の CloudTrail および VPC フローログ設定に影響を与えたり、これらを使用したりすることはありません。また、これらのサービスのパフォーマンスに影響を与えたり、コストを増加させたりすることもありません。

## Detective のオプションデータソースのタイプ
<a name="source-data-types-optional"></a>

Detective は、Detective コアパッケージで提供されている 3 つのデータソースに加えて、オプションのソースパッケージを提供します (コアパッケージには、 AWS CloudTrail ログ、VPC フローログ、GuardDuty の検出結果が含まれます）。オプションのデータソースパッケージは、動作グラフに対し、いつでも起動または停止できます。

Detective では、リージョンごとに、コアソースパッケージとオプションソースパッケージの両方で 30 日間の無料トライアルが提供されています。

**注記**  
Detective は、各データソースパッケージから受信したすべてのデータを最大 1 年間保持します。

現在、以下のオプションソースパッケージをご利用いただけます。
+ **EKS 監査ログ**

  このオプションデータソースパッケージにより、Detective は環境内の EKS クラスターに関する詳細情報を取り込み、そのデータを動作グラフに追加できます。Detective は、ユーザーアクティビティを AWS CloudTrail 管理イベントと関連付け、ネットワークアクティビティを Amazon VPC フローログと関連付けます。これらのログを手動で有効化または保存する必要はありません。詳細については、「[Amazon EKS 監査ログ](source-data-types-EKS.md)」を参照してください。
+ **AWS セキュリティの検出結果**

  このオプションのデータソースパッケージを使用すると、Detective は Security Hub CSPM からデータを取り込んで、そのデータを動作グラフに追加できます。詳細については、「[**AWS セキュリティの検出結果**](source-data-types-asff.md)」を参照してください。

****オプションデータソースを起動したり停止したりするには、以下の手順を実行します。****

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションパネルで **[設定]** の **[全般]** を選択します。

1. **[オプションのソースパッケージ]** で **[更新]** を選択します。次に、有効にするデータソースを選択します。または、既に有効になっているデータソースのチェックボックスをオフにして **[更新]** を選択し、有効にするデータソースパッケージを変更します。

**注記**  
オプションのデータソースを停止して再起動すると、一部のエンティティプロファイルに表示されるデータにギャップが発生します。このギャップはコンソール画面に表示され、データソースが停止していた期間を表します。データソースを再起動しても、Detective がデータを遡及的に取り込むことはありません。

# Amazon EKS 監査ログ
<a name="source-data-types-EKS"></a>

Amazon EKS 監査ログは、Detective の動作グラフに追加できるオプションのデータソースパッケージです。利用可能なオプションのソースパッケージと、アカウントにおけるそのステータスは、コンソールの **[設定]** ページまたは Detective API を使って確認できます。

このデータソースには 30 日間の無料トライアルが用意されています。詳細については、「[オプションのデータソースの無料トライアル](free-trial-overview.md#free-trial-datasource)」を参照してください。

Amazon EKS 監査ログを有効にすると、Detective は Amazon EKS で作成されたリソースに関する詳細な情報を動作グラフに追加できるようになります。このデータソースは、EKS クラスター、Kubernetes ポッド、コンテナイメージ、Kubernetes サブジェクトの 4 つのエンティティタイプに関して提供される情報を強化するものです。

さらに、Amazon GuardDuty のデータソースとして EKS 監査ログを有効にしている場合は、GuardDuty から取得した Kubernetes の検出結果に関する詳細を確認できるようになります。GuardDuty でこのデータソースを有効にする方法の詳細については、「[Amazon GuardDuty における EKS Protection](https://docs.aws.amazon.com//guardduty/latest/ug/kubernetes-protection.html)」を参照してください。

**注記**  
このデータソースは、2022 年 7 月 26 日より後に作成された新しい動作グラフではデフォルトで有効になります。2022 年 7 月 26 日より前に作成された動作グラフでは、データソースを手動で有効にする必要があります。

****Amazon EKS 監査ログをオプションのデータソースとして追加または削除するには、以下の手順を実行します。****

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションパネルで **[設定]** の **[全般]** を選択します。

1. **[ソースパッケージ]** で **[EKS 監査ログ]** を選択することで、このデータソースを有効にします。既に有効になっている場合は、再選択すると、**EKS 監査ログ**が動作グラフに取り込まれなくなります。

# **AWS セキュリティの検出結果**
<a name="source-data-types-asff"></a>

**AWS セキュリティ検出結果は**、Detective 動作グラフに追加できるオプションのデータソースパッケージです。

利用可能なオプションのソースパッケージと、アカウントにおけるそのステータスは、コンソールの [設定] ページまたは Detective API を使って確認できます。

このデータソースには 30 日間の無料トライアルが用意されています。詳細については、「[オプションのデータソースの無料トライアル](free-trial-overview.md#free-trial-datasource)」を参照してください。

**AWS セキュリティ検出**結果を有効にすると、Detective は Security Hub によってアップストリームサービスから集約された Security Hub CSPM の検出結果を AWS セキュリティ形式 (ASFF) と呼ばれる標準検出結果形式で使用できるため、時間のかかるデータ変換作業が不要になります。その後、複数の製品から取り込まれた結果を相互に関連付けて、最も重要なものを優先します。

****オプションのデータソースとして AWS セキュリティ検出結果を追加または削除します。****
**注記**  
 AWS セキュリティ検出結果データソースは、2023 年 5 月 16 日以降に作成された新しい動作グラフに対してデフォルトで有効になっています。2023 年 5 月 16 日より前に作成された動作グラフでは、データソースを手動で有効にする必要があります。

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションパネルで **[設定]** の **[全般]** を選択します。

1. **ソースパッケージ**で、 AWS セキュリティ検出結果を選択して、このデータソースを有効にします。データソースが既に有効になっている場合は、再選択すると、AWS Security Finding Format (ASFF) の検出結果が動作グラフに取り込まれなくなります。

## 現在サポートされている検出結果
<a name="currently-supported-findings"></a>

Detective は、Amazon または が所有するサービスから Security Hub CSPM にすべての ASFF 検出結果を取り込みます AWS。
+ サポートされているサービス統合のリストを確認するには、「 AWS Security Hub ユーザーガイド」の[「利用可能な AWS サービス統合](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-internal-providers.html)」を参照してください。
+ サポートされているリソースのリストについては、「 AWS Security Hub ユーザーガイド」の「[リソース](https://docs.aws.amazon.com//securityhub/latest/userguide/asff-resources.html)」を参照してください。
+ AWS Compliance ステータスが に設定されておらず`FAILED`、クロスリージョン集約された検出結果は取り込まれません。

## Detective がソースデータを取り込み、保存する方法
<a name="source-data-storage"></a>

Detective を有効にすると、Detective は、動作グラフの管理者アカウントからソースデータの取り込みを開始します。メンバーアカウントが動作グラフに追加されると、Detective は、それらのメンバーアカウントからのデータの使用も開始します。

Detective のソースデータは、元のフィードの構造化されたバージョンと処理されたバージョンで構成されています。Detective の分析をサポートするため、Detective は、Detective のソースデータのコピーを保存します。

Detective の取り込みプロセスは、Detective のソースデータストアの Amazon Simple Storage Service (Amazon S3) バケットにデータをフィードします。新しいソースデータが到着すると、他の Detective コンポーネントがデータを取得し、抽出および分析プロセスを開始します。詳細については、*Detective ユーザーガイド*の [How Detective uses source data to populate a behavior graph](https://docs.aws.amazon.com/detective/latest/userguide/behavior-graph-population-about.html) を参照してください。

## Detective が動作グラフのデータ量のクォータを適用する方法
<a name="data-volume-enforcement"></a>

Detective には、各動作グラフで許可されるデータの量に関する厳密なクォータがあります。データ量は、Detective の動作グラフにフローする 1 日あたりのデータ量です。

管理者アカウントが Detective を有効にし、メンバーアカウントが動作グラフにデータを提供するための招待を承諾すると、Detective はこれらのクォータを適用します。
+ 管理者アカウントのデータ量が 1 日あたり 10 TB を超える場合、管理者アカウントは Detective を有効にできません。
+ メンバーアカウントからデータ量が追加されることにより、動作グラフが 1 日あたり 10 TB を超えることになる場合、メンバーアカウントを有効にすることはできません。

動作グラフのデータ量は、時間が経過するにつれて自然に増加することもあります。Detective は、クォータを超えることのないよう、動作グラフのデータ量を毎日チェックします。

動作グラフのデータ量がクォータに近づいている場合、Detective はコンソールに警告メッセージを表示します。クォータを超えないように、メンバーアカウントを削除できます。

動作グラフのデータ量が 1 日あたり 10 TB を超える場合、動作グラフに新しいメンバーアカウントを追加することはできません。

動作グラフのデータ量が 1 日あたり 15 TB を超える場合、Detective は動作グラフへのデータの取り込みを停止します。1 日あたり 15 TB のクォータは、通常のデータ量とデータ量のスパイクの両方を反映しています。このクォータに達すると、新しいデータは動作グラフに取り込まれませんが、既存のデータは削除されません。引き続きその履歴データを調査に使用することはできます。コンソールには、動作グラフのデータ取り込みが一時停止されていることを示すメッセージが表示されます。

データ取り込みが停止されている場合は、 サポート を使用して再度有効にする必要があります。可能であれば、 に連絡する前に サポート、メンバーアカウントを削除してデータボリュームをクォータ未満にしてください。これにより、動作グラフのデータ取り込みを再度有効にすることが容易になります。