翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Detective 動作グラフで使用されるソースデータ
動作グラフにデータを入力するために、Amazon Detective は、動作グラフの管理者アカウントとメンバーアカウントのソースデータを使用します。
Detective を使用すると、最長 1 年間の履歴イベントデータにアクセスできるようになりました。このデータは、選択した時間枠でのアクティビティのタイプと量の変化を示す一連のビジュアライゼーションによって表示されます。Detective は、このような変化を GuardDuty の検出結果にリンクします。
動作グラフのデータ構造の詳細については、Detective ユーザーガイドの Overview of the behavior graph data structure を参照してください。
Detective のコアデータソースのタイプ
Detective は、これらのタイプの AWS ログからデータを取り込みます。
-
AWS CloudTrail ログ
-
Amazon Virtual Private Cloud (Amazon VPC) Flow Logs
-
Elastic Fabric Adapters によって生成された MAC レコードではなく、IPv4 レコードと IPv6 レコードの両方を取り込みます。
-
log-statusフィールドの値がOK状態のときにログレコードを取り込みます。詳細については、「Amazon VPC ユーザーガイド」の「フローログレコード」を参照してください。 -
これらの VPCs でのみ実行されている Amazon Elastic Compute Cloud インスタンスによって生成されたフローログを取り込みます。NAT ゲートウェイ、RDS インスタンス、Fargate クラスターなどの他のリソースは使用されません。
-
受け入れられたトラフィックと拒否されたトラフィックの両方を取り込みます。
-
-
GuardDuty に登録されているアカウントについては、Detective は GuardDuty の検出結果も取り込みます。
Detective は、CloudTrail および VPC フローログの独立した重複ストリームを使用して、CloudTrail および VPC フローログイベントを消費します。これらのプロセスは、既存の CloudTrail および VPC フローログ設定に影響を与えたり、これらを使用したりすることはありません。また、これらのサービスのパフォーマンスに影響を与えたり、コストを増加させたりすることもありません。
Detective のオプションデータソースのタイプ
Detective は、Detective コアパッケージで提供されている 3 つのデータソースに加えて、オプションのソースパッケージを提供します (コアパッケージには、 AWS CloudTrail ログ、VPC フローログ、GuardDuty の検出結果が含まれます)。オプションのデータソースパッケージは、動作グラフに対し、いつでも起動または停止できます。
Detective では、リージョンごとに、コアソースパッケージとオプションソースパッケージの両方で 30 日間の無料トライアルが提供されています。
注記
Detective は、各データソースパッケージから受信したすべてのデータを最大 1 年間保持します。
現在、以下のオプションソースパッケージをご利用いただけます。
-
EKS 監査ログ
このオプションデータソースパッケージにより、Detective は環境内の EKS クラスターに関する詳細情報を取り込み、そのデータを動作グラフに追加できます。Detective は、ユーザーアクティビティを AWS CloudTrail 管理イベントと関連付け、ネットワークアクティビティを Amazon VPC フローログと関連付けます。これらのログを手動で有効化または保存する必要はありません。詳細については、「Amazon EKS 監査ログ」を参照してください。
-
AWS セキュリティの検出結果
このオプションのデータソースパッケージにより、Detective は Security Hub からデータを取り込み、そのデータを動作グラフに追加することができます。詳細については、「AWS セキュリティの検出結果」を参照してください。
オプションデータソースを起動したり停止したりするには、以下の手順を実行します。
-
https://console.aws.amazon.com/detective/
で Detective コンソールを開きます。 -
ナビゲーションパネルで [設定] の [全般] を選択します。
-
[オプションのソースパッケージ] で [更新] を選択します。次に、有効にするデータソースを選択します。または、既に有効になっているデータソースのチェックボックスをオフにして [更新] を選択し、有効にするデータソースパッケージを変更します。
注記
オプションのデータソースを停止して再起動すると、一部のエンティティプロファイルに表示されるデータにギャップが発生します。このギャップはコンソール画面に表示され、データソースが停止していた期間を表します。データソースを再起動しても、Detective がデータを遡及的に取り込むことはありません。
Detective がソースデータを取り込み、保存する方法
Detective を有効にすると、Detective は、動作グラフの管理者アカウントからソースデータの取り込みを開始します。メンバーアカウントが動作グラフに追加されると、Detective は、それらのメンバーアカウントからのデータの使用も開始します。
Detective のソースデータは、元のフィードの構造化されたバージョンと処理されたバージョンで構成されています。Detective の分析をサポートするため、Detective は、Detective のソースデータのコピーを保存します。
Detective の取り込みプロセスは、Detective のソースデータストアの Amazon Simple Storage Service (Amazon S3) バケットにデータをフィードします。新しいソースデータが到着すると、他の Detective コンポーネントがデータを取得し、抽出および分析プロセスを開始します。詳細については、Detective ユーザーガイドの How Detective uses source data to populate a behavior graph を参照してください。
Detective が動作グラフのデータ量のクォータを適用する方法
Detective には、各動作グラフで許可されるデータの量に関する厳密なクォータがあります。データ量は、Detective の動作グラフにフローする 1 日あたりのデータ量です。
管理者アカウントが Detective を有効にし、メンバーアカウントが動作グラフにデータを提供するための招待を承諾すると、Detective はこれらのクォータを適用します。
-
管理者アカウントのデータ量が 1 日あたり 10 TB を超える場合、管理者アカウントは Detective を有効にできません。
-
メンバーアカウントからデータ量が追加されることにより、動作グラフが 1 日あたり 10 TB を超えることになる場合、メンバーアカウントを有効にすることはできません。
動作グラフのデータ量は、時間が経過するにつれて自然に増加することもあります。Detective は、クォータを超えることのないよう、動作グラフのデータ量を毎日チェックします。
動作グラフのデータ量がクォータに近づいている場合、Detective はコンソールに警告メッセージを表示します。クォータを超えないように、メンバーアカウントを削除できます。
動作グラフのデータ量が 1 日あたり 10 TB を超える場合、動作グラフに新しいメンバーアカウントを追加することはできません。
動作グラフのデータ量が 1 日あたり 15 TB を超える場合、Detective は動作グラフへのデータの取り込みを停止します。1 日あたり 15 TB のクォータは、通常のデータ量とデータ量のスパイクの両方を反映しています。このクォータに達すると、新しいデータは動作グラフに取り込まれませんが、既存のデータは削除されません。引き続きその履歴データを調査に使用することはできます。コンソールには、動作グラフのデータ取り込みが一時停止されていることを示すメッセージが表示されます。
データ取り込みが停止されている場合は、 サポート を使用して再度有効にする必要があります。可能であれば、 に連絡する前に サポート、メンバーアカウントを削除してデータボリュームをクォータ未満にしてください。これにより、動作グラフのデータ取り込みを再度有効にすることが容易になります。
