動作グラフのデータ構造の概要 - Amazon Detective
動作グラフのデータ構造内の要素のタイプ動作グラフのデータ構造内のエンティティのタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

動作グラフのデータ構造の概要

動作グラフのデータ構造は、抽出および分析されたデータの構造を定義します。また、ソースデータを動作グラフにマッピングする方法も定義します。

動作グラフのデータ構造内の要素のタイプ

動作グラフのデータ構造は、次の情報の要素で構成されています。

エンティティ

エンティティは、Detective ソースデータから抽出された項目を表します。

各エンティティにはタイプがあり、それが表すオブジェクトのタイプを識別します。エンティティタイプの例には、IP アドレス、Amazon EC2 インスタンス、AWSユーザーなどがあります。

各エンティティについて、ソースデータはエンティティのプロパティを入力するためにも使用されます。プロパティ値は、ソースレコードから直接抽出されることもあれば、複数のレコードにまたがって集計される場合もあります。

一部のプロパティは、単一のスカラー値または集計値で構成されます。例えば、EC2 インスタンスの場合、Detective はインスタンスのタイプと処理された合計バイト数を追跡します。

時系列プロパティは、時間の経過に合わせてアクティビティを追跡します。例えば、EC2 インスタンスの場合、Detective は使用した一意のポートを時間の経過に合わせて追跡します。

関係

関係は、個々のエンティティ間で発生するアクティビティを表します。また、関係は、Detective ソースデータから抽出されます。

エンティティと同様に、関係にはタイプがあります。これは、関係するエンティティのタイプと接続の方向を識別します。関係タイプの例としては、EC2 インスタンスに接続する IP アドレスを挙げることができます。

特定のインスタンスに接続する特定の IP アドレスなど、個々の関係ごとに、Detective は時間の経過に合わせてアクティビティの発生を追跡します。

動作グラフのデータ構造内のエンティティのタイプ

動作グラフのデータ構造は、次を実行するエンティティと関係タイプで構成されます。

  • 使用されているサーバー、IP アドレス、ユーザーエージェントを追跡する

  • 使用されているAWSユーザー、ロール、アカウントを追跡する

  • ご利用のAWS環境で発生するネットワーク接続と承認を追跡する

動作グラフのデータ構造には、次のエンティティタイプが含まれます。

AWSアカウント

AWS Detective ソースデータに存在する アカウント。

各アカウントについて、Detective は次のいくつかの質問に対する回答を提供します。

  • アカウントで使用されたことがある API コール

  • アカウントで使用されたことがあるユーザーエージェント

  • アカウントで使用されたことがある自律型システム組織 (ASO)

  • アカウントがアクティブになったことがある地理的場所

AWSロール

AWS Detective ソースデータに存在する ロール。

ロールごとに、Detective はいくつかの質問に対する回答を提供します。

  • ロールで使用されたことがある API コール

  • ロールで使用されたことがあるユーザーエージェント

  • ロールで使用されたことがある ASO

  • ロールがアクティブになったことがある地理的場所

  • このロールを引き受けたリソース

  • このロールを引き受けたロール

  • このロールが関係するロールセッション

AWSユーザー

AWS Detective ソースデータに存在する ユーザー。

ユーザーごとに、Detective はいくつかの質問に対する回答を提供します。

  • ユーザーが使用したことのある API コール

  • ユーザーが使用したことのあるユーザーエージェント

  • ユーザーがアクティブになったことがある地理的場所

  • このユーザーが引き受けたロール

  • このユーザーが関係するロールセッション

フェデレーティッドユーザー

フェデレーティッドユーザーのインスタンス。フェデレーティッドユーザーの例には次が含まれます。

  • Security Assertion Markup Language (SAML) を使用してログインするアイデンティティ

  • ウェブ ID フェデレーションを使用してログインするアイデンティティ

フェデレーティッドユーザーごとに、Detective は以下の質問に対する回答を提供します。

  • フェデレーティッドユーザーが認証の際に使用したアイデンティティプロバイダー

  • フェデレーティッドユーザーのオーディエンス オーディエンスは、フェデレーティッドユーザーのウェブアイデンティティトークンをリクエストしたアプリケーションを識別します。

  • フェデレーティッドユーザーがアクティブになったことがある地理的場所

  • フェデレーティッドユーザーが使用したことのあるユーザーエージェント

  • フェデレーティッドユーザーが使用したことのある ASO

  • このフェデレーティッドユーザーが引き受けたロール

  • このフェデレーティッドユーザーが関係するロールセッション

EC2 インスタンス

Detective ソースデータに存在する EC2 インスタンス。

EC2 インスタンスごとに、Detective はいくつかの質問に対する回答を提供します。

  • インスタンスと通信した IP アドレス

  • インスタンスとの通信に使用されたポート

  • インスタンスとの間で送受信されたデータの量

  • インスタンスを含む VPC

  • EC2 インスタンスで使用されたことがある API コール

  • EC2 インスタンスで使用されたことがあるユーザーエージェント

  • EC2 インスタンスで使用されたことがある ASO

  • EC2 インスタンスがアクティブになったことがある地理的場所

  • EC2 インスタンスが引き受けたことがあるロール

ロールセッション

ロールを引き受けるリソースのインスタンス。各ロールセッションは、ロール識別子とセッション名で識別されます。

ロールごとに、Detective はいくつかの質問に対する回答を提供します。

  • このロールセッションで関係したリソース。つまり、引き受けられたロールとそのロールを引き受けたリソース。

    クロスアカウントのロールの引き受けの場合、Detective はロールを引き受けたリソースを識別できないことに注意してください。

  • ロールセッションが使用したことのある API コール

  • ロールセッションが使用したことのあるユーザーエージェント

  • ロールセッションが使用したことのある ASO

  • ロールセッションがアクティブになったことがある地理的場所

  • このロールセッションを開始したユーザーまたはロール

  • このロールセッションから開始されたロールセッション

結果

Amazon GuardDuty によって検出された結果。Detective のソースデータに入力されます。

検出結果ごとに、Detective は、検出結果のアクティビティについて、検出結果のタイプ、オリジン、および時間枠を追跡します。

また、検出されたアクティビティに関係するロールや IP アドレスなど、検出結果に固有の情報も保存されます。

IP アドレス

Detective ソースデータに存在する IP アドレス。

IP アドレスごとに、Detective はいくつかの質問に対する回答を提供します。

  • アドレスで使用されたことがある API コール

  • アドレスで使用されたことがあるポート

  • IP アドレスを使用したことがあるユーザーおよびユーザーエージェント

  • IP アドレスがアクティブになったことがある地理的場所

  • この IP アドレスが割り当てられ、通信している EC2 インスタンス

S3 バケット

Detective ソースデータにある S3 バケット。

S3 バケットごとに、Detective は以下の質問に対する回答を提供します。

  • S3 バケットとインタラクションしたプリンシパル

  • S3 バケットに対して実行された API コール

  • プリンシパルが S3 バケットに対して API コールを実行した地理的場所

  • S3 バケットとのインタラクションに使用されたユーザーエージェント

  • S3 バケットとのインタラクションに使用された ASO

S3 バケットを削除してから、同じ名前の新しいバケットを作成できます。Detective は S3 バケット名を使用して S3 バケットを識別するため、これらを単一の S3 バケットエンティティとして扱います。エンティティプロファイルでは、[Creation time] (作成時刻) は最初の作成時刻です。[Deletion time] (削除時刻) は、最新の削除時刻です。

すべての作成イベントおよび削除イベントを表示するには、作成時刻で開始し、削除時刻で終了するようにスコープ時間を設定します。[Overall API call volume] (全体的な API コールの量) のプロファイルパネルで、スコープ時間のアクティビティの詳細を表示します。API メソッドをフィルタリングして、Create メソッドと Delete メソッドを表示します。「[全体的な API コール量] のアクティビティの詳細」を参照してください。

User agent

Detective ソースデータに存在するユーザーエージェント。

ユーザーエージェントごとに、Detective は以下のような質問に対する回答を提供します。

  • ユーザーエージェントが使用したことのある API コール

  • ユーザーエージェントを使用したことがあるユーザーおよびロール

  • ユーザーエージェントを使用したことがある IP アドレス

EKS クラスター

Detective ソースデータに存在する EKS クラスター。

注記

このエンティティタイプの詳細をすべて表示するには、オプションの EKS 監査ログデータソースを有効にする必要があります。詳細については、「Detective のオプションデータソースの種類」を参照してください。

EKS クラスターごとに、Detective は以下のような質問に対する回答を提供します。

  • このクラスターではどのような Kubernetes API コールが実行されていますか?

  • このクラスターではどの Kubernetes ユーザーとサービスアカウント (サブジェクト) がアクティブですか?

  • このクラスターではどのコンテナが起動されていますか?

  • このクラスターのコンテナの起動にはどのようなイメージが使用されていますか?

Kubernetes ポッド

Detective ソースデータに存在する Kubernetes ポッド。

注記

このエンティティタイプの詳細をすべて表示するには、オプションの EKS 監査ログデータソースを有効にする必要があります。詳細については、「Detective のオプションデータソースの種類」を参照してください。

ポッドごとに、Detective は以下のような質問に対する回答を提供します。

  • このポッドのどのコンテナイメージが私のアカウントでよく使用されていますか?

  • このポッドに対し、どのようなアクティビティが指示されていますか?

  • このポッドではどのコンテナが実行されていますか?

  • このポッド内のコンテナのレジストリは、私のアカウントではよく使用されていますか?

  • ワークロードの他のポッドでは他にどのようなコンテナが実行されていますか?

  • このポッドには、ワークロードの他のポッドにはない異常なコンテナがありますか?

コンテナイメージ

Detective ソースデータに存在するコンテナイメージ。

注記

このエンティティタイプの詳細をすべて表示するには、オプションの EKS 監査ログデータソースを有効にする必要があります。詳細については、「Detective のオプションデータソースの種類」を参照してください。

コンテナイメージごとに、Detective は以下のような質問に対する回答を提供します。

  • 環境内の他のどのイメージがこのイメージと同じリポジトリまたはレジストリを共有していますか?

  • 私の環境ではこのイメージのコピーがいくつ実行されていますか?

Kubernetes サブジェクト

Detective ソースデータに存在する Kubernetes サブジェクト。Kubernetes サブジェクトはユーザーまたはサービスアカウントです。

注記

このエンティティタイプの詳細をすべて表示するには、オプションの EKS 監査ログデータソースを有効にする必要があります。詳細については、「Detective のオプションデータソースの種類」を参照してください。

サブジェクトごとに、Detective は以下のような質問に対する回答を提供します。

  • どの IAM プリンシパルがこのサブジェクトとして認証されていますか?

  • このサブジェクトにはどのような検出結果が関連付けられていますか?

  • サブジェクトはどの IP アドレスを使用していますか?