[全体的な API コール量] のアクティビティの詳細 - Amazon Detective
アクティビティの詳細 (ユーザー、ロール、アカウント、ロールセッション、EC2 インスタンス、S3 バケット) の内容アクティビティの詳細の内容 (IP アドレス)アクティビティの詳細のソートアクティビティの詳細のフィルタリングアクティビティの詳細の時間範囲の選択未処理のログのクエリ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

[全体的な API コール量] のアクティビティの詳細

[全体的な API コール量] のアクティビティの詳細は、選択した時間範囲中に発行された API コールを示します。

単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。

現在のスコープ時間のアクティビティの詳細を表示するには、[Display details for scope time] (スコープ時間の詳細を表示) を選択します。

なお、Detective は、2021 年 7 月 14 日から API コールのサービス名の保存および表示を開始しました。その日付は、プロファイルパネルのタイムラインで強調表示されます。その日付より前に発生するアクティビティについては、サービス名は [Unknown service] (不明なサービス) となります。

アクティビティの詳細 (ユーザー、ロール、アカウント、ロールセッション、EC2 インスタンス、S3 バケット) の内容

IAM ユーザー、IAM ロール、アカウント、ロールセッション、EC2 インスタンス、および S3 バケットについては、アクティビティの詳細には次の情報が含まれます。

  • 各タブは、選択した時間範囲中に発行された一連の API コールに関する情報を表示します。

    S3 バケットについては、情報は S3 バケットに対して実行された API コールを反映したものとなります。

    API コールは、それらを呼び出したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

  • 各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。[Observed IP addresses] (観察された IP アドレス) のタブには、各 IP アドレスの場所も表示されます。

  • 各エントリは、コールを実行したユーザーに関する情報を表示します。アカウントについては、アクティビティの詳細でユーザーまたはロールが識別されます。ロールについては、アクティビティの詳細でロールセッションが識別されます。ユーザーおよびロールセッションについては、アクティビティの詳細でアクセスキー識別子 (AKID) が識別されます。

    2021 年 7 月 14 日現在、アカウントプロファイルについては、アクティビティの詳細では、AKID ではなく、ユーザーまたはロールが表示されることに注意してください。ロールプロファイルについては、アクティビティの詳細には、AKID ではなくロールセッションが表示されます。2021 年 7 月 14 日より前に発生するアクティビティについては、発信者は [Unknown resource] (不明なリソース) としてリストされます。

アクティビティの詳細には、次のタブが含まれます。

[Observed IP addresses] (観察された IP アドレス)

API コールを発行するために使用される IP アドレスのリストが最初に表示されます。

各 IP アドレスを展開して、その IP アドレスから発行された API コールのリストを表示できます。API コールは、それらを呼び出したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

その後、各 API コールを展開して、その IP アドレスからの発信者のリストを表示できます。プロファイルに応じて、発信者は、ユーザー、ロール、ロールセッション、または AKID である場合があります。

[全体的な API コール量] パネルの [観察された IP アドレス] タブのビュー。エントリが展開され、IP アドレス、API コール、および AKID の階層が表示されます。API コールはサービス別にグループ化されます。
[API method by service] (サービス別の API メソッド)

発行された API コールのリストが最初に表示されます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

各 API メソッドを展開して、コールが発行された際の発行元となった IP アドレスのリストを表示できます。

その後、各 IP アドレスを展開して、その IP アドレスからその API コールを発行した AKID のリストを表示できます。

[全体的な API コール量] パネルの [サービス別の API メソッド] タブのビュー。エントリが展開され、API コール、IP アドレス、および AKID の階層が表示されます。API コールはサービス別にグループ化されます。
リソースまたはアクセスキー ID

API コールの発行に使用されたユーザー、ロール、ロールセッション、または AKID のリストが最初に表示されます。

各発信者を展開して、発信者が API コールを発行した際の発行元となった IP アドレスのリストを表示できます。

その後、各 IP アドレスを展開して、その IP アドレスからその発信者によって発行された API コールのリストを表示できます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

[全体的な API コール量] パネルの [リソース] タブのビュー。エントリが展開され、サービス別にグループ化された AKID、IP アドレス、および API コールの階層が表示されます。

アクティビティの詳細の内容 (IP アドレス)

IP アドレスについては、アクティビティの詳細には次の情報が含まれます。

  • 各タブは、選択した時間範囲中に発行された一連の API コールに関する情報を表示します。API コールは、コールを発行したサービス別にグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

  • 各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。

アクティビティの詳細には、次のタブが含まれます。

[リソース]

IP アドレスから API コールを発行したリソースのリストが最初に表示されます。

リストには、各リソースについて、リソース名、タイプ、および AWS アカウントが含まれます。

各リソースを展開して、リソースが IP アドレスから発行した API コールのリストを表示できます。API コールは、コールを発行したサービス別にグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

ある IP アドレスの [全体的な API コール量] プロファイルパネルにおけるアクティビティの詳細の [リソース] タブのビュー。
[API method by service] (サービス別の API メソッド)

発行された API コールのリストが最初に表示されます。API コールは、コールを発行したサービス別にグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

各 API コールを展開して、選択した期間中に IP アドレスから API コールを発行したリソースのリストを表示できます。

ある IP アドレスの [全体的な API コール量] プロファイルパネルにおけるアクティビティの詳細の [サービス別の API メソッド] タブのビュー。

アクティビティの詳細のソート

アクティビティの詳細はいずれかのリストの列でソートすることができます。

最初の列を使用してソートすると、最上位のリストのみがソートされます。下位レベルのリストは常に成功した API コールの数でソートされます。

アクティビティの詳細のフィルタリング

フィルタリングオプションを使用して、アクティビティの詳細に表示されるアクティビティの特定のサブセットまたは側面に焦点を当てることができます。

すべてのタブで、最初の列のいずれかの値でリストをフィルタリングできます。

フィルターを追加するには

  1. フィルターボックスを選択します。

  2. [Properties] (プロパティ) から、フィルタリングに使用するプロパティを選択します。

  3. フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。例えば、API メソッドでフィルタリングする場合、Instance でフィルタリングすると、結果には名前に Instance が含まれるすべての API 操作が含まれます。したがって、ListInstanceAssociationsUpdateInstanceInformation の両方が一致します。

    サービス名、API メソッド、および IP アドレスについては、値を指定するか、組み込みのフィルターを選択できます。

    [Common API substrings] (一般的な API サブストリング) については、ListCreateDelete などの操作のタイプを表すサブストリングを選択します。各 API メソッド名は、操作タイプで始まります。

    [CIDR patterns] (CIDR パターン) については、パブリック IP アドレス、プライベート IP アドレス、または特定の CIDR パターンに一致する IP アドレスのみを含めるように選択できます。

  4. ブール値オプション リソースまたはサービス : を含む または !: 含まない または API メソッドまたは IP アドレス = 等しいまたは !: フィルターの設定と等しくない を選択します。

    アクティビティ詳細フィルターに使用できるフィルターのリスト。

フィルターを削除するには、右上にある x アイコンを選択します。

すべてのフィルターをクリアするには、[Clear filter] (フィルターをクリア) を選択します。

アクティビティの詳細の時間範囲の選択

アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。

アクティビティの詳細の時間範囲を変更するには

  1. [編集] を選択します。

  2. [Edit time window] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。

    時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[Set to default scope time] (デフォルトのスコープ時間に設定) を選択します。

  3. [Update time window] (時間枠を更新) を選択します。

アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。

[全体的な API コール量] プロファイルパネルの強調表示された時間枠

未処理のログのクエリ

Amazon Security Lake と Amazon Detective の統合により、Security Lake に保存されている未処理のログデータを検索して取得できます。この統合の詳細については、「Amazon Security Lake との Amazon Detective 統合」を参照してください。

この統合を使用すると、Security Lake がネイティブにサポートしている以下のソースからログとイベントを収集およびクエリできます。

  • AWS CloudTrail 管理イベントバージョン 1.0 以降

  • Amazon Virtual Private Cloud (Amazon VPC) フローログバージョン 1.0 以降

  • Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログバージョン 2.0

注記

Detective で未処理のデータログのクエリを実行する場合、追加料金はかかりません。Amazon Athena を含む他の AWS のサービスの使用料は、引き続き公開料金で適用されます。

未処理のログのクエリを実行するには

  1. スコープ時間の詳細表示を選択します。

  2. ここで、[未処理のログをクエリ] を開始できます。

  3. [未処理のログのプレビュー] テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。

    [未処理のログをクエリ] テーブルで、[クエリリクエストをキャンセル][Amazon Athena で結果を表示][結果をダウンロード] (カンマ区切り値 (.csv) ファイル) を実行できます。

Detective にログが表示されるにもかかわらず、クエリで結果が返されない場合は、次の理由が考えられます。

  • 未処理のログは、Security Lake のログテーブルに表示される前に、Detective で利用できるようになる場合があります。後でもう一度お試しください。

  • Security Lake ログが欠落している可能性があります。長時間待った場合は、Security Lake でログが欠落していることを示しています。Security Lake 管理者に連絡して、問題を解決してください。