Detective 調査の実行 - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective 調査の実行

[調査を実行] を使用して IAM ユーザーや IAM ロールなどのリソースを分析し、調査レポートを生成します。生成されたレポートには、侵害の可能性を示す異常な動作が詳述されています。

Console

Amazon Detective コンソールを使用して調査ページから Detective 調査を実行するには、次の手順に従います。

  1. AWS マネジメントコンソールにサインインします。その後、https://console.aws.amazon.com/detective/ で Detective コンソールを開きます。

  2. ナビゲーションペインで、[調査] を選択します。

  3. 調査ページで、右上隅にある調査の実行を選択します。

  4. リソースの選択セクションでは、調査を実行する 3 つの方法があります。Detective が推奨するリソースの調査を実行することを選択できます。特定のリソースに対して調査を実行できます。リソースは、Detective の [検索] ページからも調査できます。

    1. Choose a recommended resource – Detective は、検出結果と検出結果グループでのアクティビティに基づいてリソースを推奨します。Detective が推奨するリソースの調査を実行するには、推奨リソーステーブルで、調査するリソースを選択します。

      推奨リソーステーブルには、以下の詳細が示されます。

      • リソース ARN – AWS リソースの Amazon リソースネーム (ARN)。

      • 調査する理由 — リソースを調査する主な理由が表示されます。Detective がリソースの調査を推奨する理由は次のとおりです。

        • 過去 24 時間の重要度の高い検出結果にリソースが関与した場合。

        • 過去 7 日間に観察された検出結果グループにリソースが関与した場合。Detective の検出結果グループを使用すると、セキュリティイベントを引き起こす可能性がある複数のアクティビティを調査することができます。詳細については、「検出結果グループを分析する」を参照してください。

        • 過去 7 日間の検出結果にリソースが関与した場合。

      • 最新の検出結果 — 最新の検出結果が優先的にリストの上位に表示されます。

      • リソースタイプ — リソースのタイプを識別します。例えば、 AWS ユーザーまたは AWS ロールなどです。

    2. Specify an AWS role or user with an ARN – AWS ロールまたは AWS ユーザーを選択し、特定のリソースの調査を実行できます。

      特定のリソースタイプを調査するには、次の手順に従います。

      1. リソースタイプの選択ドロップダウンリストから、 AWS ロールまたは AWS ユーザーを選択します。

      2. IAM リソースのリソース ARN を入力します。リソース ARNs、IAM ユーザーガイドの「Amazon リソースネーム (ARNs」を参照してください。

    3. Find a resource to investigate from the Search page – Detective Search ページからすべての IAM リソースを検索できます。

      検索ページからリソースを調査するには、次の手順に従います。

      1. ナビゲーションペインで、[検索] を選択します。

      2. 検索ページで、IAM リソースを検索します。

      3. リソースのプロファイルページに移動し、そこから調査を実行します。

  5. 調査範囲時間セクションで、調査の範囲時間を選択して、選択したリソースのアクティビティを評価します。[開始日][開始時刻][終了日][終了時刻] を UTC 形式で選択します。選択した [時間範囲] ウィンドウは、最小 3 時間から最大 30 日の間で指定できます。

  6. [調査を実行] を選択します。

API

調査をプログラムで実行するには、Detective API の StartInvestigation オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用して調査を実行するには、start-investigation コマンドを実行します。

リクエストで、以下のパラメーターを使用して Detective で調査を実行します。

  • GraphArn — 動作グラフの Amazon リソースネーム (ARN) を指定します。

  • EntityArn — IAM ユーザーと IAM ロールの一意の Amazon リソースネーム (ARN) を指定します。

  • ScopeStartTime — オプションで、調査を開始するデータと時刻を指定します。値は UTC ISO8601 形式の文字列です。たとえば、 です 2021-08-18T16:35:56.284Z

  • ScopeEndTime — オプションで、調査を終了するデータと時刻を指定します。値は UTC ISO8601 形式の文字列です。たとえば、 です 2021-08-18T16:35:56.284Z

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

Detective の以下のページからも調査を実行できます。

  • Detective の IAM ユーザーまたは IAM ロールのプロフィールページ。

  • 検出結果グループのグラフ可視化ペイン。

  • 関係するリソースのアクション列。

  • 検出結果ページの IAM ユーザーまたは IAM ロール。

Detective がリソースの調査を実行すると、調査レポートが生成されます。レポートにアクセスするには、ナビゲーションペインから [調査] に移動します。