Detective の概要ダッシュボードの使用 - Amazon Detective
調査新たに観察された位置情報過去 7 日間にアクティブだった検出結果グループAPI コール量が最も多いロールとユーザートラフィック量が最も多い EC2 インスタンス最も多くの Kubernetes ポッドが作成されたコンテナクラスター近似値の通知

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective の概要ダッシュボードの使用

Amazon Detective の 概要ダッシュボードを使用してエンティティを特定し、過去 24 時間のアクティビティの起源を調査します。Amazon Detective Summary ダッシュボードは、特定のタイプの異常なアクティビティに関連付けられているエンティティを識別するのに役立ちます。これは、調査のための出発点の 1 つとなり得ます。

概要ダッシュボードを表示するには、Detective ナビゲーションペインで概要を選択します概要ダッシュボードは、Detective コンソールを最初に開いたときにもデフォルトで表示されます。

概要ダッシュボードから、次の条件を満たすエンティティを特定できます。

  • Detective によって特定された潜在的なセキュリティイベントを示す調査

  • 新たに観察されたジオロケーションで発生したアクティビティに関係するエンティティ

  • API コール数が最多のエンティティ

  • トラフィック量が最大だった EC2 インスタンス

  • コンテナ数が最多のコンテナクラスター

概要ダッシュボードパネルから、選択したエンティティのプロファイルにピボットできます。

概要ダッシュボードを確認すると、スコープ時間を調整して、過去 365 日間の任意の 24 時間の時間枠のアクティビティを表示できます。[開始日時] を変更すると、[終了日時] が、選択した開始時刻から 24 時間後の日時に自動的に更新されます。

Detective を使用すると、最長 1 年間の履歴イベントデータにアクセスできるようになりました。このデータは、選択した時間枠でのアクティビティのタイプと量の変化を示す一連のビジュアライゼーションによって表示されます。Detective は、このような変化を GuardDuty の検出結果にリンクします。

Detective のソースデータの詳細については、「動作グラフで使用されるソースデータ」を参照してください。

調査

調査は、Detective によって特定された潜在的なセキュリティイベントを示します。調査パネルでは、重要な調査と、これに対応し、一定期間にセキュリティイベントの影響を受けた AWS ロールとユーザーを確認できます。調査では、侵害の兆候をグループ化して、 AWS リソースが悪意のある動作とその影響を示す可能性のある異常なアクティビティに関与しているかどうかを判断します。

[すべての調査を表示] を選択して検出結果を確認し、検出結果のグループとリソースの詳細をトリアージしてセキュリティ調査を加速させます。調査は、選択したスコープ時間に応じて表示されます。スコープ時間は、過去 365 日間の調査を 24 時間枠で表示するように調整できます。[重要な調査] に直接移動すると、詳細な調査レポートを確認できます。

疑わしいアクティビティがあると思われる AWS ロールまたはユーザーを特定した場合は、調査パネルからロールまたはユーザーに直接ピボットして、調査を続行できます。ロールまたはユーザーにピボットして [調査を実行] をクリックすると、調査レポートが生成されます。ロールまたはユーザーに対して調査を実行すると、そのロールまたはユーザーは [調査済み] タブに移動します。

新たに観察された位置情報

[新たに観察された位置情報] には、直近 24 時間のアクティビティの起点であったが、その前のベースライン期間には見られなかった地理的場所が示されます。

パネルには、最大 100 個のジオロケーションが含まれます。場所は地図上でマークされ、地図の下の表にリストされます。

表には、各ジオロケーションについて、直近 24 時間にそのジオロケーションから実行された API コールの失敗数と成功数が表示されます。

各ジオロケーションを展開して、そのジオロケーションから API コールを実行したユーザーとロールのリストを表示できます。各プリンシパルについて、表にはタイプと関連する AWS アカウントがリスト表示されます。

疑わしいと思われるユーザーまたはロールを特定した場合は、パネルからユーザーまたはロールのプロファイルに直接ピボットして、調査を続行できます。プロファイルにピボットするには、ユーザーまたはロールの識別子を選択します。

Detective は、MaxMind GeoIP データベースを使用してリクエストの場所を決定します。MaxMind は、国レベルでの非常に高精度なデータを報告しますが、精度は国や IP の種類などの要因によって異なります。MaxMind の詳細については、「MaxMind IP Geolocation」を参照してください。GeoIP データのいずれかが正しくないと思われる場合は、MaxMind Correct GeoIP2 Data で Maxmind に修正リクエストを送信できます。

過去 7 日間にアクティブだった検出結果グループ

[過去 7 日間にアクティブだった検出結果グループ] には、環境で一定期間内に発生した、Detective からの検出結果、エンティティ、証拠の相関性があるグループが表示されます。これらのグループにより、悪意のある動作を示す異常なアクティビティが明らかになります。概要ダッシュボードには、先週アクティブだった最も重要な検出結果を含むグループでソートされた最大 5 つのグループが表示されます。

詳細を確認するには、[戦術][アカウント][リソース][検出結果] の値を選択します。

検出結果グループは毎日生成されます。関心のある検出結果グループが見つかったら、タイトルを選択してグループプロファイルの詳細ビューに移動し、調査を進めることができます。

API コール量が最も多いロールとユーザー

[API コール量が最も多いロールとユーザー] には、直近 24 時間で行った API コール (呼び出し) 回数が最も多いユーザーとロールが表示されます。

パネルには、最大 100 個のユーザとロールを含めることができます。各ユーザーまたはロールについて、タイプ (ユーザーまたはロール) および関連するアカウントを表示できます。また、直近 24 時間にそのユーザーまたはロールによって発行された API コールの数を表示することもできます。

デフォルトでは、サービスリンクロールが表示されます。サービスにリンクされたロールは大量の AWS CloudTrail アクティビティを生成し、さらに調査するプリンシパルを置き換えることができます。サービスにリンクされたロールの表示をオフにすると、概要ダッシュボードビューからサービスにリンクされたロールを除外できます。

このパネルのデータを含むカンマ区切り値 (.csv) ファイルをエクスポートできます。

直近 7 日間の API コール量のタイムラインもあります。タイムラインは、API コール量がそのプリンシパルにとって異常であるかどうかを判断するのに役立ちます。

API コール量が疑わしいと思われるユーザーまたはロールを特定した場合は、パネルからユーザーまたはロールプロファイルに直接ピボットして、調査を続行できます。ユーザーまたはロールに関連付けられているアカウントのプロファイルを表示することもできます。プロファイルを表示するには、ユーザー、ロール、またはアカウント識別子を選択します。

トラフィック量が最も多い EC2 インスタンス

[トラフィック量が最多の EC2 インスタンス] には、直近 24 時間で合計トラフィック量が最多だった EC2 インスタンスが表示されます。

パネルには、最大 100 個の EC2 インスタンスを含めることができます。各 EC2 インスタンスについて、関連付けられたアカウントと、直近 24 時間のインバウンドバイト数、アウトバウンドバイト数、および合計バイト数を表示できます。

このパネルのデータを含んだカンマ区切り値 (CSV) ファイルをエクスポートできます。

直近 7 日間のインバウンドトラフィックとアウトバウンドトラフィックを示すタイムラインも表示できます。タイムラインは、トラフィックの量がその EC2 インスタンスにとって異常であるかどうかを判断するのに役立ちます。

トラフィック量が疑わしいと思われる EC2 インスタンスを特定した場合は、パネルから EC2 インスタンスプロファイルに直接移動して、調査を続行できます。EC2 インスタンスを所有するアカウントのプロファイルを表示することもできます。プロファイルを表示するには、EC2 インスタンスまたはアカウント識別子を選択します。

最も多くの Kubernetes ポッドが作成されたコンテナクラスター

[最も多くの Kubernetes ポッドが作成されたコンテナクラスター] には、過去 24 時間に最も多くのコンテナが実行されたクラスターが表示されます。

このパネルには、最大 100 個のクラスターが、関連する検出結果の多い順に表示されます。クラスターごとに、関連するアカウント、そのクラスター内の現在のコンテナ数、過去 24 時間にそのクラスターに関連付けられた検出結果の数を確認できます。このパネルのデータを含んだカンマ区切り値 (CSV) ファイルをエクスポートできます。

最近の検出結果を含むクラスターを特定した場合は、パネルからクラスタープロファイルに直接ピボットすることで、調査を続行できます。クラスターを所有するアカウントのプロファイルにピボットすることもできます。プロファイルにピボットするには、クラスター名またはアカウント識別子を選択します。

近似値の通知

[API コール量が最も多いロールとユーザー] および [トラフィック量が最多の EC2 インスタンス] で値の後にアスタリスク (*) が続く場合は、その値が近似値であることを意味します。実際の値は、表示された値以上です。

これは、Detective が各時間間隔の量を計算するために使用する方法が原因で発生します。[Summary] (概要) ページでは、時間間隔は 1 時間です。

各時間について、Detective は、最大の量を持つ 1,000 のユーザー、ロール、または EC2 インスタンスの合計量を計算します。残りのユーザー、ロール、または EC2 インスタンスのデータは除外されます。

リソースが上位 1,000 に含まれることもあれば含まれないこともある場合、そのリソースの計算量にはすべてのデータが含まれていない可能性があります。上位 1,000 に含まれていなかった時間間隔のデータは除外されます。

これは [Summary] (概要) ページにのみ適用されることに注意してください。ユーザー、ロール、または EC2 インスタンスのプロファイルは、正確な詳細を提供します。