Amazon Detective とは

検出結果グループを使用すると、潜在的なセキュリティイベントに関連する複数のアクティビティを調べることができます。検出結果グループを使用することで、重要度が高い GuardDuty からの検出結果の根本原因を分析できます。脅威アクターがAWS環境を侵害しようとしている場合、通常、複数のセキュリティ検出結果と異常な動作を生成する一連のアクションを実行します。

Detective の検出結果グループページには、動作グラフから抽出された関連するすべての検出結果グループが表示されます。検出結果グループを活用してセキュリティ検出結果の根本原因を分析する方法の詳細については、Detective の検出結果グループの分析を参照してください。

Detective は、各検出結果グループをインタラクティブに視覚化して、セキュリティ問題をより迅速かつ徹底的に調査できるようにします。視覚化は、セキュリティインシデントに関連するエンティティと検出結果を表示するように設計されているため、接続と根本原因の理解が容易です。 は、より少ない労力で問題を迅速かつ徹底的に調査するのに役立ちます。検出結果グループの視覚化パネルには、検出結果グループに関連する検出結果とエンティティが表示されます。

Detective Investigation を使用すると、侵害の兆候を使用して IAM ユーザーと IAM ロールを調査できます。これにより、リソースがセキュリティインシデントに関与しているかどうかを判断できます。侵害のインジケータ (IOC) とは、ネットワーク、システム、または環境内で観察され、悪意のあるアクティビティまたはセキュリティインシデントを (高い信頼性レベルで) 特定できるアーティファクトです。Detective の調査を使用すると、効率を最大化し、セキュリティの脅威に集中し、インシデント対応機能を強化できます。

Detective Investigation は、機械学習モデルと脅威インテリジェンスを使用して、最も重要で疑わしい問題のみを明らかにするため、高レベルの調査に集中できます。AWS環境内のリソースを自動的に分析して、侵害や疑わしいアクティビティの潜在的な指標を特定します。これにより、パターンを特定し、セキュリティイベントによって影響を受けるリソースを理解し、脅威の特定と軽減にプロアクティブなアプローチを提供できます。

Detective 調査を実行することで、Detective コンソールから Detective 調査を開始できます。調査をプログラムで実行するには、Detective API の StartInvestigation オペレーションを使用します。AWS Command Line Interface(AWS CLI) を使用して調査を実行するには、start-investigation コマンドを実行します。

Detective は Amazon Security Lake と統合されています。つまり、Security Lake に保存されている raw ログデータをクエリして取得できます。この統合により、Security Lake がネイティブにサポートする次のソースからログとイベントを収集できます。

Detective を Security Lake と統合すると、Detective はAWS CloudTrail管理イベントと Amazon VPC フローログに関連する raw ログを Security Lake から取得し始めます。raw ログをクエリして、Detective のログとイベントを表示できます。

Detective を使用すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと Kubernetes ポッドの Virtual Private Cloud (VPC) ネットワークフローのアクティビティの詳細をインタラクティブに調べることができます。Amazon EC2 Detective は、モニタリング対象アカウントから VPC フローログを自動的に収集し、EC2 インスタンス別に集約して、これらのネットワークフローに関する視覚的な概要と分析を表示します。

EC2 インスタンスについては、[Overall VPC flow volume] (全体的な VPC のフロー量) のアクティビティの詳細には、選択した時間範囲中の EC2 インスタンスと IP アドレス間のインタラクションが表示されます。

Kubernetes ポッドの場合、[全体的な VPC フロー量] には、すべての送信先 IP アドレスについて、Kubernetes ポッドによって割り当てられた IP アドレスに出入りするバイト総数が表示されます。

AWS マネジメントコンソールは、 リソースの作成と管理AWSに使用できるブラウザベースのインターフェイスです。このコンソールの一部として、Amazon Detective コンソールは Detective アカウント、データ、リソースへのアクセスを提供します。Detective コンソールを使用して任意の Detective タスクを実行できます。潜在的なセキュリティ脅威を確認し、セキュリティ検出結果の根本原因を分析、調査、特定します。

AWSコマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行して、Detective タスクとAWSタスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。

AWSには、AWS Command Line Interface(AWS CLI) と の 2 セットのコマンドラインツールが用意されていますAWS Tools for PowerShell。のインストールと使用の詳細についてはAWS CLI、 AWS Command Line Interfaceユーザーガイドを参照してください。Tools for PowerShell のインストールおよび使用の方法については、AWS Tools for PowerShellユーザーガイドを参照してください。

AWSはSDKs を提供します。SDKsは、Detective などへの便利でプログラムによるアクセスを提供しますAWS のサービス。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。AWS SDKs」を参照してください。 AWS

Amazon Detective REST API は、Detective アカウント、データ、リソースへの包括的でプログラムによるアクセスを提供します。この API を使用すると、HTTPS リクエストを Detective に直接送信できます。ただし、AWSコマンドラインツールや SDKs とは異なり、この API を使用するには、アプリケーションがリクエストに署名するためのハッシュの生成などの低レベルの詳細を処理する必要があります。この API の詳細については、Detective API リファレンスを参照してください。

AWS Security Hub CSPMは、AWSリソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らしてAWS環境をチェックするのに役立ちます。これは、複数のAWS のサービス(Detective を含む) およびサポートされているAWSパートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub CSPM は、セキュリティの傾向を分析し、AWS環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。

Security Hub CSPM の詳細については、AWS Security Hub CSPM「 ユーザーガイド」を参照してください。

Amazon GuardDuty は、Amazon S3 AWS CloudTrailのデータイベントAWSログや CloudTrail 管理イベントログなど、特定のタイプのログを分析して処理するセキュリティモニタリングサービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードや機械学習を使用して、AWS環境内の予期しないアクティビティや、潜在的に不正なアクティビティや悪意のあるアクティビティを特定します。

GuardDuty の詳細については、Amazon GuardDuty ユーザーガイドを参照してください。

Amazon Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、AWS環境、SaaS プロバイダー、オンプレミスソース、クラウドソース、サードパーティーソースのセキュリティデータを、AWSアカウントに保存されている専用のデータレイクに自動的に一元化できます。Security Lake はセキュリティデータの分析に役立つため、組織全体のセキュリティ体制をより完全に把握できます。Security Lake を使用すると、ワークロード、アプリケーション、データの保護を強化することもできます。

Security Lake の詳細については、「Amazon Security Lake ユーザーガイド」を参照してください。Detective と Security Lake を併用する方法の詳細については、「」を参照してくださいAmazon Security Lake との Amazon Detective 統合。