翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Detective とは
Amazon Detective を使用すると、セキュリティに関する検出結果や疑わしいアクティビティの根本原因を分析、調査、および迅速に特定できます。Detective は、AWSリソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。Detective の事前に作成されたデータの集計、要約、およびコンテキストは、考えられるセキュリティ問題の性質と範囲を迅速に分析および特定するのに役立ちます。
Detective を使用すると、最長 1 年間の履歴イベントデータにアクセスできるようになりました。このデータは、選択した時間枠でのアクティビティのタイプと量の変化を示す一連のビジュアライゼーションによって表示されます。Detective は、このような変化を GuardDuty の検出結果にリンクします。Detective のソースデータの詳細については、「[Detective 動作グラフで使用されるソースデータ](detective-source-data-about.md)」を参照してください。
Amazon Detective では、データを自動的に集約し、ビジュアルツールを提供することで、セキュリティ調査をより迅速かつ効率的に実行できます。潜在的な問題をすばやく分析し、セキュリティ脅威の範囲を特定できます。
**Topics**
+ [Amazon Detective の機能](#detective-features)
+ [Amazon Detective へのアクセス](#accessing-detective)
+ [Amazon Detective の料金](#detective-pricing)
+ [Detective の仕組み](#detective-how-works)
+ [どのようなユーザーが Detective を使用しますか?](#detective-who-uses)
+ [関連サービス](#detective-related-services)
## Amazon Detective の機能
Amazon Detective がAWS環境内の疑わしいアクティビティを調査し、リソースを分析してセキュリティ問題の根本原因を特定するのに役立つ主な方法をいくつか紹介します。
**検出結果グループ**
[検出結果グループ](https://docs.aws.amazon.com//detective/latest/userguide/groups-about.html)を使用すると、潜在的なセキュリティイベントに関連する複数のアクティビティを調べることができます。検出結果グループを使用することで、重要度が高い GuardDuty からの検出結果の根本原因を分析できます。脅威アクターがAWS環境を侵害しようとしている場合、通常、複数のセキュリティ検出結果と異常な動作を生成する一連のアクションを実行します。
Detective の検出結果グループページには、動作グラフから抽出された関連するすべての検出結果グループが表示されます。検出結果グループを活用してセキュリティ検出結果の根本原因を分析する方法の詳細については、[Detective の検出結果グループの分析](https://docs.aws.amazon.com//detective/latest/userguide/understanding-groups.html)を参照してください。
Detective は、各検出結果グループをインタラクティブに視覚化して、セキュリティ問題をより迅速かつ徹底的に調査できるようにします。視覚化は、セキュリティインシデントに関連するエンティティと検出結果を表示するように設計されているため、接続と根本原因の理解が容易です。 は、より少ない労力で問題を迅速かつ徹底的に調査するのに役立ちます。[検出結果グループの視覚化](https://docs.aws.amazon.com//detective/latest/userguide/group-visual-finding-group.html)パネルには、検出結果グループに関連する検出結果とエンティティが表示されます。
**検出結果をトリアージするための検出調査**
[Detective Investigation](https://docs.aws.amazon.com//detective/latest/userguide/investigations-about.html) を使用すると、侵害の兆候を使用して IAM ユーザーと IAM ロールを調査できます。これにより、リソースがセキュリティインシデントに関与しているかどうかを判断できます。侵害のインジケータ (IOC) とは、ネットワーク、システム、または環境内で観察され、悪意のあるアクティビティまたはセキュリティインシデントを (高い信頼性レベルで) 特定できるアーティファクトです。Detective の調査を使用すると、効率を最大化し、セキュリティの脅威に集中し、インシデント対応機能を強化できます。
Detective Investigation は、機械学習モデルと脅威インテリジェンスを使用して、最も重要で疑わしい問題のみを明らかにするため、高レベルの調査に集中できます。AWS環境内のリソースを自動的に分析して、侵害や疑わしいアクティビティの潜在的な指標を特定します。これにより、パターンを特定し、セキュリティイベントによって影響を受けるリソースを理解し、脅威の特定と軽減にプロアクティブなアプローチを提供できます。
Detective 調査を実行することで[、Detective コンソールから Detective 調査](https://docs.aws.amazon.com/)を開始できます。調査をプログラムで実行するには、Detective API の [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html) オペレーションを使用します。AWS Command Line Interface(AWS CLI) を使用して調査を実行するには、[start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html) コマンドを実行します。
**Detective と Amazon Security Lake の統合**
[Detective は Amazon Security Lake と統合](https://docs.aws.amazon.com//detective/latest/userguide/securitylake-integration.html)されています。つまり、Security Lake に保存されている raw ログデータをクエリして取得できます。この統合により、Security Lake がネイティブにサポートする次のソースからログとイベントを収集できます。
+ AWS CloudTrail管理イベントバージョン 1.0 以降
+ Amazon Virtual Private Cloud (Amazon VPC) フローログバージョン 1.0 以降
+ Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログバージョン 2.0
Detective を Security Lake と統合すると、Detective はAWS CloudTrail管理イベントと Amazon VPC フローログに関連する raw ログを Security Lake から取得し始めます。[raw ログをクエリ](https://docs.aws.amazon.com//detective/latest/userguide/securitylake-integration.html#query-raw-logs-detective)して、Detective のログとイベントを表示できます。
**VPC フローボリュームの調査**
Detective を使用すると、Amazon Elastic Compute [Cloud (Amazon EC2) インスタンスと Kubernetes ポッドの Virtual Private Cloud (VPC) ネットワークフローのアクティビティの詳細](https://docs.aws.amazon.com//detective/latest/userguide/profile-panel-drilldown-overall-vpc-volume.html)をインタラクティブに調べることができます。Amazon EC2 Detective は、モニタリング対象アカウントから VPC フローログを自動的に収集し、EC2 インスタンス別に集約して、これらのネットワークフローに関する視覚的な概要と分析を表示します。
EC2 インスタンスについては、[Overall VPC flow volume] (全体的な VPC のフロー量) のアクティビティの詳細には、選択した時間範囲中の EC2 インスタンスと IP アドレス間のインタラクションが表示されます。
Kubernetes ポッドの場合、[全体的な VPC フロー量] には、すべての送信先 IP アドレスについて、Kubernetes ポッドによって割り当てられた IP アドレスに出入りするバイト総数が表示されます。
## Amazon Detective へのアクセス
Amazon Detective はほとんどの で利用できますAWS リージョン。Detective が現在利用可能なリージョンのリストについては、の[「Amazon Detective エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/detective.html)」を参照してください*AWS 全般のリファレンス*。の 管理AWS リージョンの詳細についてはAWS アカウント、「 *AWS アカウント管理リファレンスガイド*[」のAWS リージョン「アカウントで使用できる の指定](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。
各リージョンでは、次のいずれかの方法で Detective を使用できます。
**AWS マネジメントコンソール**
AWS マネジメントコンソールは、 リソースの作成と管理AWSに使用できるブラウザベースのインターフェイスです。このコンソールの一部として、Amazon Detective コンソールは Detective アカウント、データ、リソースへのアクセスを提供します。Detective コンソールを使用して任意の Detective タスクを実行できます。潜在的なセキュリティ脅威を確認し、セキュリティ検出結果の根本原因を分析、調査、特定します。
**AWSコマンドラインツール**
AWSコマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行して、Detective タスクとAWSタスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。
AWSには、AWS Command Line Interface(AWS CLI) と の 2 セットのコマンドラインツールが用意されていますAWS Tools for PowerShell。のインストールと使用の詳細についてはAWS CLI、 [AWS Command Line Interfaceユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)を参照してください。Tools for PowerShell のインストールおよび使用の方法については、[AWS Tools for PowerShellユーザーガイド](https://docs.aws.amazon.com//powershell/latest/userguide/pstools-welcome.html)を参照してください。
**AWS SDK**
AWSはSDKs を提供します。SDKsは、Detective などへの便利でプログラムによるアクセスを提供しますAWS のサービス。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。AWS SDKs」を参照してください。 [AWS](https://aws.amazon.com//developer/tools/)
**Amazon Detective REST API**
Amazon Detective REST API は、Detective アカウント、データ、リソースへの包括的でプログラムによるアクセスを提供します。この API を使用すると、HTTPS リクエストを Detective に直接送信できます。ただし、AWSコマンドラインツールや SDKs とは異なり、この API を使用するには、アプリケーションがリクエストに署名するためのハッシュの生成などの低レベルの詳細を処理する必要があります。この API の詳細については、[Detective API リファレンス](https://docs.aws.amazon.com/detective/latest/APIReference/welcome.html)を参照してください。
## Amazon Detective の料金
他のAWS製品と同様に、Amazon Detective を使用するための契約や最低契約金はありません。
Detective の料金は複数のディメンションに基づいており、ソースに関係なく、すべてのデータに対して GB あたりの階層型定額料金が課金されます。詳細については、[「Amazon Detective の料金](https://aws.amazon.com/detective/pricing/)」を参照してください。
Detective の使用コストを理解して予測できるように、Detective はアカウントの推定使用コストを提供します。[これらの見積もりは、Amazon Detective コンソールで確認し](tracking-usage-logging.md)、Amazon Detective API を使用してアクセスできます。サービスの使用方法によっては、Security Lake 統合や Detective Investigations などの特定の Detective 機能とAWS のサービス他の を組み合わせて使用すると、追加コストが発生する場合があります。
Detective を初めて有効にすると、AWS アカウントは Detective の 30 日間の無料トライアルに自動的に登録されます。これには、AWS Organizationsで組織の一部として有効化されている個別のアカウントが含まれます。無料トライアル期間中は、該当する で Detective を使用しても料金はかかりませんAWS リージョン。
無料トライアル終了後の Detective の使用コストを理解して予測できるように、Detective はトライアル中の Detective の使用に基づいて推定使用コストを提供します。使用状況データには、無料トライアルが終了するまでの残り時間も示されます。Amazon [Detective コンソールで Detective アカウントの使用状況関連データを確認し](https://docs.aws.amazon.com//detective/latest/userguide/tracking-usage-logging.html)、Amazon Detective API を使用してアクセスできます。
## Detective の仕組み
Detective は、ログイン試行、API コール、ネットワークトラフィックなどの時間ベースのイベントを および Amazon VPC フローログから自動的に抽出AWS CloudTrailします。また、GuardDuty によって検出された結果も取り込みます。
これらのイベントから、Detective は機械学習とビジュアライゼーションを使用して、リソースの動作と時間の経過に伴うそれらの間のインタラクションに関するインタラクティブな統合ビューを作成します。この動作グラフを詳しく確認して、失敗したログオン試行や疑わしい API コールなどのさまざまなアクションを調べることができます。これらのアクションがアカウントAWSや Amazon EC2 インスタンスなどのリソースにどのように影響するかを確認することもできます。さまざまなタスクの動作グラフのスコープとタイムラインを調整できます。
+ 基準外のアクティビティを迅速に調査します。
+ セキュリティの問題を示している可能性のあるパターンを特定します。
+ 検出結果の影響を受けるすべてのリソースを理解します。
Detective に合わせたビジュアライゼーションは、アカウント情報のベースラインと概要を提供します。これらの検出結果は、「これはこのロールに対する異常な API コールですか?」などの質問に回答するのに役立ちます。あるいは、「このインスタンスからのトラフィックのこのスパイクは予想されるものですか?」という質問の回答にも役立ちます。
Detective を使用すると、データを整理したり、独自のクエリやアルゴリズムを開発、設定、調整したりする必要はありません。前払い費用はなく、分析されたイベントの料金のみをお支払いいただきます。追加のソフトウェアをデプロイしたり、他のフィードをサブスクライブしたりする必要はありません。
## どのようなユーザーが Detective を使用しますか?
アカウントで Detective を有効にすると、そのアカウントが動作グラフの管理者アカウントになります。動作グラフは、1 つ以上のAWSアカウントから抽出および分析されたデータのリンクされたセットです。管理者アカウントは、メンバーアカウントを招待して、管理者アカウントの動作グラフにデータを提供します。
Detective も と統合されていますAWS Organizations。組織管理アカウントが組織の Detective 管理者アカウントを指定します。Detective 管理者アカウントは、組織動作グラフのメンバーアカウントとして組織アカウントを有効にします。
Detective が動作グラフアカウントのソースデータをどのように使用するかについては、[Detective 動作グラフで使用されるソースデータ](detective-source-data-about.md) を参照してください。
管理者アカウントが動作グラフを管理する方法については、[Detective でのアカウントの管理](accounts.md) を参照してください。メンバーアカウントが動作グラフの招待とメンバーシップを管理する方法については、[メンバーアカウント: 動作グラフの招待とメンバーシップの管理](member-account-graph-management.md) を参照してください。
管理者アカウントは、動作グラフから生成された分析と視覚化を使用して、AWSリソースと GuardDuty の検出結果を調査します。Detective と GuardDuty の統合を使用するとAWS Security Hub CSPM、これらのサービスの GuardDuty の検出結果から Detective コンソールに直接ピボットできます。
Detective の調査は、関係するAWSリソースに関連するアクティビティに焦点を当てています。Detective での調査プロセスの概要については、*Detective ユーザーガイド*の [How Amazon Detective is used for investigation](https://docs.aws.amazon.com/detective/latest/userguide/detective-investigation-about.html) を参照してください。
## 関連サービス
のデータ、ワークロード、アプリケーションをさらに保護するにはAWS、以下を Amazon Detective AWS のサービスと組み合わせて使用することを検討してください。
**AWS Security Hub CSPM**
AWS Security Hub CSPMは、AWSリソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らしてAWS環境をチェックするのに役立ちます。これは、複数のAWS のサービス(Detective を含む) およびサポートされているAWSパートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub CSPM は、セキュリティの傾向を分析し、AWS環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。
Security Hub CSPM の詳細については、[AWS Security Hub CSPM「 ユーザーガイド](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)」を参照してください。
**Amazon GuardDuty**
Amazon GuardDuty は、Amazon S3 AWS CloudTrailのデータイベントAWSログや CloudTrail 管理イベントログなど、特定のタイプのログを分析して処理するセキュリティモニタリングサービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードや機械学習を使用して、AWS環境内の予期しないアクティビティや、潜在的に不正なアクティビティや悪意のあるアクティビティを特定します。
GuardDuty の詳細については、[Amazon GuardDuty ユーザーガイド](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)を参照してください。
**Amazon Security Lake**
Amazon Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、AWS環境、SaaS プロバイダー、オンプレミスソース、クラウドソース、サードパーティーソースのセキュリティデータを、AWSアカウントに保存されている専用のデータレイクに自動的に一元化できます。Security Lake はセキュリティデータの分析に役立つため、組織全体のセキュリティ体制をより完全に把握できます。Security Lake を使用すると、ワークロード、アプリケーション、データの保護を強化することもできます。
Security Lake の詳細については、[「Amazon Security Lake ユーザーガイド](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)」を参照してください。Detective と Security Lake を併用する方法の詳細については、「」を参照してください[Amazon Security Lake との Amazon Detective 統合](securitylake-integration.md)。
その他のAWSセキュリティサービスの詳細については、[「 のセキュリティ、アイデンティティ、コンプライアンスAWS](https://aws.amazon.com//products/security/)」を参照してください。