Amazon Detective との統合
Amazon Detective は、経時的なリソースの動作方法や交信方法を示すデータを可視化することで、1 つ以上のアカウントの AWS セキュリティイベントを迅速に分析し、調査するのに役立ちます。Detective は、GuardDuty の検出結果の可視化を作成します。
Detective は、すべての検出結果タイプの検出結果の詳細を取り込み、検出結果に関連するさまざまなエンティティを調査するためにエンティティプロファイルへのアクセスを提供します。エンティティは AWS アカウント、アカウント内の AWS リソース、またはリソースと交信する IP アドレスである可能性があります。GuardDuty コンソールは、検出結果タイプに応じてエンティティ (AWS アカウント、IAM ロール、IAM ユーザー、IAM ロールセッション、ユーザーエージェント、フェデレーションユーザー、Amazon EC2 インスタンス、IP アドレス) から Amazon Detective へのピボットをサポートしています。
統合の有効化
GuardDuty で Amazon Detective を使用するには、まず Amazon Detective を有効にする必要があります。Detective を有効にする方法については、「Amazon Detective ユーザーガイド」の「Amazon Detective の開始方法」を参照してください。
GuardDuty と Detective の両方を有効にすると、統合は自動的に有効になります。有効にすると、Detective はすぐに GuardDuty の検出結果データを取り込みます。
注記
GuardDuty は、GuardDuty の検出結果エクスポート頻度に基づいて Detective に検出結果を送信します。デフォルトで、既存の検出結果の更新用のエクスポート頻度は 6 時間です。Detective が最新の更新検出結果を受信できるように、GuardDuty で Detective を使用する各リージョンで、エクスポート頻度を 15 分に変更することをお勧めします。詳細については、「ステップ 5 – 更新されたアクティブな検出結果をエクスポートする頻度を設定する」を参照してください。
GuardDuty の検出結果から Amazon Detective へのピボット
-
https://console.aws.amazon.com/guardduty/
コンソールにログインします。 -
検出結果テーブルから 1 つの検出結果を選択します。
-
検出結果詳細ペインで、[Investigate with Detective] (Detective で調査する) を選択します。
-
Amazon Detective で検出結果のアスペクトを選択します。これにより、その検出結果またはエンティティの Detective コンソールが開きます。
ピボットが正常に動作しない場合は、「Amazon Detective ユーザーガイド」の「ピボットのトラブルシューティング」を参照してください。
注記
Detective コンソールで GuardDuty の検出結果をアーカイブすると、その検出結果は GuardDuty コンソールでもアーカイブされます。
GuardDuty マルチアカウント環境との統合を使用します。
GuardDuty でマルチアカウント環境を管理している場合、アカウントの検出結果とエンティティの Detective データ可視化を表示するために、メンバーアカウントを Amazon Detective に追加する必要があります。
Detective の管理者アカウントと同じ GuardDuty 管理者アカウントを使用することをお勧めします。Detective でメンバーアカウントを追加する方法の詳細については、「Amazon Detective ユーザーガイド」の「アカウントの管理」を参照してください。
注記
Detective はリージョンレベルのサービスなので、Detective を有効にして、統合を使用したいリージョンごとにメンバーアカウントを追加する必要があります。
