Detective を有効にするための推奨事項 - Amazon Detective
GuardDuty および との推奨アライメント AWS Security Hub通知頻度の GuardDuty CloudWatch推奨更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective を有効にするための推奨事項

Detective を有効にする前に、以下の推奨事項に従うことを検討してください。

GuardDuty と に登録している場合は AWS Security Hub、アカウントをこれらのサービスの管理者アカウントとして設定することをお勧めします。管理者アカウントが 3 つのサービスすべてで同じである場合、次の統合ポイントはシームレスに機能します。

  • GuardDuty または Security Hub では、 GuardDuty 検出結果の詳細を表示するときに、検出結果の詳細から検出結果プロファイルにピボットできます。

  • Detective では、検出 GuardDuty 結果を調査するときに、その検出結果をアーカイブするオプションを選択できます。

GuardDuty と Security Hub の異なる管理者アカウントがある場合は、使用するサービスに基づいて管理者アカウントを調整することをお勧めします。

  • GuardDuty をより頻繁に使用する場合は、 GuardDuty 管理者アカウントを使用して Detective を有効にします。

    AWS Organizations を使用してアカウントを管理する場合は、 GuardDuty 管理者アカウントを組織の Detective 管理者アカウントとして指定します。

  • Security Hub をより頻繁に使用する場合は、Security Hub の管理者アカウントを使用して Detective を有効にします。

    Organizations を使用してアカウントを管理する場合は、Security Hub 管理者アカウントを組織の Detective 管理者アカウントとして指定します。

すべてのサービスで同じ管理者アカウントを使用できない場合は、Detective を有効にした後、オプションでクロスアカウントロールを作成できます。このロールは、管理者アカウントに他のアカウントへのアクセス権を付与します。

がこのタイプのロールをどのようにIAMサポートするかについては、 IAM ユーザーガイド「所有している別の AWS アカウントのIAMユーザーへのアクセスの提供」を参照してください。

では GuardDuty、ディテクターは、結果のその後の発生を報告するための Amazon CloudWatch 通知頻度で設定されます。これには Detective への通知の送信が含まれます。

デフォルトでは、頻度は 6 時間です。これは、検出結果が何回も繰り返し発生しても、新しい発生は最長で 6 時間後まで Detective に反映されないことを意味します。

Detective がこれらの更新を受け取るのにかかる時間を短縮するには、 GuardDuty 管理者アカウントがディテクターの設定を 15 分に変更することをお勧めします。設定を変更しても、 を使用するコストには影響しないことに注意してください GuardDuty。

通知頻度の設定については、「Amazon ユーザーガイド」の「Amazon CloudWatch イベントによる GuardDuty 検出結果のモニタリング」を参照してください。 GuardDuty