Detective 動作グラフで使用されるソースデータ - Amazon Detective
Detective のコアデータソースのタイプDetective のオプションデータソースのタイプDetective がソースデータを取り込み、保存する方法Detective が動作グラフのデータ量のクォータを適用する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective 動作グラフで使用されるソースデータ

動作グラフにデータを入力するために、Amazon Detective は、動作グラフの管理者アカウントとメンバーアカウントのソースデータを使用します。

Detective を使用すると、最長 1 年間の履歴イベントデータにアクセスできるようになりました。このデータは、選択した時間枠でのアクティビティのタイプと量の変化を示す一連のビジュアライゼーションによって表示されます。Detective は、これらの変更を GuardDuty 結果にリンクします。

動作グラフがどのように管理者アカウントとメンバーアカウントのデータを使用し、動作グラフのデータ構造を使用するかを示す図。

動作グラフのデータ構造の詳細については、Detective ユーザーガイドOverview of the behavior graph data structure を参照してください。

Detective のコアデータソースのタイプ

Detective は、次のタイプの AWS ログからデータを取り込みます。

  • AWS CloudTrail ログ

  • Amazon Virtual Private Cloud (Amazon VPC) フローログ

    • IPv4 と の両方のIPv6レコードを取り込みますが、Elastic Fabric Adapters によって生成されたMACレコードは取り込みません。

    • log-status フィールドの値が OK状態にあるときにログレコードを取り込みます。詳細については、「Amazon ユーザーガイド」の「フローログレコードVPC」を参照してください。

    • これらVPCsでのみ実行されている Amazon Elastic Compute Cloud インスタンスによって生成されたフローログを取り込みます。NAT ゲートウェイ、RDSインスタンス、Fargate クラスターなどの他のリソースは使用されません。

    • 承認トラフィックと拒否トラフィックの両方を取り込みます。

  • に登録されているアカウントの場合 GuardDuty、Detective は GuardDuty 検出結果も取り込みます。

Detective は、 CloudTrail および VPC フローログの独立した重複ストリームを使用して、 CloudTrail および VPCフローログイベントを消費します。これらのプロセスは、既存の CloudTrail およびVPCフローログ設定に影響を与えたり使用したりしません。また、これらのサービスのパフォーマンスに影響を与えたり、コストを増加させたりすることもありません。

Detective のオプションデータソースのタイプ

Detective は、Detective コアパッケージ (コアパッケージには AWS CloudTrail ログ、VPCフローログ、検出 GuardDuty結果が含まれます) で提供される 3 つのデータソースに加えて、オプションのソースパッケージを提供します。オプションのデータソースパッケージは、動作グラフに対し、いつでも起動または停止できます。

Detective では、リージョンごとに、コアソースパッケージとオプションソースパッケージの両方で 30 日間の無料トライアルが提供されています。

注記

Detective は、各データソースパッケージから受信したすべてのデータを最大 1 年間保持します。

現在、以下のオプションソースパッケージをご利用いただけます。

  • EKS の監査ログ

    このオプションのデータソースパッケージを使用すると、Detective は環境内のEKSクラスターに関する詳細情報を取り込み、そのデータを動作グラフに追加できます。Detective は、これらのログを手動で有効化または保存することなく、ユーザーアクティビティAWS CloudTrail を管理イベントおよびネットワークアクティビティと Amazon VPC Flow Logs に関連付けます。詳細については、「Amazon EKS 監査ログ」を参照してください。

  • AWS セキュリティ検出結果

    このオプションのデータソースパッケージにより、Detective は Security Hub からデータを取り込み、そのデータを動作グラフに追加することができます。詳細については、「AWS セキュリティ検出結果」を参照してください。

オプションデータソースを起動したり停止したりするには、以下の手順を実行します。

  1. で Detective コンソールを開きますhttps://console.aws.amazon.com/detective/

  2. ナビゲーションパネルで [設定][全般] を選択します。

  3. [オプションのソースパッケージ][更新] を選択します。次に、有効にするデータソースを選択します。または、既に有効になっているデータソースのチェックボックスをオフにして [更新] を選択し、有効にするデータソースパッケージを変更します。

注記

オプションのデータソースを停止して再起動すると、一部のエンティティプロファイルに表示されるデータにギャップが発生します。このギャップはコンソール画面に表示され、データソースが停止していた期間を表します。データソースを再起動しても、Detective がデータを遡及的に取り込むことはありません。

Detective がソースデータを取り込み、保存する方法

Detective を有効にすると、Detective は、動作グラフの管理者アカウントからソースデータの取り込みを開始します。メンバーアカウントが動作グラフに追加されると、Detective は、それらのメンバーアカウントからのデータの使用も開始します。

Detective のソースデータは、元のフィードの構造化されたバージョンと処理されたバージョンで構成されています。Detective の分析をサポートするため、Detective は、Detective のソースデータのコピーを保存します。

Detective の取り込みプロセスは、Detective のソースデータストアの Amazon Simple Storage Service (Amazon S3) バケットにデータをフィードします。新しいソースデータが到着すると、他の Detective コンポーネントがデータを取得し、抽出および分析プロセスを開始します。詳細については、Detective ユーザーガイドHow Detective uses source data to populate a behavior graph を参照してください。

Detective が動作グラフのデータ量のクォータを適用する方法

Detective には、各動作グラフで許可されるデータの量に関する厳密なクォータがあります。データ量は、Detective の動作グラフにフローする 1 日あたりのデータ量です。

管理者アカウントが Detective を有効にし、メンバーアカウントが動作グラフにデータを提供するための招待を承諾すると、Detective はこれらのクォータを適用します。

  • 管理者アカウントのデータ量が 1 日あたり 10 TB を超える場合、管理者アカウントは Detective を有効にできません。

  • メンバーアカウントからデータ量が追加されることにより、動作グラフが 1 日あたり 10 TB を超えることになる場合、メンバーアカウントを有効にすることはできません。

動作グラフのデータ量は、時間が経過するにつれて自然に増加することもあります。Detective は、クォータを超えることのないよう、動作グラフのデータ量を毎日チェックします。

動作グラフのデータ量がクォータに近づいている場合、Detective はコンソールに警告メッセージを表示します。クォータを超えないように、メンバーアカウントを削除できます。

動作グラフのデータ量が 1 日あたり 10 TB を超える場合、動作グラフに新しいメンバーアカウントを追加することはできません。

動作グラフのデータ量が 1 日あたり 15 TB を超える場合、Detective は動作グラフへのデータの取り込みを停止します。1 日あたり 15 TB のクォータは、通常のデータ量とデータ量のスパイクの両方を反映しています。このクォータに達すると、新しいデータは動作グラフに取り込まれませんが、既存のデータは削除されません。引き続きその履歴データを調査に使用することはできます。コンソールには、動作グラフのデータ取り込みが一時停止されていることを示すメッセージが表示されます。

データインジェストが中断されている場合は、 AWS Support を使用して再度有効にする必要があります。可能であれば、 に連絡する前に AWS Support、メンバーアカウントを削除してデータ量がクォータを下回るようにします。これにより、動作グラフのデータ取り込みを再度有効にすることが容易になります。