動作グラフのデータ構造の概要 - Amazon Detective
動作グラフのデータ構造内の要素のタイプ動作グラフのデータ構造内のエンティティのタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

動作グラフのデータ構造の概要

動作グラフのデータ構造は、抽出および分析されたデータの構造を定義します。また、ソースデータを動作グラフにマッピングする方法も定義します。

動作グラフのデータ構造内の要素のタイプ

動作グラフのデータ構造は、次の情報の要素で構成されています。

エンティティ

エンティティは、Detective ソースデータから抽出された項目を表します。

各エンティティにはタイプがあり、それが表すオブジェクトのタイプを識別します。エンティティタイプの例には、IP アドレス、Amazon EC2インスタンス、 AWS ユーザーなどがあります。

各エンティティについて、ソースデータはエンティティのプロパティを入力するためにも使用されます。プロパティ値は、ソースレコードから直接抽出されることもあれば、複数のレコードにまたがって集計される場合もあります。

一部のプロパティは、単一のスカラー値または集計値で構成されます。例えば、EC2インスタンスの場合、Detective はインスタンスのタイプと処理された合計バイト数を追跡します。

時系列プロパティは、時間の経過に合わせてアクティビティを追跡します。例えば、EC2インスタンスの場合、Detective は使用した一意のポートを経時的に追跡します。

関係

関係は、個々のエンティティ間で発生するアクティビティを表します。また、関係は、Detective ソースデータから抽出されます。

エンティティと同様に、関係にはタイプがあります。これは、関係するエンティティのタイプと接続の方向を識別します。リレーションシップタイプの例は、EC2インスタンスに接続する IP アドレスです。

特定のインスタンスに接続する特定の IP アドレスなど、個々の関係ごとに、Detective は時間の経過に合わせてアクティビティの発生を追跡します。

動作グラフのデータ構造内のエンティティのタイプ

動作グラフのデータ構造は、次を実行するエンティティと関係タイプで構成されます。

  • 使用されているサーバー、IP アドレス、ユーザーエージェントを追跡する

  • 使用されている AWS ユーザー、ロール、アカウントを追跡する

  • ご利用の AWS 環境で発生するネットワーク接続と承認を追跡する

動作グラフのデータ構造には、次のエンティティタイプが含まれます。

AWS アカウント

AWS Detective ソースデータに存在する アカウント。

各アカウントについて、Detective は次のいくつかの質問に対する回答を提供します。

  • アカウントはどのようなAPI呼び出しを使用したことがありますか?

  • アカウントで使用されたことがあるユーザーエージェント

  • アカウントが使用したことがある自律システム組織 (ASOs)

  • アカウントがアクティブになったことがある地理的場所

AWS ロール

AWS Detective ソースデータに存在する ロール。

ロールごとに、Detective はいくつかの質問に対する回答を提供します。

  • ロールはどのようなAPI呼び出しを使用していますか?

  • ロールで使用されたことがあるユーザーエージェント

  • ロールは何を使用してASOsいましたか?

  • ロールがアクティブになったことがある地理的場所

  • このロールを引き受けたリソース

  • このロールを引き受けたロール

  • このロールが関係するロールセッション

AWS ユーザー

AWS Detective ソースデータに存在する ユーザー。

ユーザーごとに、Detective はいくつかの質問に対する回答を提供します。

  • ユーザーが使用したことがあるAPI通話

  • ユーザーが使用したことのあるユーザーエージェント

  • ユーザーがアクティブになったことがある地理的場所

  • このユーザーが引き受けたロール

  • このユーザーが関係するロールセッション

フェデレーティッドユーザー

フェデレーティッドユーザーのインスタンス。フェデレーティッドユーザーの例には次が含まれます。

  • Security Assertion Markup Language (SAML) を使用してログインする ID

  • ウェブ ID フェデレーションを使用してログインするアイデンティティ

フェデレーティッドユーザーごとに、Detective は以下の質問に対する回答を提供します。

  • フェデレーティッドユーザーが認証の際に使用したアイデンティティプロバイダー

  • フェデレーティッドユーザーのオーディエンス オーディエンスは、フェデレーティッドユーザーのウェブアイデンティティトークンをリクエストしたアプリケーションを識別します。

  • フェデレーティッドユーザーがアクティブになったことがある地理的場所

  • フェデレーティッドユーザーが使用したことのあるユーザーエージェント

  • フェデレーティッドユーザーが使用したASOsことがあるもの

  • このフェデレーティッドユーザーが引き受けたロール

  • このフェデレーティッドユーザーが関係するロールセッション

EC2 インスタンス

EC2 Detective ソースデータに存在する インスタンス。

EC2 インスタンスの場合、Detective はいくつかの質問に答えます。

  • インスタンスと通信した IP アドレス

  • インスタンスとの通信に使用されたポート

  • インスタンスとの間で送受信されたデータの量

  • インスタンスVPCが含まれているもの

  • EC2 インスタンスはどのようなAPI呼び出しを使用していますか?

  • EC2 インスタンスが使用したことがあるユーザーエージェント

  • EC2 インスタンスで何が使用されASOsていますか?

  • EC2 インスタンスがアクティブになったことがある地理的な場所

  • EC2 インスタンスが引き受けたロール

ロールセッション

ロールを引き受けるリソースのインスタンス。各ロールセッションは、ロール識別子とセッション名で識別されます。

ロールごとに、Detective はいくつかの質問に対する回答を提供します。

  • このロールセッションで関係したリソース。つまり、引き受けられたロールとそのロールを引き受けたリソース。

    クロスアカウントのロールの引き受けの場合、Detective はロールを引き受けたリソースを識別できないことに注意してください。

  • ロールセッションではどのようなAPI呼び出しが使用されていますか?

  • ロールセッションが使用したことのあるユーザーエージェント

  • ロールセッションASOsで使用されたことがあるもの

  • ロールセッションがアクティブになったことがある地理的場所

  • このロールセッションを開始したユーザーまたはロール

  • このロールセッションから開始されたロールセッション

結果

Detective ソースデータにフィード GuardDuty される Amazon によって検出された結果。

検出結果ごとに、Detective は、検出結果のアクティビティについて、検出結果のタイプ、オリジン、および時間枠を追跡します。

また、検出されたアクティビティに関係するロールや IP アドレスなど、検出結果に固有の情報も保存されます。

IP アドレス

Detective ソースデータに存在する IP アドレス。

IP アドレスごとに、Detective はいくつかの質問に対する回答を提供します。

  • アドレスはどのようなAPI呼び出しを使用していましたか?

  • アドレスで使用されたことがあるポート

  • IP アドレスを使用したことがあるユーザーおよびユーザーエージェント

  • IP アドレスがアクティブになったことがある地理的場所

  • この IP アドレスはどのEC2インスタンスに割り当てられ、通信されていますか?

S3 バケット

Detective ソースデータにある S3 バケット。

S3 バケットごとに、Detective は以下の質問に対する回答を提供します。

  • S3 バケットとインタラクションしたプリンシパル

  • S3 バケットに対してどのようなAPI呼び出しが行われましたか?

  • プリンシパルはどの地理的場所から S3 バケットをAPI呼び出しましたか?

  • S3 バケットとのインタラクションに使用されたユーザーエージェント

  • S3 バケットとのやり取りにASOs使用されたもの

S3 バケットを削除してから、同じ名前の新しいバケットを作成できます。Detective は S3 バケット名を使用して S3 バケットを識別するため、これらを単一の S3 バケットエンティティとして扱います。エンティティプロファイルでは、[Creation time] (作成時刻) は最初の作成時刻です。[Deletion time] (削除時刻) は、最新の削除時刻です。

すべての作成イベントおよび削除イベントを表示するには、作成時刻で開始し、削除時刻で終了するようにスコープ時間を設定します。全体的なAPI通話量プロファイルパネルで、スコープ時間のアクティビティの詳細を表示します。API メソッドをフィルタリングして Createおよび Deleteメソッドを表示します。「API コールボリューム全体のアクティビティの詳細」を参照してください。

User agent

Detective ソースデータに存在するユーザーエージェント。

ユーザーエージェントごとに、Detective は以下のような質問に対する回答を提供します。

  • ユーザーエージェントが使用したことがあるAPI呼び出し

  • ユーザーエージェントを使用したことがあるユーザーおよびロール

  • ユーザーエージェントを使用したことがある IP アドレス

EKS クラスター

EKS Detective ソースデータに存在する クラスター。

注記

このエンティティタイプの完全な詳細を表示するには、オプションのEKS監査ログデータソースを有効にする必要があります。詳細については、「Detective のオプションデータソースの種類」を参照してください。

Detective はEKSクラスターごとに次のような質問に答えます。

  • このクラスターで実行された Kubernetes APIコール

  • このクラスターではどの Kubernetes ユーザーとサービスアカウント (サブジェクト) がアクティブですか?

  • このクラスターではどのコンテナが起動されていますか?

  • このクラスターのコンテナの起動にはどのようなイメージが使用されていますか?

Kubernetes ポッド

Detective ソースデータに存在する Kubernetes ポッド。

注記

このエンティティタイプの完全な詳細を表示するには、オプションのEKS監査ログデータソースを有効にする必要があります。詳細については、「Detective のオプションデータソースの種類」を参照してください。

ポッドごとに、Detective は以下のような質問に対する回答を提供します。

  • このポッドのどのコンテナイメージが私のアカウントでよく使用されていますか?

  • このポッドに対し、どのようなアクティビティが指示されていますか?

  • このポッドではどのコンテナが実行されていますか?

  • このポッド内のコンテナのレジストリは、私のアカウントではよく使用されていますか?

  • ワークロードの他のポッドでは他にどのようなコンテナが実行されていますか?

  • このポッドには、ワークロードの他のポッドにはない異常なコンテナがありますか?

コンテナイメージ

Detective ソースデータに存在するコンテナイメージ。

注記

このエンティティタイプの完全な詳細を表示するには、オプションのEKS監査ログデータソースを有効にする必要があります。詳細については、「Detective のオプションデータソースの種類」を参照してください。

コンテナイメージごとに、Detective は以下のような質問に対する回答を提供します。

  • 環境内の他のどのイメージがこのイメージと同じリポジトリまたはレジストリを共有していますか?

  • 私の環境ではこのイメージのコピーがいくつ実行されていますか?

Kubernetes サブジェクト

Detective ソースデータに存在する Kubernetes サブジェクト。Kubernetes サブジェクトはユーザーまたはサービスアカウントです。

注記

このエンティティタイプの完全な詳細を表示するには、オプションのEKS監査ログデータソースを有効にする必要があります。詳細については、「Detective のオプションデータソースの種類」を参照してください。

サブジェクトごとに、Detective は以下のような質問に対する回答を提供します。

  • このサブジェクトとして認証されたIAMプリンシパル

  • このサブジェクトにはどのような検出結果が関連付けられていますか?

  • サブジェクトはどの IP アドレスを使用していますか?