エンティティプロファイルまたは検出結果の概要への直接移動 - Amazon Detective
別のコンソールからのピボットURL を使用した移動Splunk に対する検出結果の Detective URL の追加

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エンティティプロファイルまたは検出結果の概要への直接移動

次のいずれかのオプションを使用して、Amazon Detective のエンティティプロファイルまたは検出結果の概要に直接移動できます。

  • Amazon GuardDuty または から AWS Security Hub、検出 GuardDuty 結果から対応する Detective 検出結果プロファイルにピボットできます。

  • 検出結果またはエンティティを識別し、使用するスコープ時間を設定する Detective URL をアセンブルできます。

Amazon GuardDuty または からエンティティプロファイルまたは検出結果の概要へのピボット AWS Security Hub

Amazon GuardDuty コンソールから、結果に関連するエンティティのエンティティプロファイルに移動できます。

GuardDuty および AWS Security Hub コンソールから、結果の概要に移動することもできます。検出結果の概要には、関係するエンティティのエンティティプロファイルへのリンクも表示されます。

これらのリンクは、調査プロセスを合理化するのに役立ちます。Detective を迅速に使用して、関連するエンティティのアクティビティを表示したり、次のステップを決定したりできます。その後、検出情報が偽陽性である場合にはその検出結果をアーカイブしたり、さらに調査して問題の範囲を特定したりできます。

Amazon Detective コンソールにピボットする方法

調査リンクは、すべての GuardDuty 検出結果で使用できます。また、エンティティプロファイルまたは検出結果の概要に移動するかどうかを選択 GuardDuty することもできます。

GuardDuty コンソールから Detective にピボットするには

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. 必要に応じて、左側のナビゲーションペインで [Findings] (検出結果) を選択します。

  3. GuardDuty 検出結果ページで、検出結果を選択します。

    検出結果のリストの右側に検索結果の詳細のペインが表示されます。

  4. 検出結果の詳細のペインで、[Investigate in Detective] (Detective で調査) を選択します。

    GuardDuty は、Detective で調査できる項目のリストを表示します。

    リストには、IP アドレスや EC2 インスタンスなどの関連エンティティと検出結果の両方が含まれます。

  5. エンティティまたは検出結果を選択します。

    新しいタブで Detective コンソールが開きます。コンソールが開き、エンティティまたは検出結果プロファイルが表示されます。

    Detective を有効にしていない場合、コンソールが開き、Detective の概要を示すランディングページが表示されます。そこから、Detective を有効にすることができます。

Security Hub コンソールから Detective にピボットするには

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub コンソールを開きます。

  2. 必要に応じて、左側のナビゲーションペインで [Findings] (検出結果) を選択します。

  3. Security Hub の検出結果ページで、 GuardDuty 検出結果を選択します。

  4. 詳細のペインで、[Investigate in Detective] (Detective で調査) を選択してから、[Investigate finding] (検出結果を調査) を選択します。

    [Investigate finding] (検出結果を調査) を選択すると、Detective コンソールが新しいタブで開きます。コンソールが開き、検出結果の概要が表示されます。

    Detective コンソールは、集約リージョンからピボットした場合でも、常に検出結果が派生したリージョンに開きます。集計の検索の詳細については、AWS Security Hub ユーザーガイドAggregating findings across Regions を参照してください。

    Detective を有効にしていない場合、コンソールを開くと Detective のランディングページが表示されます。そこから、Detective を有効にすることができます。

ピボットのトラブルシューティング

ピボットを使用するには、次のいずれかが当てはまる必要があります。

  • アカウントは、Detective とピボット元のサービスの両方の管理者アカウントである必要があります。

  • 動作グラフへのアクセス権を管理者アカウントに付与するクロスアカウントロールを引き受けました。

管理者アカウントを調整するための推奨事項の詳細については、「Amazon との推奨調整 GuardDuty 」および AWS Security Hub「」を参照してください。

ピボットが機能しない場合は、次の点を確認してください。

  • 検出結果は、動作グラフで有効になっているメンバーアカウントに属していますか? 関連付けられたアカウントがメンバーアカウントとして動作グラフに招待されていない場合、動作グラフにはそのアカウントのデータは含まれません。

    招待されたメンバーアカウントが招待を承諾しなかった場合、動作グラフにはそのアカウントのデータは含まれません。

  • 検出結果はアーカイブされていますか? Detective は、 からアーカイブされた検出結果を受信しません GuardDuty。

  • 検出結果は、Detective が動作グラフにデータを取り込み始める前に発生したものですか? Detective が取り込むデータに検出結果が存在しない場合、動作グラフにはそのデータが含まれません。

  • その検出結果は正しいリージョンからのものですか? 各動作グラフは、リージョンに固有のものです。動作グラフには、他のリージョンのデータは含まれません。

URL を使用したエンティティプロファイルまたは検出結果の概要への移動

Amazon Detective でエンティティプロファイルまたは検出結果の概要に移動するには、そのプロファイルへの直接リンクを提供する URL を使用できます。URL は、検出結果またはエンティティを識別します。また、プロファイルで使用するスコープ時間を指定することもできます。Detective は、最長 1 年間の履歴イベントデータを保持します。

プロファイル URL の形式

注記

古い形式の URL を使用した場合でも、Detective によって新しい URL に自動的にリダイレクトされます。古い形式の URL は次のとおりです。

https://console.aws.amazon.com/detective/home?region=Region#type/namespace/instanceID?parameters

新しい形式のプロファイル URL は次のとおりです。

  • エンティティの場合 - https://console.aws.amazon.com/detective/home?region=Region#entities/namespace/instanceID?parameters

  • 検出結果の場合 - https://console.aws.amazon.com/detective/home?region=Region#findings/instanceID?parameters

URL には、次の値が必要です。

Region

使用するリージョン。

type

ナビゲート先のプロファイルの項目のタイプ。

  • entities - エンティティプロファイルに移動していることを示します

  • findings - 検出結果の概要に移動していることを示します

名前空間

エンティティについては、名前空間はエンティティタイプの名前です。

  • AwsAccount

  • AwsRole

  • AwsRoleSession

  • AwsUser

  • Ec2Instance

  • FederatedUser

  • IpAddress

  • S3Bucket

  • UserAgent

  • FindingGroup

  • KubernetesSubject

  • ContainerPod

  • ContainerCluster

  • ContainerImage

instanceID

検出結果またはエンティティのインスタンス識別子。

  • GuardDuty 検出結果の場合は、 GuardDuty 検出結果識別子。

  • AWS アカウントの場合は、アカウント ID。

  • AWS ロールとユーザーの場合、ロールまたはユーザーのプリンシパル ID。

  • フェデレーティッドユーザーについては、フェデレーティッドユーザーのプリンシパル ID です。プリンシパル ID は <identityProvider>:<username> または <identityProvider>:<audience>:<username> のいずれかです。

  • IP アドレスについては、IP アドレスです。

  • ユーザーエージェントについては、ユーザーエージェント名。

  • EC2 インスタンスについては、インスタンス ID です。

  • ロールセッションについては、セッション識別子です。セッション識別子は、 <rolePrincipalID>:<sessionName> の形式を使用します。

  • S3 バケットについては、バケット名です。

  • の場合 FindingGroups、UUID。例えば、 ca6104bc-a315-4b15-bf88-1c1e60998f83

  • EKS リソースの場合: 次の形式を使用します。

    • EKS クラスター: <clusterName>~<accountId>~EKS

    • Kubernetes ポッド: <podUid >~<clusterName >~<accountId >~EKS

    • Kubernetes サブジェクト: <subjectName>~<clusterName>~<accountId>

    • コンテナイメージ: <registry>/<repository>:<tag>@<digest>

検出結果またはエンティティは、動作グラフで有効になっているアカウントに関連付けられている必要があります。

URL には、スコープ時間を設定するために使用される次のオプションのパラメータを含めることもできます。スコープ時間とプロファイルでのその使用方法の詳細については、スコープ時間の管理 を参照してください。

scopeStart

プロファイルで使用するスコープ時間の開始時刻。開始日時は過去 365 日以内の日時である必要があります。

値はエポックタイムスタンプです。

開始時刻を指定したが、終了時刻を指定しない場合、スコープ時間は現在の時刻で終了します。

scopeEnd

プロファイルで使用するスコープ時間の終了時刻。

値はエポックタイムスタンプです。

終了時刻を指定したが、開始時刻を指定しない場合、スコープ時間には終了時刻より前のすべての時間が含まれます。

スコープ時間を指定しない場合は、デフォルトのスコープ時間が使用されます。

  • 検出結果については、デフォルトのスコープ時間は、検出結果のアクティビティが観察された最初の時刻と最後の時刻を使用します。

  • エンティティについては、デフォルトのスコープ時間は直近 24 時間です。

Detective の URL の例を次に示します。

https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400

この URL の例では、次の手順について説明します。

  • IP アドレス 192.168.1 のエンティティプロファイルを表示します。

  • 2019 年 3 月 18 日 (月) 午前 0 時 (GMT) に開始し、2019 年 3 月 18 日 (月) 正午 (GMT) に終了するスコープ時間を使用します。

URL のトラブルシューティング

URL が想定されるプロファイルを表示しない場合は、まず URL が正しい形式を使用していること、および正しい値を入力したことを確認します。

  • URL の前半に正しい findings または entities を指定しましたか?

  • 正しい名前空間を指定しましたか?

  • 正しい識別子を入力しましたか?

値が正しい場合は、以下を確認することもできます。

  • 検出結果またはエンティティは、動作グラフで有効になっているメンバーアカウントに属していますか? 関連付けられたアカウントがメンバーアカウントとして動作グラフに招待されていない場合、動作グラフにはそのアカウントのデータは含まれません。

    招待されたメンバーアカウントが招待を承諾しなかった場合、動作グラフにはそのアカウントのデータは含まれません。

  • 検出結果については、その検出結果はアーカイブされていますか? Detective は Amazon からアーカイブされた結果を受信しません GuardDuty。

  • 検出結果またはエンティティは、Detective が動作グラフにデータを取り込み始める前に発生したものですか? Detective が取り込むデータに検出結果またはエンティティが存在しない場合、動作グラフにはそのデータが含まれません。

  • その検出結果またはエンティティは正しいリージョンからのものですか? 各動作グラフは、リージョンに固有のものです。動作グラフには、他のリージョンのデータは含まれません。

Splunk に対する検出結果の Detective URL の追加

Splunk Trumpet プロジェクトでは、 AWS のサービスから Splunk にデータを送信できます。

Amazon の検出結果の Detective URLs を生成するように Trumpet プロジェクトを設定できます GuardDuty 。その後、これらの URL を使用して、対応する Detective 検出結果プロファイルに Splunk から直接ピボットできます。

Trumpet プロジェクトは、https://github.com/splunk/splunk-aws-project-trumpet GitHub から入手できます。

Trumpet プロジェクトの設定ページで、AWS CloudWatch イベント から Detective GuardDuty URLs を選択します。