アクティビティの詳細の内容 (ユーザー、ロール、アカウント、ロールセッション、EC2インスタンス、S3 バケット）アクティビティの詳細の内容 (IP アドレス)アクティビティの詳細のソートアクティビティの詳細のフィルタリングアクティビティの詳細の時間範囲の選択未処理のログのクエリ

API コールボリューム全体のアクティビティの詳細

全体的なAPIコールボリュームのアクティビティ詳細には、選択した時間範囲で発行されたAPIコールが表示されます。

単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。

現在のスコープ時間のアクティビティの詳細を表示するには、[Display details for scope time] (スコープ時間の詳細を表示) を選択します。

Detective は、2021 年 7 月 14 日付けでAPI通話のサービス名の保存と表示を開始したことに注意してください。その日付は、プロファイルパネルのタイムラインで強調表示されます。その日付より前に発生するアクティビティについては、サービス名は [Unknown service] (不明なサービス) となります。

アクティビティの詳細の内容 (ユーザー、ロール、アカウント、ロールセッション、EC2インスタンス、S3 バケット）

IAM ユーザー、IAMロール、アカウント、ロールセッション、EC2インスタンス、および S3 バケットの場合、アクティビティの詳細には次の情報が含まれます。

各タブには、選択した時間範囲内に発行されたAPI一連の呼び出しに関する情報が表示されます。

S3 バケットの場合、情報は S3 バケットに対して行われたAPI呼び出しを反映します。

API 呼び出しは、呼び出したサービスによってグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。
各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。[Observed IP addresses] (観察された IP アドレス) のタブには、各 IP アドレスの場所も表示されます。
各エントリは、コールを実行したユーザーに関する情報を表示します。アカウントについては、アクティビティの詳細でユーザーまたはロールが識別されます。ロールについては、アクティビティの詳細でロールセッションが識別されます。ユーザーとロールセッションの場合、アクティビティの詳細によってアクセスキー識別子 () が識別されますAKIDs。

2021 年 7 月 14 日現在、アカウントプロファイルの場合、アクティビティの詳細にはではなくユーザーまたはロールが表示されますAKIDs。ロールプロファイルの場合、アクティビティの詳細にはではなくロールセッションが表示されますAKIDs。2021 年 7 月 14 日より前に発生するアクティビティについては、発信者は [Unknown resource] (不明なリソース) としてリストされます。

アクティビティの詳細には、次のタブが含まれます。

[Observed IP addresses] (観察された IP アドレス)

API コールの発行に使用される IP アドレスのリストを最初に表示します。

各 IP アドレスを展開して、その IP アドレスから発行されたAPIコールのリストを表示できます。API 呼び出しは、呼び出したサービスによってグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

その後、各API呼び出しを展開して、その IP アドレスからの発信者のリストを表示できます。プロファイルによっては、発信者がユーザー、ロール、ロールセッション、のいずれかになりますAKID。

全体的なAPI通話ボリュームパネルの観測された IP アドレスタブの表示。IP アドレス、API通話、およびの階層を示すエントリが展開されますAKIDs。API 呼び出しはサービス別にグループ化されます。

API サービス別のメソッド

最初に、発行されたAPIコールのリストを表示します。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

各APIメソッドを展開して、呼び出しが発行された IP アドレスのリストを表示できます。

その後、各 IP アドレスを展開して、その IP アドレスからのAPI呼び出しを発行AKIDsしたリストを表示できます。

API コール、IP アドレス、およびの階層を示すようにエントリを展開した、全体的なコールボリュームパネルAPIのサービスタブによるメソッドの表示AKIDs。 APIAPI コールはサービス別にグループ化されます。

リソースまたはアクセスキー ID

API コールの発行にAKIDs使用されたユーザー、ロール、ロールセッション、またはのリストを最初に表示します。

各発信者を展開して、発信者がAPI通話を発信した IP アドレスのリストを表示できます。

その後、各 IP アドレスを展開して、その発信者によってその IP アドレスから発行されたAPIコールのリストを表示できます。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

API サービス別にグループ化された、IP アドレス、および呼び出しの階層を示すエントリが展開された、通話ボリュームパネル全体のリソースタブの表示。 AKIDs API

アクティビティの詳細の内容 (IP アドレス)

IP アドレスについては、アクティビティの詳細には次の情報が含まれます。

各タブには、選択した時間範囲内に発行されたAPI一連の呼び出しに関する情報が表示されます。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。
各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。

アクティビティの詳細には、次のタブが含まれます。

リソース

IP アドレスからAPI呼び出しを発行したリソースのリストを最初に表示します。

リストには、各リソースについて、リソース名、タイプ、および AWS アカウントが含まれます。

各リソースを展開して、リソースが IP アドレスから発行したAPI呼び出しのリストを表示できます。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

IP アドレスの全体的なAPIコールボリュームプロファイルパネルのアクティビティ詳細のリソースタブの表示。

API サービス別のメソッド

最初に、発行されたAPIコールのリストを表示します。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。

各API呼び出しを展開して、選択した期間中に IP アドレスからAPI呼び出しを発行したリソースのリストを表示できます。

IP アドレスの全体的なAPIコールボリュームプロファイルパネルのアクティビティの詳細をAPIサービスタブ別にメソッドを表示する。

アクティビティの詳細のソート

アクティビティの詳細はいずれかのリストの列でソートすることができます。

最初の列を使用してソートすると、最上位のリストのみがソートされます。下位リストは常に成功したAPI呼び出しの数でソートされます。

アクティビティの詳細のフィルタリング

フィルタリングオプションを使用して、アクティビティの詳細に表示されるアクティビティの特定のサブセットまたは側面に焦点を当てることができます。

すべてのタブで、最初の列のいずれかの値でリストをフィルタリングできます。

フィルターを追加するには

フィルターボックスを選択します。
[Properties] (プロパティ) から、フィルタリングに使用するプロパティを選択します。
フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。例えば、APIメソッドでフィルタリングする場合、でフィルタリングするとInstance、結果にはの名前Instanceにを含むすべてのAPIオペレーションが含まれます。したがって、ListInstanceAssociations と UpdateInstanceInformation の両方が一致します。

サービス名、APIメソッド、IP アドレスについては、値を指定するか、組み込みフィルターを選択できます。

共通API部分文字列 では、、、 List Createなどのオペレーションのタイプを表す部分文字列を選択しますDelete。各APIメソッド名は、オペレーションタイプで始まります。

CIDR パターン では、特定のCIDRパターンに一致するパブリック IP アドレス、プライベート IP アドレス、または IP アドレスのみを含めることができます。
複数のフィルターがある場合は、ブールオプションを選択して、これらのフィルターの接続方法を設定します。
フィルターを削除するには、右上にある x アイコンを選択します。
すべてのフィルターをクリアするには、[Clear filter] (フィルターをクリア) を選択します。

アクティビティの詳細の時間範囲の選択

アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。

アクティビティの詳細の時間範囲を変更するには

[編集] を選択します。
[Edit time window] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。

時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[Set to default scope time] (デフォルトのスコープ時間に設定) を選択します。
[Update time window] (時間枠を更新) を選択します。

アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。

未処理のログのクエリ

Amazon Security Lake と Amazon Detective の統合により、Security Lake に保存されている未処理のログデータを検索して取得できます。この統合の詳細については、「Amazon Security Lake との Amazon Detective 統合」を参照してください。

この統合を使用すると、Security Lake がネイティブにサポートしている以下のソースからログとイベントを収集およびクエリできます。

AWS CloudTrail 管理イベントバージョン 1.0 以降
Amazon Virtual Private Cloud (Amazon VPC) Flow Logs バージョン 1.0 以降
Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログバージョン 2.0

注記

Detective で未処理のデータログのクエリを実行する場合、追加料金はかかりません。Amazon Athena を含む他の AWS サービスの使用料金は、引き続き公開料金で適用されます。

未処理のログのクエリを実行するには

スコープ時間の詳細表示を選択します。
ここで、[未処理のログをクエリ] を開始できます。
[未処理のログのプレビュー] テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。

[未処理のログをクエリ] テーブルで、[クエリリクエストをキャンセル]、[Amazon Athena で結果を表示]、[結果をダウンロード] (カンマ区切り値 (.csv) ファイル) を実行できます。

Detective にログが表示されるにもかかわらず、クエリで結果が返されない場合は、次の理由が考えられます。

未処理のログは、Security Lake のログテーブルに表示される前に、Detective で利用できるようになる場合があります。後ほどもう一度試してください。」
Security Lake ログが欠落している可能性があります。長時間待った場合は、Security Lake でログが欠落していることを示しています。Security Lake 管理者に連絡して、問題を解決してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アクティビティの詳細の確認

ジオロケーション