翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
全体的なAPI通話量のアクティビティの詳細
全体的なAPI通話量のアクティビティ詳細には、選択した時間範囲内に発行されたAPI通話が表示されます。
単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。
現在のスコープ時間のアクティビティの詳細を表示するには、[Display details for scope time] (スコープ時間の詳細を表示) を選択します。
Detective は、2021 年 7 月 14 日に API 呼び出しのサービス名の保存と表示を開始したことに注意してください。その日付は、プロファイルパネルのタイムラインで強調表示されます。その日付より前に発生するアクティビティについては、サービス名は [Unknown service] (不明なサービス) となります。
アクティビティの詳細の内容 (ユーザー、ロール、アカウント、ロールセッション、EC2インスタンス、S3 バケット)
IAM ユーザー、IAMロール、アカウント、ロールセッション、EC2インスタンス、および S3 バケットの場合、アクティビティの詳細には次の情報が含まれます。
-
各タブには、選択した時間範囲内に発行されたAPI一連の呼び出しに関する情報が表示されます。
S3 バケットの場合、情報は S3 バケットに対して行われたAPI呼び出しを反映します。
API 呼び出しは、呼び出し元のサービスによってグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。
-
各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。[Observed IP addresses] (観察された IP アドレス) のタブには、各 IP アドレスの場所も表示されます。
-
各エントリは、コールを実行したユーザーに関する情報を表示します。アカウントについては、アクティビティの詳細でユーザーまたはロールが識別されます。ロールについては、アクティビティの詳細でロールセッションが識別されます。ユーザーおよびロールセッションの場合、アクティビティの詳細によってアクセスキー識別子 () が識別されますAKIDs。
2021 年 7 月 14 日現在、アカウントプロファイルでは、アクティビティの詳細には ではなくユーザーまたはロールが表示されますAKIDs。ロールプロファイルの場合、アクティビティの詳細には ではなくロールセッションが表示されますAKIDs。2021 年 7 月 14 日より前に発生するアクティビティについては、発信者は [Unknown resource] (不明なリソース) としてリストされます。
アクティビティの詳細には、次のタブが含まれます。
- [Observed IP addresses] (観察された IP アドレス)
-
API 通話の発行に使用される IP アドレスのリストが最初に表示されます。
各 IP アドレスを展開して、その IP アドレスから発行されたAPI呼び出しのリストを表示できます。API 呼び出しは、呼び出し元のサービスによってグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。
その後、各API呼び出しを展開して、その IP アドレスからの発信者のリストを表示できます。プロファイルによっては、発信者がユーザー、ロール、ロールセッション、または である場合がありますAKID。
- API サービス別のメソッド
-
最初に、発行されたAPI通話のリストが表示されます。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。
各APIメソッドを展開して、呼び出し元の IP アドレスのリストを表示できます。
その後、各 IP アドレスを展開して、その IP アドレスからそのAPI呼び出しを発行AKIDsした のリストを表示できます。
- リソースまたはアクセスキー ID
-
API 通話の発行に使用されたユーザー、ロール、ロールセッション、または のリストAKIDsが最初に表示されます。
各発信者を展開して、発信者がAPI呼び出しを発行した IP アドレスのリストを表示できます。
その後、各 IP アドレスを展開して、その発信者によってその IP アドレスから発行されたAPI呼び出しのリストを表示できます。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。
アクティビティの詳細の内容 (IP アドレス)
IP アドレスについては、アクティビティの詳細には次の情報が含まれます。
-
各タブには、選択した時間範囲内に発行されたAPI一連の呼び出しに関する情報が表示されます。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。
-
各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。
アクティビティの詳細には、次のタブが含まれます。
- リソース
-
IP アドレスからAPI呼び出しを発行したリソースのリストが最初に表示されます。
リストには、各リソースについて、リソース名、タイプ、および AWS アカウントが含まれます。
各リソースを展開して、リソースが IP アドレスから発行したAPI呼び出しのリストを表示できます。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。
- API サービス別のメソッド
-
最初に、発行されたAPI通話のリストが表示されます。API 呼び出しは、呼び出しを発行したサービスによってグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [Unknown service] (不明なサービス) の下に一覧表示されます。
各API呼び出しを展開して、選択した期間中に IP アドレスからAPI呼び出しを発行したリソースのリストを表示できます。
アクティビティの詳細のソート
アクティビティの詳細はいずれかのリストの列でソートすることができます。
最初の列を使用してソートすると、最上位のリストのみがソートされます。下位レベルのリストは常に、成功したAPI呼び出しの数でソートされます。
アクティビティの詳細のフィルタリング
フィルタリングオプションを使用して、アクティビティの詳細に表示されるアクティビティの特定のサブセットまたは側面に焦点を当てることができます。
すべてのタブで、最初の列のいずれかの値でリストをフィルタリングできます。
フィルターを追加するには
-
フィルターボックスを選択します。
-
[Properties] (プロパティ) から、フィルタリングに使用するプロパティを選択します。
-
フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。例えば、 APIメソッドでフィルタリングする場合、 でフィルタリングすると
Instance、結果には名前Instanceに を含むAPIオペレーションが含まれます。したがって、ListInstanceAssociationsとUpdateInstanceInformationの両方が一致します。サービス名、APIメソッド、および IP アドレスについては、値を指定するか、組み込みフィルターを選択できます。
Common API substrings で、
List、、Createなど、オペレーションのタイプを表す部分文字列を選択しますDelete。各APIメソッド名は オペレーションタイプで始まります。CIDR パターンでは、特定のCIDRパターンに一致するパブリック IP アドレス、プライベート IP アドレス、または IP アドレスのみを含めることができます。
-
ブール値オプション
ResourceまたはService: または ! を含む: 含まない;API methodまたはIP address= 等しいまたは !: フィルターの設定と等しくないを選択します。
フィルターを削除するには、右上にある x アイコンを選択します。
すべてのフィルターをクリアするには、[Clear filter] (フィルターをクリア) を選択します。
アクティビティの詳細の時間範囲の選択
アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。
アクティビティの詳細の時間範囲を変更するには
-
[編集] を選択します。
-
[Edit time window] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。
時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[Set to default scope time] (デフォルトのスコープ時間に設定) を選択します。
-
[Update time window] (時間枠を更新) を選択します。
アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。
未処理のログのクエリ
Amazon Security Lake と Amazon Detective の統合により、Security Lake に保存されている未処理のログデータを検索して取得できます。この統合の詳細については、「Amazon Security Lake との Amazon Detective 統合」を参照してください。
この統合を使用すると、Security Lake がネイティブにサポートしている以下のソースからログとイベントを収集およびクエリできます。
-
AWS CloudTrail 管理イベントバージョン 1.0 以降
-
Amazon Virtual Private Cloud (Amazon VPC) Flow Logs バージョン 1.0 以降
-
Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログバージョン 2.0
注記
Detective で未処理のデータログのクエリを実行する場合、追加料金はかかりません。Amazon Athena を含む他の AWS のサービスの使用料金は、引き続き公開料金で適用されます。
未処理のログのクエリを実行するには
-
スコープ時間の詳細表示を選択します。
-
ここで、[未処理のログをクエリ] を開始できます。
-
[未処理のログのプレビュー] テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。
[未処理のログをクエリ] テーブルで、[クエリリクエストをキャンセル]、[Amazon Athena で結果を表示]、[結果をダウンロード] (カンマ区切り値 (.csv) ファイル) を実行できます。
Detective にログが表示されるにもかかわらず、クエリで結果が返されない場合は、次の理由が考えられます。
-
未処理のログは、Security Lake のログテーブルに表示される前に、Detective で利用できるようになる場合があります。後でもう一度お試しください。
-
Security Lake ログが欠落している可能性があります。長時間待った場合は、Security Lake でログが欠落していることを示しています。Security Lake 管理者に連絡して、問題を解決してください。
