Detective Investigation の実行 - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective Investigation の実行

Run investigation を使用して、IAMユーザーやIAMロールなどのリソースを分析し、調査レポートを生成します。生成されたレポートには、潜在的な侵害を示す異常な動作が詳しく記載されています。

Console

Amazon Detective コンソールを使用して調査ページから Detective 調査を実行するには、次の手順に従います。

  1. AWS マネジメントコンソールにサインインします。次に、 で Detective コンソールを開きますhttps://console.aws.amazon.com/detective/

  2. ナビゲーションペインで、[調査] を選択します。

  3. 調査ページで、右上隅で調査の実行を選択します。

  4. リソースの選択セクションには、調査を実行する 3 つの方法があります。Detective が推奨するリソースの調査を実行するように選択できます。特定のリソースに対して調査を実行できます。リソースは、Detective の [検索] ページからも調査できます。

    1. Choose a recommended resource – Detective は、検出結果と検出結果グループでのアクティビティに基づいてリソースを推奨します。Detective が推奨するリソースの調査を実行するには、推奨リソーステーブルで、調査するリソースを選択します。

      推奨リソーステーブルには、以下の詳細が示されます。

      • リソース ARN – AWS リソースの Amazon リソースネーム (ARN)。

      • 調査する理由 — リソースを調査する主な理由が表示されます。Detective がリソースの調査を推奨する理由は次のとおりです。

        • 過去 24 時間の重要度の高い検出結果にリソースが関与した場合。

        • 過去 7 日間に観察された検出結果グループにリソースが関与した場合。Detective の検出結果グループを使用すると、セキュリティイベントを引き起こす可能性がある複数のアクティビティを調査することができます。詳細については、「検出結果グループを分析する」を参照してください。

        • 過去 7 日間の検出結果にリソースが関与した場合。

      • 最新の検出結果 — 最新の検出結果が優先的にリストの上位に表示されます。

      • リソースタイプ — リソースのタイプを識別します。例えば、 AWS ユーザーまたは AWS ロール。

    2. Specify an AWS role or user with an ARN – AWS ロールまたは AWS ユーザーを選択し、特定のリソースの調査を実行できます。

      特定のリソースタイプを調査するには、次の手順に従います。

      1. リソースタイプの選択ドロップダウンリストから、 AWS ロールまたは AWS ユーザーを選択します。

      2. リソースARNのIAMリソースを入力します。リソース の詳細についてはARNs、 IAM ユーザーガイドの「Amazon リソースネーム (ARNs)」を参照してください。

    3. Find a resource to investigate from the Search page – Detective Search ページからすべてのIAMリソースを検索できます。

      検索ページからリソースを調査するには、次の手順に従います。

      1. ナビゲーションペインで、[検索] を選択します。

      2. 検索ページで、IAMリソースを検索します。

      3. リソースのプロファイルページに移動し、そこから調査を実行します。

  5. 調査範囲の時間セクションで、選択したリソースのアクティビティを評価する調査の範囲時間を選択します。開始日開始時刻 終了日終了時刻を UTC 形式で選択できます。選択した [時間範囲] ウィンドウは、最小 3 時間から最大 30 日の間で指定できます。

  6. [調査を実行] を選択します。

API

プログラムで調査を実行するには、Detective の StartInvestigationオペレーションを使用しますAPI。 AWS Command Line Interface (AWS CLI) を使用して調査を実行するには、start-investigation コマンドを実行します。

リクエストで、以下のパラメーターを使用して Detective で調査を実行します。

  • GraphArn – 動作グラフの Amazon リソースネーム (ARN) を指定します。

  • EntityArn – IAM ユーザーとIAMロールの一意の Amazon リソースネーム (ARN) を指定します。

  • ScopeStartTime — オプションで、調査を開始するデータと時刻を指定します。値は UTC ISO8601 形式の文字列です。例えば、 2021-08-18T16:35:56.284Z

  • ScopeEndTime — オプションで、調査を終了するデータと時刻を指定します。値は UTC ISO8601 形式の文字列です。例えば、 2021-08-18T16:35:56.284Z

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

Detective の以下のページからも調査を実行できます。

  • Detective のIAMユーザーまたはIAMロールプロファイルページ。

  • 検出結果グループのグラフ可視化ペイン。

  • 関係するリソースのアクション列。

  • IAM 検出結果ページのユーザーまたはIAMロール。

Detective がリソースの調査を実行すると、調査レポートが生成されます。レポートにアクセスするには、ナビゲーションペインから [調査] に移動します。