Detective の概要ダッシュボードの使用 - Amazon Detective
調査新たに観察された位置情報過去 7 日間にアクティブだった検出結果グループ API コールボリュームが最も多いロールとユーザーEC2 トラフィックボリュームが最も多いインスタンス最も多くの Kubernetes ポッドが作成されたコンテナクラスター近似値の通知

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective の概要ダッシュボードの使用

Amazon Detective の Summary ダッシュボードを使用してエンティティを特定し、過去 24 時間のアクティビティのオリジンを調査します。Amazon Detective Summary ダッシュボードは、特定のタイプの異常なアクティビティに関連付けられているエンティティを識別するのに役立ちます。これは、調査のための出発点の 1 つとなり得ます。

概要ダッシュボードを表示するには、Detective ナビゲーションペインで概要 を選択します。概要ダッシュボードは、Detective コンソールを最初に開いたときにもデフォルトで表示されます。

概要ダッシュボードから、次の基準を満たすエンティティを特定できます。

  • Detective によって特定された潜在的なセキュリティイベントを示す調査

  • 新たに観察されたジオロケーションで発生したアクティビティに関係するエンティティ

  • API 呼び出し回数が最も多いエンティティ

  • EC2 トラフィック量が最も多いインスタンス

  • コンテナ数が最多のコンテナクラスター

概要ダッシュボードパネルから、選択したエンティティのプロファイルにピボットできます。

概要ダッシュボードを確認すると、スコープ時間を調整して、過去 365 日間の任意の 24 時間の時間枠のアクティビティを表示できます。[開始日時] を変更すると、[終了日時] が、選択した開始時刻から 24 時間後の日時に自動的に更新されます。

Detective を使用すると、最長 1 年間の履歴イベントデータにアクセスできるようになりました。このデータは、選択した時間枠でのアクティビティのタイプと量の変化を示す一連のビジュアライゼーションによって表示されます。Detective は、これらの変更を GuardDuty 結果にリンクします。

Detective のソースデータの詳細については、「動作グラフ で使用されるソースデータ」を参照してください。

調査

調査は、Detective によって特定された潜在的なセキュリティイベントを示します。調査パネルでは、重要な調査と、これに対応し、一定期間にセキュリティイベントの影響を受けた AWS ロールとユーザーを確認できます。調査では、侵害の兆候をグループ化して、悪意のある動作とその影響を示す可能性のある異常なアクティビティに AWS リソースが関与しているかどうかを判断するのに役立ちます。

[すべての調査を表示] を選択して検出結果を確認し、検出結果のグループとリソースの詳細をトリアージしてセキュリティ調査を加速させます。調査は、選択したスコープ時間に応じて表示されます。スコープ時間は、過去 365 日間の調査を 24 時間枠で表示するように調整できます。[重要な調査] に直接移動すると、詳細な調査レポートを確認できます。

疑わしいアクティビティがあると思われる AWS ロールまたはユーザーを特定した場合は、調査パネルからロールまたはユーザーに直接ピボットして、調査を続行できます。ロールまたはユーザーにピボットして [調査を実行] をクリックすると、調査レポートが生成されます。ロールまたはユーザーに対して調査を実行すると、そのロールまたはユーザーは [調査済み] タブに移動します。

新たに観察された位置情報

[新たに観察された位置情報] には、直近 24 時間のアクティビティの起点であったが、その前のベースライン期間には見られなかった地理的場所が示されます。

パネルには、最大 100 個のジオロケーションが含まれます。場所は地図上でマークされ、地図の下の表にリストされます。

各ジオロケーションについて、テーブルには、過去 24 時間にそのジオロケーションから行われた失敗した呼び出しと成功したAPI呼び出しの数が表示されます。

各ジオロケーションを展開して、そのジオロケーションからAPI呼び出しを行ったユーザーとロールのリストを表示できます。各プリンシパルについて、表にはタイプと関連する AWS アカウントがリスト表示されます。

疑わしいと思われるユーザーまたはロールを特定した場合は、パネルからユーザーまたはロールのプロファイルに直接ピボットして、調査を続行できます。プロファイルにピボットするには、ユーザーまたはロールの識別子を選択します。

Detective は、 MaxMind GeoIP データベースを使用してリクエストの場所を決定します。 MaxMind は、国レベルでのデータの非常に高い精度を報告しますが、精度は国や IP の種類などの要因によって異なります。の詳細については MaxMind、MaxMind 「IP Geolocation」を参照してください。GeoIP データのいずれかが正しくないと思われる場合は、MaxMind 正しい GeoIP2 Data で Maxmind に修正リクエストを送信できます。

過去 7 日間にアクティブだった検出結果グループ

[過去 7 日間にアクティブだった検出結果グループ] には、環境で一定期間内に発生した、Detective からの検出結果、エンティティ、証拠の相関性があるグループが表示されます。これらのグループにより、悪意のある動作を示す異常なアクティビティが明らかになります。概要ダッシュボードには、過去 1 週間にアクティブだった最も重要な結果を含むグループでソートされた最大 5 つのグループが表示されます。

詳細を確認するには、[戦術][アカウント][リソース][検出結果] の値を選択します。

検出結果グループは毎日生成されます。関心のある検出結果グループが見つかったら、タイトルを選択してグループプロファイルの詳細ビューに移動し、調査を進めることができます。

API コールボリュームが最も多いロールとユーザー

API コールボリュームが最も多いロールとユーザーは、過去 24 時間に最も多くのAPIコールを行ったユーザーとロールを識別します。

パネルには、最大 100 個のユーザとロールを含めることができます。各ユーザーまたはロールについて、タイプ (ユーザーまたはロール) および関連するアカウントを表示できます。また、過去 24 時間にそのユーザーまたはロールによって発行されたAPI呼び出しの数を確認することもできます。

デフォルトでは、サービスリンクロールが表示されます。サービスにリンクされたロールは大量の AWS CloudTrail アクティビティを生成し、さらに調査するプリンシパルを置き換えます。サービスにリンクされたロールの表示 をオフにして、概要ダッシュボードビューからサービスにリンクされたロールを除外できます。

このパネルのデータを含むカンマ区切り値 (.csv) ファイルをエクスポートできます。

また、過去 7 日間のAPI通話量のタイムラインもあります。タイムラインは、そのプリンシパルのAPI呼び出し量が異常かどうかを判断するのに役立ちます。

API コールボリュームが疑わしいと思われるユーザーまたはロールを特定した場合は、パネルからユーザーまたはロールプロファイルに直接ピボットして調査を続行できます。ユーザーまたはロールに関連付けられているアカウントのプロファイルを表示することもできます。プロファイルを表示するには、ユーザー、ロール、またはアカウント識別子を選択します。

EC2 トラフィックボリュームが最も多いインスタンス

EC2 トラフィックボリュームが最も多いインスタンスは、過去 24 時間にトラフィックの合計ボリュームが最も多かったEC2インスタンスを識別します。

パネルには最大 100 個のEC2インスタンスを含めることができます。EC2 インスタンスごとに、関連するアカウント、および過去 24 時間のインバウンドバイト数、アウトバウンドバイト数、合計バイト数を確認できます。

このパネルのデータを含んだカンマ区切り値 (CSV) ファイルをエクスポートできます。

直近 7 日間のインバウンドトラフィックとアウトバウンドトラフィックを示すタイムラインも表示できます。タイムラインは、そのEC2インスタンスのトラフィック量が異常かどうかを判断するのに役立ちます。

疑わしいトラフィックボリュームがあるEC2インスタンスを特定した場合は、パネルからEC2インスタンスプロファイルに直接移動して調査を続行できます。EC2 インスタンスを所有するアカウントのプロファイルを表示することもできます。プロファイルを表示するには、EC2インスタンスまたはアカウント識別子を選択します。

最も多くの Kubernetes ポッドが作成されたコンテナクラスター

[最も多くの Kubernetes ポッドが作成されたコンテナクラスター] には、過去 24 時間に最も多くのコンテナが実行されたクラスターが表示されます。

このパネルには、最大 100 個のクラスターが、関連する検出結果の多い順に表示されます。クラスターごとに、関連するアカウント、そのクラスター内の現在のコンテナ数、過去 24 時間にそのクラスターに関連付けられた検出結果の数を確認できます。このパネルのデータを含んだカンマ区切り値 (CSV) ファイルをエクスポートできます。

最近の検出結果を含むクラスターを特定した場合は、パネルからクラスタープロファイルに直接ピボットすることで、調査を続行できます。クラスターを所有するアカウントのプロファイルにピボットすることもできます。プロファイルにピボットするには、クラスター名またはアカウント識別子を選択します。

近似値の通知

API コールボリュームが最も多いロールとユーザー、トラフィックEC2ボリュームが最も多いインスタンスでは、値がアスタリスク (*) の後に続く場合、値は近似値であることを意味します。実際の値は、表示された値以上です。

これは、Detective が各時間間隔の量を計算するために使用する方法が原因で発生します。[Summary] (概要) ページでは、時間間隔は 1 時間です。

Detective は 1 時間ごとに、ボリュームが最も大きい 1,000 ユーザー、ロール、またはEC2インスタンスの合計ボリュームを計算します。残りのユーザー、ロール、またはEC2インスタンスのデータを除外します。

リソースが上位 1,000 に含まれることもあれば含まれないこともある場合、そのリソースの計算量にはすべてのデータが含まれていない可能性があります。上位 1,000 に含まれていなかった時間間隔のデータは除外されます。

これは [Summary] (概要) ページにのみ適用されることに注意してください。ユーザー、ロール、またはEC2インスタンスのプロファイルは、正確な詳細を提供します。