Amazon Detective とは

検出結果グループを使用すると、潜在的なセキュリティイベントに関連する複数のアクティビティを調べることができます。検出結果グループを使用して、重大度の高い GuardDuty 検出結果の根本原因を分析できます。脅威アクターが AWS 環境を侵害しようとしている場合、通常、複数のセキュリティ検出結果と異常な動作を生成する一連のアクションを実行します。

Detective の検出結果グループページには、動作グラフから抽出された関連するすべての検出結果グループが表示されます。検出結果グループを活用してセキュリティ検出結果の根本原因を分析する方法の詳細については、Detective の「検出結果グループの分析」を参照してください。

Detective は、各検出結果グループをインタラクティブに視覚化し、セキュリティ問題を迅速かつ詳細に調査するのに役立ちます。視覚化は、セキュリティインシデントに関連するエンティティと検出結果を表示するように設計されているため、接続と根本原因をより簡単に理解できます。 は、より少ない労力で問題をより迅速かつ詳細に調査するのに役立ちます。検出結果グループの視覚化パネルには、検出結果グループに関連する検出結果とエンティティが表示されます。

Detective Investigation では、侵害の兆候を使用してIAMユーザーとIAMロールを調査することができます。これにより、リソースがセキュリティインシデントに関与しているかどうかを判断できます。侵害の指標 (IOC) は、悪意のあるアクティビティやセキュリティインシデントを (高いレベルの信頼度で) 特定できるネットワーク、システム、または環境で観察されるアーティファクトです。Detective の調査を使用すると、効率を最大化し、セキュリティ上の脅威に重点を置き、インシデント対応機能を強化できます。

Detective Investigation は、機械学習モデルと脅威インテリジェンスを使用して、最も重要で疑わしい問題のみを明らかにするため、高レベルの調査に集中できます。 AWS 環境内のリソースを自動的に分析して、侵害や疑わしいアクティビティの潜在的な兆候を特定します。これにより、パターンを識別し、セキュリティイベントによって影響を受けるリソースを把握し、脅威の特定と緩和に対する積極的なアプローチを提供できます。

Detective Investigation を実行すると、Detective コンソールから Detective Investigation を開始できます。プログラムで調査を実行するには、Detective の StartInvestigationオペレーションを使用しますAPI。 AWS Command Line Interface （AWS CLI) を使用して調査を実行するには、start-investigation コマンドを実行します。

Detective は Amazon Security Lake と統合されています。つまり、Security Lake に保存されている未加工のログデータをクエリして取得できます。この統合により、Security Lake がネイティブにサポートする次のソースからログとイベントを収集できます。

Detective を Security Lake と統合すると、Detective は AWS CloudTrail 管理イベントと Amazon VPC Flow Logs に関連する未加工のログを Security Lake から取得し始めます。raw ログをクエリして、Detective のログとイベントを表示できます。

Detective を使用すると、Amazon Elastic Compute Cloud (Amazon VPC) インスタンスと Kubernetes ポッドの仮想プライベートクラウド () ネットワークフローのアクティビティの詳細をインタラクティブに調べることができます。 EC2Detective は、モニタリング対象のアカウントからVPCフローログを自動的に収集し、EC2インスタンスごとに集約し、これらのネットワークフローに関する視覚的な概要と分析を表示します。

EC2 インスタンスの場合、全体的なVPCフローボリュームのアクティビティ詳細には、選択した時間範囲内のEC2インスタンスと IP アドレス間のインタラクションが表示されます。

Kubernetes ポッドの場合、全体的なVPCフローボリュームには、Kubernetes ポッドに割り当てられたすべての送信先 IP アドレスの IP アドレスの送受信全体のバイト数が表示されます。

AWS Management Console は、リソースの作成と管理 AWS に使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Amazon Detective コンソールは Detective アカウント、データ、リソースへのアクセスを提供します。Detective コンソールを使用して、Detective タスクを実行できます。潜在的なセキュリティ脅威を確認し、セキュリティ検出結果の根本原因を分析、調査、特定します。

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行して、Detective タスクと AWS タスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。

AWS には、 AWS Command Line Interface （AWS CLI) と の 2 つのコマンドラインツールセットが用意されています AWS Tools for PowerShell。のインストールと使用の詳細については AWS CLI、AWS Command Line Interface 「 ユーザーガイド」を参照してください。Tools for のインストールと使用の詳細については PowerShell、AWS Tools for PowerShell 「 ユーザーガイド」を参照してください。

AWS は、Java、Go、Python、C++、 など、さまざまなプログラミング言語とプラットフォームのライブラリとサンプルコードSDKsで構成されますNET。SDKs は、Detective やその他の への便利でプログラムによるアクセスを提供します AWS のサービス。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。のインストールと使用の詳細については AWS SDKs、「 で構築するツール AWS」を参照してください。

Amazon Detective RESTAPIは、Detective アカウント、データ、リソースへの包括的でプログラムによるアクセスを提供します。この を使用するとAPI、Detective にHTTPSリクエストを直接送信できます。ただし、 AWS コマンドラインツールや とは異なりSDKs、これを使用するには、アプリケーションがリクエストに署名するためのハッシュの生成などの低レベルの詳細を処理するAPI必要があります。この の詳細についてはAPI、Detective APIリファレンス を参照してください。

AWS Security Hub は、 AWS リソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS のサービス (Detective を含む) およびサポートされている AWS Partner Network (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub は、セキュリティの傾向を分析し、 AWS 環境全体で優先度の高いセキュリティ問題を特定するのに役立ちます。

Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。

Amazon GuardDuty は、Amazon S3 AWS CloudTrail のデータイベント AWS ログや CloudTrail 管理イベントログなど、特定のタイプのログを分析および処理するセキュリティモニタリングサービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードや機械学習を使用して、 AWS 環境内の予期しないアクティビティや、潜在的に許可されていないアクティビティや悪意のあるアクティビティを特定します。

の詳細については GuardDuty、「Amazon GuardDuty ユーザーガイド」を参照してください。

Amazon Security Lake は、完全マネージド型のセキュリティデータレイクサービスです。Security Lake を使用すると、 AWS 環境、SaaS プロバイダー、オンプレミスソース、クラウドソース、およびサードパーティーソースのセキュリティデータを、 AWS アカウントに保存されている専用データレイクに自動的に一元化できます。Security Lake はセキュリティデータの分析に役立つため、組織全体のセキュリティ体制をより完全に把握できます。Security Lake を使用すると、ワークロード、アプリケーション、データの保護を強化することもできます。

Security Lake の詳細については、「Amazon Security Lake ユーザーガイド」を参照してください。Detective と Security Lake を併用する方法については、「」を参照してくださいAmazon Security Lake との Amazon Detective 統合。