投稿日: Sep 17, 2020
Amazon Detective が IAM ロールセッションの分析機能を導入しました。これにより、引き受けたロールを使用してユーザーとアプリが実行したアクションを視覚化して理解できます。この新機能を使用して、Detective を使用するお客様は、「セキュリティの検出事項に関連する API を呼び出したフェデレーションユーザーは誰か?」、「ロールの引き受けのチェーン全体でユーザーが呼び出した API 呼び出しはどれか?」、「EC2 インスタンスが実行した API アクティビティはどれですか?」、および「どのユーザーがこのクロスアカウントロールを使用していますか?」などの質問に答えることができるようになります。すべてについて CloudTrail ログを手動で分析する必要はありません。Detective は、これらの質問への回答を提供することにより、セキュリティアナリストが問題を診断し、その根本原因を理解するのをサポートします。
有効にすると、Detective は、お客様のすべての有効なアカウント全体からすべての VPC フローレコードと CloudTrail 管理イベントを自動的かつコスト効率よく処理し、IAM ロールの支援の下で実行されたアクティビティに関するデータをロールセッションに照合します。各ロールセッションは、ロールを引き受けるプリンシパル、引き受けられるロール、セッションに関するメタデータ、および実行される API アクティビティを結び付けます。ロールセッションアクティビティが追跡されるロール引き受けプリンシパルには、EC2 インスタンス、他のロール、IAM ユーザー、およびフェデレーションユーザーが含まれます。フェデレーションユーザーには、AWS Single Sign-on (SSO)、AWS IAM、AWS Directory Service、または Amazon Cognito を使用して AWS にアクセスしたユーザーが含まれます。このサービスは、ソーシャル ID プロバイダーおよび他の SAML 2.0 ID プロバイダーを介してアクセスを容易にします。アナリストは、ロールセッションの詳細を取得し、それに関連付けられた API アクティビティを表示、フィルタリング、および理解できます。また、Detective は、各ロールセッション内のロールに対するプリンシパルの使用偏差を視覚化し、アナリストがアクセス元の新しい地域や API 呼び出しのパターンの変更を迅速に特定できるようにします。Detective はロールのチェーンを追跡します。つまり、ロールが 2 番目のロールを引き受けるために使用される場合、アナリストは引き受けのチェーンをたどり、関係するプリンシパルにそれらを関連付けることができます。Detective は 12 か月間データを保持するため、履歴アクティビティを簡単に調査できます。
Detective の新しいロールセッション分析機能は、セキュリティ調査中に API 呼び出しを特定のプリンシパルに関連付けるのに役立ち、有効なアカウント全体で IAM ロールがどのように使用されているかを理解するのに役立ちます。カスタムまたはサードパーティーのツールを使用して CloudTrail アクティビティをエクスポート、保存、および分析する代わりに、Amazon Detective が手間のかかる作業を行い、調査の質問に迅速に回答するのを直接サポートします。IAM ロールセッション分析は、Detective のサポートされているすべてのリージョンで利用可能になり、追加費用なしで含まれています。
Amazon Detective では、潜在的なセキュリティ問題の根本原因を簡単に分析および調査し、すばやく特定できます。AWS マネジメントコンソールで数回クリックするだけで、Amazon Detective の 30 日間の無料トライアルをご利用いただけます。Detective が利用できる全リージョンについて詳しくは、AWS リージョンのページを参照してください。詳細は、Amazon Detective の製品ページをご覧ください。