投稿日: Sep 20, 2021
Amazon Detective は、Amazon Simple Storage Service (S3) と Amazon GuardDuty の DNS 関連の検索結果に対するセキュリティ調査のサポートを拡大し、GuardDuty からのすべての検出を完全にカバーすることができます。これに伴い、Detective は、セキュリティアナリストが、刷新されたユーザーエクスペリエンスを用いてエンティティや行動を調査することを、従来よりも容易にしました。
セキュリティアナリストは、S3 バケット上の異常な活動を簡単に調査し、「誰が S3 バケットを作成したのか」、「いつ S3 バケットは作成されたのか」、「誰が S3 バケットを公開したのか」、「ユーザーは他の S3 バケットでログを無効にするなどの機密性の高い API を実行したのか」などの疑問に答えることができるようになりました。また、評判の低いドメイン名 (暗号通貨関連の活動に関連するものなど) やアルゴリズムで生成されたドメインに関連する検索結果を深く掘り下げることもできます。これにより、セキュリティアナリストは Detective を使用して、GuardDuty のすべての検索結果タイプの根本原因を容易に分析、調査、および迅速に特定することができるようになりました。
また、Amazon Detective は、既存のリソースプロファイルページを改良し、お客様がより迅速に、検索結果のためのエンティティに関連するアクティビティに重点を置けるようにしました。 新しい検索結果の概要には、各検索結果の詳細が記載されており、各関連エンティティのプロファイルへのリンクも提供されています。アナリストはこれを利用して、EC2 インスタンス、IAM プリンシパル、IP アドレスなどのさまざまなエンティティがどのように検索結果と関連しているかをさらに理解することができます。例えば、Detective は、S3 バケットレベルのアクティビティと、関連する調査コンテキストを既存のデータソースから S3 バケットプロファイルに集約し、調査を支援するとともに、バケットにアクセスした IAM ユーザー/ロールセッションリソースや、スコープ時間内に S3 バケットレベルの API を呼び出したリモート IP アドレスなど、他のリソースにピボットする機能をアナリストに提供します。
既に Detective を使用してセキュリティ調査を行っているセキュリティアナリストは、新たなステップを踏まずに新機能を有効にすることができます。また、GuardDuty や Security Hub の「Detective で調査する」オプションを使用すると、新たにサポートされた検索結果をさらに調査するために Detective にピボットすることができます。GuardDuty や Security Hub から Detective へのピボット方法の詳細については、「Detective ユーザーガイド」を参照してください。
Amazon Detective では、潜在的なセキュリティ問題の根本原因を簡単に分析および調査し、すばやく特定できます。使用を開始するには、AWS マネジメントコンソールで数回クリックするだけで、Amazon Detective の 30 日間の無料トライアルをご利用いただけます。Detective が利用できる全リージョンについては、AWS リージョンのページを参照してください。詳細については、Amazon Detective の製品ページを参照してください。