投稿日: Sep 7, 2021
Amazon Detective は、Splunk Trumpet プロジェクトと連携して、Splunk での Amazon GuardDuty の検出結果から Amazon Detective エンティティプロファイルに直接ピボットする機能をリリースしました。これにより、お客様は、潜在的なセキュリティ問題や疑わしいアクティビティの根本原因をすばやく特定できます。
この新機能は、Splunk から Amazon Detective への迅速なピボットを可能にすることで、セキュリティチームとオペレーションチームのセキュリティ分析を簡素化するのに役立ちます。URL をコピーして貼り付けたり、Detective で必要なリソースを検索したりする必要がなくなります。代わりに、Amazon Detective が手間のかかる作業を処理するため、お客様は調査の質問に対する回答を迅速に得ることに集中できます。例えば、Amazon Detective は、「Splunk で調査しているこの IP アドレスが自分の AWS アカウントのリソースとどのくらいの時間相互作用しているか」、「この IP アドレスはどの EC2 インスタンスと通信していたか」、「この IP アドレスと交換されたデータボリュームはどれか」、「通信が行われたポートはどれか」、「どのユーザーとロールがこの IP アドレスから API オペレーションを呼び出したか」などの質問に回答するのに役立ちます。
新しい Amazon Detective 統合は、Amazon Detective がサポートされているすべてのリージョンで Splunk Trumpet Project の一部として利用できるようになりました。この統合は、GuardDuty の検出結果を Splunk に送信する Lambda プリプロセッサへの追加です。更新されたコードは、Amazon GuardDuty の検出結果の入力レコードを受け取り、コンテンツを解析して、Splunk の追加フィールドとして適切な Amazon Detective URL を生成します。Splunk が生成する URL は、Amazon Detective ユーザーガイドの Navigating directly to a profile using a URL で説明されているプロファイル URL 用の形式を使用します。EC2 インスタンス用の URL の例を次に示します: (https://console.aws.amazon.com/detective/home?region=us-east-1#entities/Ec2Instance/i-0149bf6226265a199?scopeStart=1624674429&scopeEnd=1626473483)。
次の手順を使用して、AWS との最初の Splunk 統合を完了します: Automating AWS Data Ingestion into Splunk。Splunk Trumpet プロジェクトのインストールページで、[AWS CloudWatch Events] ドロップダウンから [Detective GuardDuty URLs] (Detective GuardDuty URL) を選択します。
Amazon Detective では、潜在的なセキュリティ問題の根本原因を簡単に分析および調査し、すばやく特定できます。使用を開始するには、AWS マネジメントコンソールで数回クリックするだけで、Amazon Detective の 30 日間の無料トライアルをご利用いただけます。Detective が利用できる全リージョンについては、AWS リージョンのページを参照してください。詳細については、Amazon Detective の製品ページを参照してください。