Amazon Web Services ブログ

Amazon Detective – 迅速なセキュリティ調査と分析

私はほぼ 5 年前、機密の API 使用時に AWS CloudTrail データを自動的に分析してアラートを生成するソリューションについてブログを書きました。これは、セキュリティ分析と自動化のためのシンプルで基本的なソリューションでした。けれども、要求水準の高い AWS のお客様は複数の AWS アカウントを持ち、複数のソースからデータを収集しています。そのため、正規表現に基づく簡単な検索では、疑わしいセキュリティ関連イベントの詳細な分析を行うには不十分です。差し当たり、セキュリティの問題 (資格情報の侵害やリソースへの不正アクセスなど) が検出されると、セキュリティアナリストは複数のデータログをクロス分析して、問題の根本原因と環境への影響を理解しようとします。詳細な分析では、複数のサイロ化されたシステムによって生成されたデータ間のドットをつなげるために、スクリプトと ETL が必要になることがよくあります。「これは正常か?」といった基本的な質問に答えるには、熟練したデータエンジニアが必要です。アナリストは、セキュリティ情報およびイベント管理 (SIEM) ツール、サードパーティライブラリ、およびデータ視覚化ツールを使用して、データを検証、比較、および関連付けて、結論に達します。問題をさらに複雑にしているのは、新しい AWS アカウントと新しいアプリケーションが常に導入されるため、アナリストは通常の動作のベースラインを常に再構築し、新しいセキュリティ問題を評価するたびにアクティビティの新しいパターンを理解する必要がある点です。

Amazon Detective は、セキュリティ上の問題の原因と影響を特定するために、大量の AWS ログデータの処理に伴う多大な労力を自動化できるようにしたフルマネージドサービスです。有効にすると、 Detective は自動的に AWS Guard DutyAWS CloudTrail、および Amazon Virtual Private Cloud フローログからのデータの抽出と整理を開始し、AWS 環境全体で観察されたリソースの動作と相互作用を要約したグラフモデルに変換します。

re:invent 2019 で、 Amazon Detective のプレビューを発表しました。本日、すべての AWS のお客様にご利用いただけるようになったことをお知らせします。

Amazon Detective は、機械学習モデルを使用してアカウントの動作のグラフィック表現を生成し、「これはこのロールにとって異常な API 呼び出しか?」や「このインスタンスからのトラフィックの急増は予想されているか?」といった質問に答えるのに役立ちます。独自のクエリを設定または調整するために、コードを記述する必要はありません。

Amazon Detective を使用開始するには、 AWS マネジメントコンソールを開き、検索バーに「detective」と入力し、表示された結果から [Amazon Detective] を選択して、サービスを起動します。サービスを有効にして、監視する「メンバー」アカウントとデータを集計する「マスター」アカウントを設定するようにコンソールに案内させます。この 1 回限りのセットアップの後、 Amazon Detective はすぐに AWS テレメトリデータの分析を開始し、数分以内に、AWS リソースと、ログイン、API 呼び出し、ネットワークトラフィックなどの関連する動作を要約した一連のビジュアルインターフェイスにアクセスできます。Amazon Detective 検索バーから結果やリソースを検索し、しばらくすると、一連のメトリクスのベースラインと現在の値を視覚化できます。

リソースのタイプと ID を選択し、さまざまなグラフの閲覧を開始します。

Guard DutyAWS Security Hub コンソール内のネイティブ統合を使用して、 AWS Guard Duty の結果を調査することもできます。<t7><t8>AWS Guard Duty</t8> AWS Guard Duty</t7> の結果から [Investigate] リンクをクリックし、関連する詳細、コンテキスト、ガイダンスを提供する <t9><t10></t10>Amazon Detective</t9> コンソールに直接ジャンプして、問題を調査して対処します。以下の例では、Guard Duty が、調査対象にした不正アクセスについて報告しています。

Amazon Detective コンソールを開きます。

ページを下にスクロールして、失敗した API 呼び出しのグラフを確認します。グラフのバーをクリックして、呼び出しの発信元の IP アドレスなどの詳細を取得します。

呼び出し元 IP アドレスがわかったら、[New behavior: AWS role] をクリックし、この呼び出しの発信元を確認して、自動的に検出されたベースラインと比較します。

Amazon Detective は AWS アカウント全体で機能します。これは、最大 1000 の AWS アカウントからのデータと結果を単一のセキュリティ所有の「マスター」アカウントに集約するマルチアカウントソリューションです。これにより、AWS 環境全体の行動パターンとつながりを簡単に確認できます。

サービスを使用するためにデプロイするエージェント、センサー、または追加のソフトウェアはありません。 Amazon Detective は、 AWS Guard Duty AWS CloudTrail および Amazon Virtual Private Cloud フローログからデータを取得、集計、分析します。 Amazon Detective は、インフラストラクチャに手を加えることなく、AWS から既存のログを直接収集するため、コストやパフォーマンスに一切影響を与えません。

Amazon Detective は、 AWS マネジメントコンソール または Amazon Detective 管理 API を介して管理できます。管理 API を使用すると、 Amazon Detective を標準のアカウント登録、有効化、およびデプロイプロセスに組み込むことができます。

Amazon Detective はリージョンサービスです。結果を分析するすべての AWS リージョンでサービスをアクティブ化します。すべてのデータは、それが生成される AWS リージョンで処理されます。  Amazon Detective は、ログの取り込み日から 1 年間のローリング期間にかけて行動グラフでデータ分析とログの要約を維持します。これにより、長期間にわたって大規模なデータセットを視覚的に分析し、詳細に調べることができます。サービスを無効にすると、データが残っていないことを確認するために、すべてのデータが消去されます。

Amazon Detective を使用するために必要な追加料金や事前のコミットメントはありません。AWS AWS CloudTrail Amazon Virtual Private Cloud フローログ、および AWS Guard Duty の結果から取り込んだデータ 1 GB ごとに課金します。 Amazon Detective は、30 日間の無料トライアルを提供しています。いつものように、詳細については料金表ページをご確認ください。

Amazon Detective は、中国を除くすべての商用 AWS リージョンでご利用いただけます。本日よりご利用いただけます。

— seb