Amazon Detective

セキュリティデータを分析および視覚化して、潜在的なセキュリティ問題の根本原因を迅速に把握する

Amazon Detective では、潜在的なセキュリティ問題や不審なアクティビティの根本原因を簡単に分析、調査し、すばやく特定できます。Amazon Detective は、AWS リソースからログデータを自動的に収集し、機械学習、統計的分析、グラフ理論を使用して、リンクされたデータセットを構築します。これにより、より迅速かつ効率的なセキュリティ調査を簡単に行えます。

Amazon GuardDuty、Amazon Macie、AWS Security Hub などの AWS セキュリティサービス、およびパートナーセキュリティ製品を使用して、潜在的なセキュリティの問題を特定したり、調査結果を取得したりできます。これらのサービスは、何か問題がある場合にアラートを受け取り、修正箇所を指摘してもらうのにとても便利です。けれども、セキュリティに関する調査結果を受け取って、さらに深く掘り下げてより多くの情報を分析することで、根本原因を特定して対処する必要がある場合もあるかもしれません。セキュリティの発見の根本原因を特定することは、多くの場合、多くの個別のデータソースからログを収集して結合することを伴う複雑なプロセスになる可能性があります。その際、抽出、変換、および読み込み (ETL) ツールまたはカスタムスクリプトを使用してデータを整理してから、セキュリティアナリストがデータを分析して長時間の調査を行う必要があります。

Amazon Detective は、セキュリティチームが簡単に調査し、発見の根本原因にすばやく到達できるようにすることで、このプロセスを簡素化します。Amazon Detective は、Virtual Private Cloud (VPC) Flow Logs、AWS CloudTrail、Amazon GuardDuty などの複数のデータソースから数兆個のイベントを分析し、リソース、ユーザー、およびそれらの間の経時的な相互作用の統一されたインタラクティブなビューを自動的に生成できます。この統合ビューを使用すると、すべての詳細とコンテキストを 1 か所で視覚化して、調査結果の根本的な理由を特定し、関連する履歴アクティビティにドリルダウンして、根本原因を迅速に特定できます。

Amazon Detective を開始するには、AWS コンソールで数回クリックするだけです。デプロイするソフトウェアはなく、データソースを有効化して維持する必要もありません。

利点

より迅速で効果的な調査

Amazon Detective は、すべてのコンテキストと詳細を 1 か所にまとめて、ユーザーとリソースの相互作用の経時的な統一されたビューを提示します。これは、セキュリティ分析の根本原因をすばやく分析して把握するのに役立ちます。たとえば、異常なコンソールログイン API コールのような Amazon GuardDuty の調査結果は、経時的な API コールの傾向やジオロケーションマップでのユーザーのログイン試行に関する詳細を使用して、Amazon Detective ですばやく調査できます。これらの詳細により、それが正当なものであるか、AWS リソースの侵害の兆候であるかをすばやく把握できます。 

継続的なデータ更新で時間と労力を節約

Amazon Detective は、IP トラフィック、AWS 管理操作、悪意のあるアクティビティや不正なアクティビティに関するテラバイトのイベントデータレコードを自動的に処理します。データは、AWS 環境内のすべてのセキュリティ関連の関係を要約するグラフモデルにまとめます。次に、Amazon Detective はこのモデルにクエリを実行して、調査で使用する視覚化を行います。グラフモデルは、AWS リソースから新しいデータが利用可能になると継続的に更新されるため、絶えず変化するデータの管理に費やす時間を短縮できます。

使いやすい視覚化

Amazon Detective は、セキュリティの調査結果を調査して対応するために必要な情報を使って視覚化します。「このロールで失敗した API コールが非常に多く発生するのは正常ですか?」などの質問に答えるのに役立ちます。または「このインスタンスからのトラフィックの急増は予想していますか?」データを整理したり、独自のクエリやアルゴリズムを開発、構成、調整する必要はありません。Amazon Detective は、選択した時間枠におけるアクティビティの種類と量の変化を示す最大 1 年間の集計データを保持し、それらの変化をセキュリティの結果にリンクします。

仕組み

Amazon Detective の仕組み

ユースケース

セキュリティ問題のトリアージ

トリアージは調査プロセスの最初の段階であることが多く、調査結果が実際のセキュリティ問題なのか誤検知なのかを判断するために使用されます。Amazon Detective の視覚化を使用すると、どのリソース、IP アドレス、AWS アカウントがその検出結果および関連する結果に関連しているか、およびその検出結果に近い時間または場所で発生したアクティビティを確認して、検出結果が実際の悪意のあるアクティビティなのか誤検知であるのかをすばやく判断できます。

インシデント調査

一部のセキュリティ調査結果では、悪意のあるアクティビティの範囲、その影響、および根本的な原因を特定するために詳細な調査が必要です。Amazon GuardDuty などの AWS セキュリティサービスで調査結果が出次第、Amazon Detective に移動して、調査に関連するコンテキストとアクティビティをすぐに確認し、関連する履歴アクティビティにドリルダウンして異常なパターンを特定し、根本原因および調査結果で取り上げられたアクティビティの性質と範囲をすばやく判断できます。

脅威ハンティング

脅威ハンティングは、特定の手がかりや仮説に基づいて隠れた脅威を発見するための積極的な分析です。Amazon Detective は、IP アドレス、AWS アカウント、VPC、EC2 インスタンスなどの特定のリソースに注意を向け、それらのリソースに関連するアクティビティを詳細に視覚化することで、脅威ハンティングを支援します。Amazon Detective は、時間ベースの分析とドリルイン能力をもたらし、特定の期間中のすべてのアクティビティを確認し、標準からの変更点を特定できるようにすることで、ハンティングプロセスを支援します。

ドキュメントを読む
ドキュメントを読む

ドキュメントを読んで、Amazon Detective の機能と実装の詳細をご覧ください。

ドキュメントを読む 
AWS アカウントにサインアップする
無料のアカウントにサインアップする

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
プレビューにサインアップ
Amazon Detective の開始方法

Amazon Detective で構築を開始しましょう。

開始方法