Amazon Detective のよくある質問

Amazon Detective は、AWS マネジメントコンソールでわずか数回クリックするだけで有効にできます。Amazon Detective が有効になると、データが自動的にグラフモデルにまとめられます。そのモデルは新しいデータが利用可能になる度に、継続的にアップデートされます。Amazon Detective を体験して、潜在的なセキュリティ問題の調査を開始しましょう。

AWS マネジメントコンソール内から、または Amazon Detective API を使用して、Amazon Detective を有効にできます。すでに Amazon GuardDuty または AWS Security Hub コンソールを使用している場合、最適なクロスサービスエクスペリエンスを得るには、Amazon GuardDuty または AWS Security Hub の管理者アカウントと同じアカウントで Amazon Detective を有効にする必要があります。

はい。Amazon Detective は、同じリージョン内の単一の管理者アカウントでモニタリング対象のメンバーアカウントからデータを集約するマルチアカウントサービスです。Amazon GuardDuty と AWS Security Hub で管理者アカウントとメンバーアカウントを設定するのと同じ方法で、マルチアカウントモニタリングのデプロイを設定できます。

Amazon Detective を使用すると、Amazon Virtual Private Cloud (Amazon VPC) フローログ、AWS CloudTrail ログ、Amazon Elastic Kubernetes Service (Amazon EKS) の監査ログ、AWS Security Hub の検出結果、Amazon GuardDuty の検出結果に関連する概要や分析データを閲覧できます。

はい。アカウントで Amazon GuardDuty を有効にしていない場合でも Amazon Detective を使用できます。Amazon Detective を使用すると、AWS アカウント、EC2 インスタンス、AWS ユーザー、ロール、IP アドレス間の動作とやり取りに関する詳細を要約、分析、可視化できます。この情報は、セキュリティ問題または運用上のアカウントアクティビティを理解するのに非常に役立ちます。Amazon GuardDuty は、「Key implementation guidelines of the AWS SRA」の一部である規範的ガイダンス「AWS Security Reference Architecture (SRA)」に含まれるサービスです。

Amazon Detective を有効にするとすぐにログデータの収集を開始し、取り込まれたデータの視覚的な概要と分析結果を示します。Amazon Detective は、2 週間のアカウントモニタリング後に確立された履歴ベースラインと最近のアクティビティとの比較も行います。

はい、アマゾンセキュリティレイクとのインテグレーションを使用して AWS CloudTrail ログと Amazon VPC フローログをエクスポートできます。統合がどのように機能するかは、「Amazon Detective for Amazon セキュリティレイク」セクションで確認できます。

Amazon Detective は、AWS 責任共有モデルに準拠しており、これにはデータ保護のための規制とガイドラインへの準拠も含まれます。Amazon Detective 有効にすると、有効になっているアカウントの AWS CloudTrail ログ、Amazon VPC Flow Logs、Amazon EKS 監査ログ、統合された AWS のサービスから AWS Security Hub に送信された検出結果、Amazon GuardDuty の検出結果から得られたデータを処理します。

Amazon Detective はログデータと結果を AWS のサービスから直接取得するため、Amazon Detective は AWS インフラストラクチャのパフォーマンスや可用性に影響を与えません。

Amazon GuardDuty は、悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービスで、AWS アカウントとワークロードを保護します。AWS Security Hub により、複数の AWS のサービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie など) および AWS パートナーソリューションにおけるセキュリティアラートと検出結果を、一元的に集約、整理、優先順位付けできます。Amazon Detective は、セキュリティの検出結果を調べ、根本原因を特定するプロセスを簡素化します。Amazon Detective は、Amazon VPC Flow Logs、AWS CloudTrail ログ、Amazon EKS 監査ログ、統合された AWS のサービスから AWS Security Hub に送信された検出結果、Amazon GuardDuty の検出結果などの複数のデータソースから数兆個のイベントを分析し、リソース、ユーザー、およびそれらの間の経時的な相互作用の統一されたインタラクティブなビューを提供するグラフモデルを自動的に作成します。

Amazon Detective を使用すると、AWS CloudTrail ログ、Amazon VPC フローログ、Amazon EKS 監査ログ、統合された AWS サービスから AWS セキュリティハブに送信された結果、および Amazon GuardDuty の調査結果からのセキュリティデータを分析して視覚化できます。Amazon Detective がお客様のアカウントのこれらのログや結果を分析しないようにするには、API を使用するか、Amazon Detective 用 AWS コンソールの設定セクションからサービスを無効にしてください。

Amazon Detective はさまざまな視覚化を行い、AWS アカウント、EC2 インスタンス、ユーザー、ロール、IP アドレス、Amazon GuardDuty の結果といった AWS リソースに関するコンテキストと洞察を示します。各視覚化は、調査結果と関連するアクティビティを分析するときに出てくる特定の質問に答えるように設計されており、パネルを解釈し、その情報を使用して調査の質問に答える方法を明確に説明するガイダンスをテキストで提供します。

Amazon Detective は、Amazon GuardDuty、AWS セキュリティハブ、および Amazon セキュリティレイクとのコンソール統合をサポートすることにより、クロスサービスのユーザーワークフローをサポートします。GuardDuty と Security Hub には、コンソール内からリンクが用意されており、選択した結果から、選択した結果を調査するための精選された視覚化セットを含む Amazon Detective ページに直接リダイレクトできます。Amazon Detective には、お客様の調査に基づいて、Amazon Security Lake からログファイルをクエリしてダウンロードできるクエリがあらかじめ組み込まれています。Amazon Detective の調査結果詳細ページは、すでに検出結果の時間枠に合わせて調整されており、調査結果に関連するデータが表示されます。

さまざまなパートナーセキュリティソリューションプロバイダーが Amazon Detective と統合して、自動化されたプレイブックやオーケストレーション内の調査手順を有効にしました。これらの製品の応答ワークフロー内で、Amazon Detective ページにユーザーをリダイレクトするリンクが提示されます。このページには、ワークフロー内で特定された検出結果とリソースを調査するためにキュレーションされた視覚化情報が含まれています。

Amazon Detective を有効にすると、AWS Security Hub と統合された AWS サービスのユーザー、ネットワーク、および設定のアクティビティを自動的かつ継続的に分析し、関連付けます。Amazon Detective は、AWS セキュリティ検出結果と呼ばれるオプションのデータソースを通じて、AWS セキュリティサービスから AWS Security Hub に転送されたセキュリティ検出結果を自動的に取り込みます。

AWS セキュリティハブは、複数の AWS サービスとの統合をサポートしています。Amazon Macie から機密データが見つかることを期待すると、Security Hub とのその他すべての AWS サービス統合に自動的にオプトインされます。Security Hub と統合サービスのいずれかを有効にした場合、それらのサービスは結果を Security Hub に送信します。Detective はこれらの検出結果を取り込んでグラフに追加するため、統合されたすべての AWS サービスのセキュリティ調査を実施できます。これらのサービスには、AWS Config、AWS ファイアウォールマネージャー、Amazon GuardDuty、AWS Health、AWS ID およびアクセス管理アクセスアナライザー、Amazon Inspector、AWS IoT Device Defender、Amazon Macie、AWS システムマネージャーパッチマネージャーが含まれます。

デフォルトでは、AWS のセキュリティ調査結果は Detective を使用する新規アカウントのデータソースとして有効になっています。AWS セキュリティ調査結果のサポートがリリースされる前に Detective を使用していた場合は、このデータソースを有効にする必要があるかもしれません。「管理ガイド」の「 AWS security findings」に記載されている手順に従って、Detective のデータソースを確認できます。このデータソースは、Detective を使用する予定の各地域で有効にする必要があります。

Amazon Detective は、独立した重複したログストリームを使用してセキュリティ結果を使用するため、Amazon Detective は AWS セキュリティサービスのパフォーマンスに影響を与えないように設計されています。このように、Amazon Detective が AWS のセキュリティ調査結果を使用しても、AWS Security Hub や統合された AWS セキュリティサービスの使用コストは増加しません。

Amazon Detective による AWS セキュリティ結果の消費量は、Amazon Detective によって処理および分析された結果の量に基づいて価格設定されます。Amazon Detective は、AWS のセキュリティ結果を有効にしているすべてのお客様に 30 日間の無料トライアルを提供しています。これにより、お客様は Amazon Detective の機能がセキュリティニーズを満たしていることを確認し、有料利用を開始する前にサービスの月額費用の見積もりを取得できます。

いいえ。Amazon Detective は、各サービスから送信された検出結果に対して一度だけ請求します。 

2 つのサービスを統合すると、Amazon Detective はセキュリティ調査のために Amazon Security Lake から AWS CloudTrail ログと Amazon 仮想プライベートクラウド (Amazon VPC) フローログをクエリして取得できるようになります。この統合を使用して、Amazon Detective で調査を開始し、ログに追加の詳細情報を保存する必要がある場合は、特定の AWS CloudTrail ログまたは Amazon VPC フローログをプレビューまたはダウンロードできます。たとえば、過去 24 時間の IAM ユーザーからの不審なアクティビティを調査している場合、Amazon Detective を使用して、API メソッドパネルで IAM ユーザーが操作したサービスの概要を取得できます。ロールを記述するための API 呼び出しなど、潜在的なセキュリティ問題を表すサービスとのやりとりを観察した場合は、その IAM ユーザーの AWS CloudTrail ログをダウンロードできます。Amazon Detective は、調査対象の時間とエンティティ (IAM ユーザーの場合は過去 24 時間) を対象とした、Amazon Athena を使用して事前に作成された SQL クエリを提供します。これにより、クエリとログの取得が容易になります。この統合により、SQL クエリを最初から作成する必要がなくなるため、時間を節約できます。また、Amazon Detective コンソールを離れることなく結果をプレビューしてダウンロードできます。

2 つのサービス間の統合を有効にするには、Amazon CloudFormation テンプレートを実行する必要があります。このテンプレートは、Amazon Security Lake のログをクエリして使用するための十分な権限を持つサブスクライバーアカウントを作成し、ログのクエリとダウンロードに使用される追加の AWS サービスをアカウントにデプロイします。Amazon CloudFormation テンプレートがデプロイする内容は、Amazon Detective ユーザーガイドで確認できます。

Amazon Detective の料金と Amazon セキュリティレイクの料金に基づいて、各サービスの料金が請求されます。さらに、Amazon Athena を使用するクエリごとに料金が発生し、統合をサポートするためにアカウントにデプロイされた追加の AWS サービスにも料金がかかります。AWS 料金見積りツールを使用して、2 つのサービスを統合するための総コストを見積もることができます。

はい。Amazon CloudFormation テンプレートは、Amazon Detective と Amazon セキュリティレイクを統合する各 AWS リージョンで実行する必要があります。 

Amazon Elastic Kubernetes Service (Amazon EKS) 用 Amazon Detective

有効にすると、Amazon Detective は Amazon EKS ワークロード全体のユーザー、ネットワーク、設定のアクティビティを自動的かつ継続的に分析し、関連付けます。Amazon Detective は、Amazon EKS 監査ログを自動的に取り込み、ユーザーアクティビティを AWS CloudTrail 管理イベントと関連付けたり、ネットワークアクティビティを Amazon VPC フローログと関連付けたりします。これらのログを手動で有効化または保存する必要はありません。このサービスは、これらのログから重要なセキュリティ情報を抽出し、セキュリティ行動グラフデータベースに保持します。これにより、12 か月間のアクティビティにすばやく相互参照できます。Amazon Detective には、行動グラフデータベースに裏付けられた一般的なセキュリティ上の質問に答えるのに役立つデータ分析および視覚化レイヤーが用意されています。これにより、Amazon EKS ワークロードに関連する潜在的な悪意のある行動をより迅速に調査できます。

デフォルトでは、Amazon EKS 監査ログは Detective を使用するアカウントのデータソースとして有効になっています。EKS 監査ログのサポートがリリースされる前に Detective を使用していた場合は、このデータソースを有効にする必要がある場合があります。「管理ガイド」の「 Amazon EKS audit logs for Detective」に記載されている手順に従って、Detective のデータソースを確認できます。このデータソースは、Detective を使用する予定の各地域で有効にする必要があります。

Amazon Detective は、独立した重複した監査ログストリームを使用して監査ログを消費するため、Amazon Detective が Amazon EKS のワークロードのパフォーマンスに影響を与えないように設計されています。このように、Amazon Detective が Amazon EKS 監査ログを消費しても、Amazon EKS の使用コストは増加しません。

Amazon Detective の Amazon EKS 監査ログの消費は、Amazon Detective によって処理および分析された監査ログの量に基づいて料金設定されます。Amazon Detective は、Amazon EKS のカバレッジを有効にするすべてのお客様に 30 日間の無料トライアルを提供し、お客様は Amazon Detective の機能がセキュリティニーズを満たすことを確認し、有料での使用をコミットする前にサービスの月額コストの見積もりを取得することができます。

現在、この機能は、AWS アカウントの EC2 インスタンスで実行されている Amazon EKS デプロイをサポートしています。Detective は、Amazon GuardDuty EKS ランタイムモニタリングと ECS ランタイムモニタリング (ファーゲートでの Amazon ECS のモニタリングを含む) のサポートも提供しています。この機能では、EC2 または ES Anywhere 上の非マネージド Kubernetes を可視化することはできません。