Amazon Detective のよくある質問
全般
すべて開くAmazon Detective とは
Amazon Detective では、潜在的なセキュリティ問題や不審なアクティビティの根本原因をより簡単に分析および調査し、すばやく特定できます。Amazon Detective は、AWS リソースからログデータを自動的に収集し、機械学習、統計的分析、グラフ理論を使用して、リンクされたデータセットを構築します。これにより、より迅速かつ効率的なセキュリティ調査を簡単に行えます。
Amazon Detective の主な利点は何ですか?
Amazon Detective は調査プロセスを簡素化し、セキュリティチームがより迅速かつ効果的な調査を実施できるようにします。Amazon Detective の事前に構築されたデータの集計、要約、コンテキストは、起こりうるセキュリティ問題の性質と範囲を迅速に分析および判断するのに役立ちます。Amazon Detective は、選択した時間枠におけるアクティビティの種類と量の変化を示す最大 1 年間の集計データを保持し、一連の視覚化を通じて簡単に利用できるようにし、それらの変化をセキュリティの調査結果にリンクします。初期費用は発生せず、分析するイベントに対してのみ料金が発生します。追加のソフトウェアをデプロイしたり、ログフィードの有効化も必要ありません。
Amazon Detective はセキュリティ調査の分析にどのように役立ちますか?
Amazon Detective は、AWS CloudTrail、Amazon 仮想プライベートクラウド (Amazon VPC) フローログ、Amazon GuardDuty 調査結果、AWS セキュリティハブの調査結果、Amazon Elastic Kubernetes サービス (Amazon EKS) 監査ログから、ログイン試行、API 呼び出し、ネットワークトラフィックなどの時間ベースのイベントを抽出します。Detective は、機械学習 (ML) を活用した行動グラフを作成して、リソースの挙動とその相互作用の経時変化、特に時間ベースのイベントについて、統一されたインタラクティブなビューを作成します。行動グラフを調べると、ログイン試行の失敗、疑わしい API コール、検出結果グループなどのセキュリティイベントを分析でき、AWS セキュリティ検出結果の根本原因の調査に役立ちます。
検出結果グループとは何ですか、また、検出結果の調査にかかる時間を短縮するにはどうすればよいですか?
脅威アクターは AWS 環境を侵害しようとする際に一連のアクションを実行することが多く、その結果、AWS リソース全体で複数のセキュリティ検出結果が生じる可能性があります。検出結果グループとは、1 つの潜在的なセキュリティインシデントに関連するセキュリティ結果とリソースの集まりで、まとめて調査する必要があります。検出結果グループを使用すると、セキュリティ検出結果を個別に調査する必要がなくなるため、トリアージにかかる時間を短縮できます。調査は、インシデントをより完全に理解できるグループを見つけることから始めることができます。また、インタラクティブな視覚化機能も備えているため、ジェネレーティブ AI を使用して一連の出来事を自然言語で説明することで、特定の発見や洞察を調べることができます。詳細については、「検出結果グループの分析」をお読みください。
自動調査とは何ですか? また、自動調査はリソースの調査にかかる時間の短縮にどのように役立ちますか?
自動調査により、IAM ユーザーやロールなどの AWS Identity and Access Management (IAM) エンティティを調査して、これらのエンティティが侵害されている可能性があるかどうかを判断できます。 自動調査は、行動グラフにクエリを実行し、機械学習を使用して IAM エンティティが異常な動作を示しているのか、侵害の兆候 (IoC) を示しているのかを特定することでこれを実現します。これらの IOC には、旅行中にログインできない、既知の不正な IP アドレスとの関連付け、セキュリティ結果の履歴など、潜在的に悪意のあるアクティビティが含まれる場合があります。AWS CloudTrail のログを分析し、不審なアクティビティを見つけるための独自のスクリプトを開発する代わりに、自動調査を使用して「この IAM ロールが不可能な旅行ログインに使用されたことはありますか?」などの質問に答えることで、時間を節約できます。または「この IAM ロールセッションは既知の不正な IP アドレスによって使用されたのでしょうか?」または「この IAM プリンシパルロールがセキュリティイベント中にトリガーした戦術、技術、手順 (TTP) は何か?」 詳細については、 Amazon Detective ユーザーガイドを参照してください。
Amazon Detective にはどれくらいのコストがかかりますか?
Amazon Detective の料金は、AWS CloudTrail ログ、Amazon VPC Flow Logs、Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログ、Amazon GuardDuty の検出結果から取り込まれたデータの量、および統合された AWS のサービスから AWS Security Hub に送信された調査結果に基づいています。アカウント/リージョン/月ごとに取り込んだギガバイト (GB) 単位で課金されます。Amazon Detective は、分析のために最大 1 年間の集計データを保持します。最新の料金情報については、Amazon Detective の料金ページをご覧ください。Amazon EKS と AWS Security Hub の調査結果はオプションのデータソースであり、Detective にそれらのデータソースを取り込みたくない場合は無効にできます。
Amazon Detective の無料トライアルはありますか?
はい。これまでに Amazon Detective を使用したことのないアカウントであれば、無料で 30 日間サービスをご利用いただけます。無料トライアル中はすべての機能セットをご使用いただけます。
Amazon Detective はリージョン別またはグローバルのどちらのサービスですか?
Amazon Detective は、リージョンごとに有効にする必要があり、各リージョン内のすべてのアカウントのアクティビティをすばやく分析できるようにします。このため、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。
Amazon Detective はどのリージョンをサポートしていますか?
Amazon Detective を利用できるリージョンの一覧は、「AWS リージョン表」を参照してください。
Amazon Detective の開始方法
すべて開くAmazon Detective の使用を開始する方法を教えてください。
Amazon Detective は、AWS マネジメントコンソールでわずか数回クリックするだけで有効にできます。Amazon Detective が有効になると、データが自動的にグラフモデルにまとめられます。そのモデルは新しいデータが利用可能になる度に、継続的にアップデートされます。Amazon Detective を体験して、潜在的なセキュリティ問題の調査を開始しましょう。
Amazon Detective を有効にするにはどうすればよいですか?
AWS マネジメントコンソール内から、または Amazon Detective API を使用して、Amazon Detective を有効にできます。すでに Amazon GuardDuty または AWS Security Hub コンソールを使用している場合、最適なクロスサービスエクスペリエンスを得るには、Amazon GuardDuty または AWS Security Hub の管理者アカウントと同じアカウントで Amazon Detective を有効にする必要があります。
Amazon Detective で複数のアカウントを管理できますか?
はい。Amazon Detective は、同じリージョン内の単一の管理者アカウントでモニタリング対象のメンバーアカウントからデータを集約するマルチアカウントサービスです。Amazon GuardDuty と AWS Security Hub で管理者アカウントとメンバーアカウントを設定するのと同じ方法で、マルチアカウントモニタリングのデプロイを設定できます。
Amazon Detective ではどのようなデータソースを分析するのですか?
Amazon Detective を使用すると、Amazon Virtual Private Cloud (Amazon VPC) フローログ、AWS CloudTrail ログ、Amazon Elastic Kubernetes Service (Amazon EKS) の監査ログ、AWS Security Hub の検出結果、Amazon GuardDuty の検出結果に関連する概要や分析データを閲覧できます。
Amazon GuardDuty を有効にしていない場合でも Amazon Detective を使用できますか?
はい。アカウントで Amazon GuardDuty を有効にしていない場合でも Amazon Detective を使用できます。Amazon Detective を使用すると、AWS アカウント、EC2 インスタンス、AWS ユーザー、ロール、IP アドレス間の動作とやり取りに関する詳細を要約、分析、可視化できます。この情報は、セキュリティ問題または運用上のアカウントアクティビティを理解するのに非常に役立ちます。Amazon GuardDuty は、「Key implementation guidelines of the AWS SRA」の一部である規範的ガイダンス「AWS Security Reference Architecture (SRA)」に含まれるサービスです。
Amazon Detective が動作し始めるのにどのくらいかかりますか?
Amazon Detective を有効にするとすぐにログデータの収集を開始し、取り込まれたデータの視覚的な概要と分析結果を示します。Amazon Detective は、2 週間のアカウントモニタリング後に確立された履歴ベースラインと最近のアクティビティとの比較も行います。
Amazon Detective から未加工のログデータをエクスポートできますか?
はい、アマゾンセキュリティレイクとのインテグレーションを使用して AWS CloudTrail ログと Amazon VPC フローログをエクスポートできます。統合がどのように機能するかは、「Amazon Detective for Amazon セキュリティレイク」セクションで確認できます。
Amazon Detective が保存するデータ、暗号化するデータ、有効にするデータソースを制御できますか?
Amazon Detective は、AWS 責任共有モデルに準拠しており、これにはデータ保護のための規制とガイドラインへの準拠も含まれます。Amazon Detective 有効にすると、有効になっているアカウントの AWS CloudTrail ログ、Amazon VPC Flow Logs、Amazon EKS 監査ログ、統合された AWS のサービスから AWS Security Hub に送信された検出結果、Amazon GuardDuty の検出結果から得られたデータを処理します。
Amazon Detective を有効にすることで、既存の AWS ワークロードにパフォーマンスまたは可用性のリスクが発生することはありますか?
Amazon Detective はログデータと結果を AWS のサービスから直接取得するため、Amazon Detective は AWS インフラストラクチャのパフォーマンスや可用性に影響を与えません。
Amazon Detective は Amazon GuardDuty および AWS Security Hub とどのように違いますか?
Amazon GuardDuty は、悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービスで、AWS アカウントとワークロードを保護します。AWS Security Hub により、複数の AWS のサービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie など) および AWS パートナーソリューションにおけるセキュリティアラートと検出結果を、一元的に集約、整理、優先順位付けできます。Amazon Detective は、セキュリティの検出結果を調べ、根本原因を特定するプロセスを簡素化します。Amazon Detective は、Amazon VPC Flow Logs、AWS CloudTrail ログ、Amazon EKS 監査ログ、統合された AWS のサービスから AWS Security Hub に送信された検出結果、Amazon GuardDuty の検出結果などの複数のデータソースから数兆個のイベントを分析し、リソース、ユーザー、およびそれらの間の経時的な相互作用の統一されたインタラクティブなビューを提供するグラフモデルを自動的に作成します。
Amazon Detective がログとデータソースを調べないようにするにはどうすればよいですか?
Amazon Detective を使用すると、AWS CloudTrail ログ、Amazon VPC フローログ、Amazon EKS 監査ログ、統合された AWS サービスから AWS セキュリティハブに送信された結果、および Amazon GuardDuty の調査結果からのセキュリティデータを分析して視覚化できます。Amazon Detective がお客様のアカウントのこれらのログや結果を分析しないようにするには、API を使用するか、Amazon Detective 用 AWS コンソールの設定セクションからサービスを無効にしてください。
Amazon Detective コンソールでの作業
すべて開くセキュリティの問題を調査する方法について、Amazon Detective にはどのようなガイダンスがありますか?
Amazon Detective はさまざまな視覚化を行い、AWS アカウント、EC2 インスタンス、ユーザー、ロール、IP アドレス、Amazon GuardDuty の結果といった AWS リソースに関するコンテキストと洞察を示します。各視覚化は、調査結果と関連するアクティビティを分析するときに出てくる特定の質問に答えるように設計されており、パネルを解釈し、その情報を使用して調査の質問に答える方法を明確に説明するガイダンスをテキストで提供します。
Amazon Detective は、Amazon GuardDuty、AWS Security Hub、Amazon Security Lake などの他の AWS セキュリティサービスとどのように統合されていますか?
Amazon Detective は、Amazon GuardDuty、AWS セキュリティハブ、および Amazon セキュリティレイクとのコンソール統合をサポートすることにより、クロスサービスのユーザーワークフローをサポートします。GuardDuty と Security Hub には、コンソール内からリンクが用意されており、選択した結果から、選択した結果を調査するための精選された視覚化セットを含む Amazon Detective ページに直接リダイレクトできます。Amazon Detective には、お客様の調査に基づいて、Amazon Security Lake からログファイルをクエリしてダウンロードできるクエリがあらかじめ組み込まれています。Amazon Detective の調査結果詳細ページは、すでに検出結果の時間枠に合わせて調整されており、調査結果に関連するデータが表示されます。
Amazon Detective の調査結果を修復および対応ツールと統合するにはどうすればよいですか?
さまざまなパートナーセキュリティソリューションプロバイダーが Amazon Detective と統合して、自動化されたプレイブックやオーケストレーション内の調査手順を有効にしました。これらの製品の応答ワークフロー内で、Amazon Detective ページにユーザーをリダイレクトするリンクが提示されます。このページには、ワークフロー内で特定された検出結果とリソースを調査するためにキュレーションされた視覚化情報が含まれています。
AWS Security Hub 用 Amazon Detective
すべて開くAWS Security Hub 用 Amazon Detective はどのように機能しますか?
Amazon Detective を有効にすると、AWS Security Hub と統合された AWS サービスのユーザー、ネットワーク、および設定のアクティビティを自動的かつ継続的に分析し、関連付けます。Amazon Detective は、AWS セキュリティ検出結果と呼ばれるオプションのデータソースを通じて、AWS セキュリティサービスから AWS Security Hub に転送されたセキュリティ検出結果を自動的に取り込みます。
AWS セキュリティ検出結果とはどのようなものですか?
AWS セキュリティハブは、複数の AWS サービスとの統合をサポートしています。Amazon Macie から機密データが見つかることを期待すると、Security Hub とのその他すべての AWS サービス統合に自動的にオプトインされます。Security Hub と統合サービスのいずれかを有効にした場合、それらのサービスは結果を Security Hub に送信します。Detective はこれらの検出結果を取り込んでグラフに追加するため、統合されたすべての AWS サービスのセキュリティ調査を実施できます。これらのサービスには、AWS Config、AWS ファイアウォールマネージャー、Amazon GuardDuty、AWS Health、AWS ID およびアクセス管理アクセスアナライザー、Amazon Inspector、AWS IoT Device Defender、Amazon Macie、AWS システムマネージャーパッチマネージャーが含まれます。
AWS のセキュリティ調査結果を有効にする必要がありますか?
デフォルトでは、AWS のセキュリティ調査結果は Detective を使用する新規アカウントのデータソースとして有効になっています。AWS セキュリティ調査結果のサポートがリリースされる前に Detective を使用していた場合は、このデータソースを有効にする必要があるかもしれません。「管理ガイド」の「 AWS security findings」に記載されている手順に従って、Detective のデータソースを確認できます。このデータソースは、Detective を使用する予定の各地域で有効にする必要があります。
Amazon Detective は、独立した重複したログストリームを使用してセキュリティ結果を使用するため、Amazon Detective は AWS セキュリティサービスのパフォーマンスに影響を与えないように設計されています。このように、Amazon Detective が AWS のセキュリティ調査結果を使用しても、AWS Security Hub や統合された AWS セキュリティサービスの使用コストは増加しません。
Amazon Detective を使用して AWS セキュリティサービスの検出結果を調査すると、どのような料金が発生しますか?
Amazon Detective による AWS セキュリティ結果の消費量は、Amazon Detective によって処理および分析された結果の量に基づいて価格設定されます。Amazon Detective は、AWS のセキュリティ結果を有効にしているすべてのお客様に 30 日間の無料トライアルを提供しています。これにより、お客様は Amazon Detective の機能がセキュリティニーズを満たしていることを確認し、有料利用を開始する前にサービスの月額費用の見積もりを取得できます。
Amazon GuardDuty の結果を AWS Security Hub に転送する場合、二重請求されますか?
いいえ。Amazon Detective は、各サービスから送信された検出結果に対して一度だけ請求します。
アマゾンセキュリティレイクのアマゾン探偵
すべて開くAmazon Security Lake 用 Amazon Detective はどのように機能しますか?
2 つのサービスを統合すると、Amazon Detective はセキュリティ調査のために Amazon Security Lake から AWS CloudTrail ログと Amazon 仮想プライベートクラウド (Amazon VPC) フローログをクエリして取得できるようになります。この統合を使用して、Amazon Detective で調査を開始し、ログに追加の詳細情報を保存する必要がある場合は、特定の AWS CloudTrail ログまたは Amazon VPC フローログをプレビューまたはダウンロードできます。たとえば、過去 24 時間の IAM ユーザーからの不審なアクティビティを調査している場合、Amazon Detective を使用して、API メソッドパネルで IAM ユーザーが操作したサービスの概要を取得できます。ロールを記述するための API 呼び出しなど、潜在的なセキュリティ問題を表すサービスとのやりとりを観察した場合は、その IAM ユーザーの AWS CloudTrail ログをダウンロードできます。Amazon Detective は、調査対象の時間とエンティティ (IAM ユーザーの場合は過去 24 時間) を対象とした、Amazon Athena を使用して事前に作成された SQL クエリを提供します。これにより、クエリとログの取得が容易になります。この統合により、SQL クエリを最初から作成する必要がなくなるため、時間を節約できます。また、Amazon Detective コンソールを離れることなく結果をプレビューしてダウンロードできます。
Amazon Detective と Amazon Security Lake の統合を有効にするにはどうすればよいですか?
2 つのサービス間の統合を有効にするには、Amazon CloudFormation テンプレートを実行する必要があります。このテンプレートは、Amazon Security Lake のログをクエリして使用するための十分な権限を持つサブスクライバーアカウントを作成し、ログのクエリとダウンロードに使用される追加の AWS サービスをアカウントにデプロイします。Amazon CloudFormation テンプレートがデプロイする内容は、Amazon Detective ユーザーガイドで確認できます。
Amazon Detective と Amazon Security Lake の統合を使用するにはどのような料金がかかりますか?
Amazon Detective の料金と Amazon セキュリティレイクの料金に基づいて、各サービスの料金が請求されます。さらに、Amazon Athena を使用するクエリごとに料金が発生し、統合をサポートするためにアカウントにデプロイされた追加の AWS サービスにも料金がかかります。AWS 料金見積りツールを使用して、2 つのサービスを統合するための総コストを見積もることができます。
Amazon Detective と Amazon Security Lake の統合を AWS リージョンごとに個別に有効にする必要がありますか?
はい。Amazon CloudFormation テンプレートは、Amazon Detective と Amazon セキュリティレイクを統合する各 AWS リージョンで実行する必要があります。
Amazon Elastic Kubernetes Service (Amazon EKS) 用 Amazon Detective
Amazon Elastic Kubernetes Service (Amazon EKS) 用 Amazon Detective
すべて開くAmazon Detective for Amazon EKS 監査ログはどのように機能しますか?
有効にすると、Amazon Detective は Amazon EKS ワークロード全体のユーザー、ネットワーク、設定のアクティビティを自動的かつ継続的に分析し、関連付けます。Amazon Detective は、Amazon EKS 監査ログを自動的に取り込み、ユーザーアクティビティを AWS CloudTrail 管理イベントと関連付けたり、ネットワークアクティビティを Amazon VPC フローログと関連付けたりします。これらのログを手動で有効化または保存する必要はありません。このサービスは、これらのログから重要なセキュリティ情報を抽出し、セキュリティ行動グラフデータベースに保持します。これにより、12 か月間のアクティビティにすばやく相互参照できます。Amazon Detective には、行動グラフデータベースに裏付けられた一般的なセキュリティ上の質問に答えるのに役立つデータ分析および視覚化レイヤーが用意されています。これにより、Amazon EKS ワークロードに関連する潜在的な悪意のある行動をより迅速に調査できます。
Q: Amazon EKS 監査ロギングをオンにする必要がありますか?
デフォルトでは、Amazon EKS 監査ログは Detective を使用するアカウントのデータソースとして有効になっています。EKS 監査ログのサポートがリリースされる前に Detective を使用していた場合は、このデータソースを有効にする必要がある場合があります。「管理ガイド」の「 Amazon EKS audit logs for Detective」に記載されている手順に従って、Detective のデータソースを確認できます。このデータソースは、Detective を使用する予定の各地域で有効にする必要があります。
Amazon Detective は、独立した重複した監査ログストリームを使用して監査ログを消費するため、Amazon Detective が Amazon EKS のワークロードのパフォーマンスに影響を与えないように設計されています。このように、Amazon Detective が Amazon EKS 監査ログを消費しても、Amazon EKS の使用コストは増加しません。
Q: Amazon EKS ワークロードを保護するために Amazon Detective を使用する場合、どのように請求されますか?
Amazon Detective の Amazon EKS 監査ログの消費は、Amazon Detective によって処理および分析された監査ログの量に基づいて料金設定されます。Amazon Detective は、Amazon EKS のカバレッジを有効にするすべてのお客様に 30 日間の無料トライアルを提供し、お客様は Amazon Detective の機能がセキュリティニーズを満たすことを確認し、有料での使用をコミットする前にサービスの月額コストの見積もりを取得することができます。
Q: Amazon Detective では、AWS Fargate 上の Amazon EKS ワークロード、EC2 上の非マネージド Kubernetes、または ES Anywhere のワークロードを可視化できますか?
現在、この機能は、AWS アカウントの EC2 インスタンスで実行されている Amazon EKS デプロイをサポートしています。Detective は、Amazon GuardDuty EKS ランタイムモニタリングと ECS ランタイムモニタリング (ファーゲートでの Amazon ECS のモニタリングを含む) のサポートも提供しています。この機能では、EC2 または ES Anywhere 上の非マネージド Kubernetes を可視化することはできません。