全般

Q: Amazon Detective とは何ですか?

Amazon Detective では、潜在的なセキュリティ問題や不審なアクティビティの根本原因を簡単に分析、調査し、すばやく特定できます。Amazon Detective は、AWS リソースからログデータを自動的に収集し、機械学習、統計的分析、グラフ理論を使用して、リンクされたデータセットを構築します。これにより、より迅速かつ効率的なセキュリティ調査を簡単に行えます。

Q: Amazon Detective の主な利点は何ですか?

Amazon Detective は調査プロセスを簡素化し、セキュリティチームがより迅速かつ効果的な調査を実施できるようにします。Amazon Detective の事前に構築されたデータの集計、要約、コンテキストは、起こりうるセキュリティ問題の性質と範囲を迅速に分析および判断するのに役立ちます。Amazon Detective は、選択した時間枠におけるアクティビティの種類と量の変化を示す最大 1 年間の集計データを保持し、一連の視覚化を通じて簡単に利用できるようにし、それらの変化をセキュリティの調査結果にリンクします。初期費用は発生せず、分析するイベントに対してのみ料金が発生します。追加のソフトウェアをデプロイしたり、フィードを有効にしたりする必要はありません。

Q: Amazon Detective にはどれくらいのコストがかかりますか?

Amazon Detective の料金は、AWS CloudTrail ログ、Amazon VPC Flow Logs、Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログ、および Amazon GuardDuty の結果から取り込まれたデータの量に基づいています。アカウント/リージョン/月ごとに取り込んだギガバイト (GB) 単位で課金されます。Amazon Detective は、分析のために最大 1 年間の集計データを保持します。最新の料金情報については、Amazon Detective の料金ページをご覧ください。

Q: 無料トライアルはありますか?

はい。これまでに Amazon Detective を使用したことのないアカウントであれば、無料で 30 日間サービスをご利用いただけます。無料トライアル中はすべての機能セットをご使用いただけます。 

Q: Amazon Detective はリージョン別またはグローバルのどちらのサービスですか?

Amazon Detective は、リージョンごとに有効にする必要があり、各リージョン内のすべてのアカウントのアクティビティをすばやく分析できるようにします。このため、分析されたすべてのデータがリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。

Q: Amazon Detective はどのリージョンをサポートしていますか?

Amazon Detective を利用できるリージョンの一覧は、AWS リージョン表を参照してください。

Amazon Detective の開始方法

Q: Amazon Detective の使用を開始する方法を教えてください。

Amazon Detective は、AWS マネジメントコンソールでわずか数回クリックするだけで有効にできます。Amazon Detective が有効になると、データが自動的にグラフモデルにまとめられます。そのモデルは新しいデータが利用可能になる度に、継続的にアップデートされます。Amazon Detective を体験して、潜在的なセキュリティ問題の調査を開始しましょう。

Q: Amazon Detective を有効にするにはどうすればよいですか?

AWS マネジメントコンソール内から、または Amazon Detective API を使用して、Amazon Detective を有効にできます。すでに Amazon GuardDuty または AWS Security Hub コンソールを使用している場合、最適なクロスサービスエクスペリエンスを得るには、Amazon GuardDuty または AWS Security Hub のマスターアカウントと同じアカウントで Amazon Detective を有効にする必要があります。

Q: Amazon Detective で複数のアカウントを管理できますか?

はい。Amazon Detective は、同じリージョン内の単一のマスターアカウントでモニタリング対象のメンバーアカウントからデータを集約するマルチアカウントサービスです。Amazon GuardDuty と AWS Security Hub でマスターアカウントとメンバーアカウントを設定するのと同じ方法で、マルチアカウントモニタリングのデプロイを設定できます。

Q: Amazon Detective ではどのようなデータソースを分析するのですか?

Amazon Detective は、Amazon Virtual Private Cloud (Amazon VPC) Flow Logs、AWS CloudTrail ログ、Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログに関連するサマリーや分析データをお客様が閲覧できるようにします。Amazon GuardDuty を有効にしているお客様の場合、Detective は Amazon GuardDuty の検出結果も表示します。

Q: Amazon GuardDuty を有効にしていない場合でも Amazon Detective を使えますか?

お客様のアカウントで Amazon GuardDuty が有効になってから少なくとも 48 時間が経過している場合のみ、そのアカウントで Amazon Detective を有効にできます。しかし、Amazon Detective があれば、Amazon GuardDuty の検出結果で得られる以上の内容を調査できます。Amazon Detective は、AWS アカウント、EC2 インスタンス、AWS ユーザー、ロール、IP アドレス間の動作とやり取りに関する詳細を要約、分析、可視化します。この情報は、セキュリティ問題または運用上のアカウントアクティビティを理解するのに非常に役立ちます。

Q: Amazon Detective が動作し始めるのにどのくらいかかりますか?

Amazon Detective を有効にするとすぐにログデータの収集を開始し、取り込まれたデータの視覚的な概要と分析結果を示します。Amazon Detective は、2 週間のアカウントモニタリング後に確立された履歴ベースラインと最近のアクティビティとの比較も行います。

Q: Amazon Detective から未加工のログデータをエクスポートできますか?

Amazon Detective は AWS CloudTrail ログ、Amazon VPC Flow Logs、および Amazon EKS 監査ログを分析しますが、未加工のログをエクスポートできるようにしません。AWS では、これらのログを他のサービスを介してエクスポートできます。

Q: Amazon Detective が保存するデータ、暗号化するデータ、有効にするデータソースを制御できますか?

Amazon Detective は、AWS 責任共有モデルに準拠しており、これにはデータ保護のための規制とガイドラインへの準拠も含まれます。Amazon Detective 有効にすると、有効になっているアカウントの AWS CloudTrail ログ、Amazon VPC Flow Logs、Amazon EKS 監査ログ、Amazon GuardDuty の結果から得られたデータを処理します。

Q: Amazon Detective を有効にすることで、既存の AWS ワークロードにパフォーマンスまたは可用性のリスクが発生することはありますか?

Amazon Detective はログデータと結果を AWS のサービスから直接取得するため、Amazon Detective は AWS インフラストラクチャのパフォーマンスや可用性に影響を与えません。

Q: Amazon Detective は Amazon GuardDuty および AWS Security Hub とどのように違いますか?

Amazon GuardDuty は、悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービスで、AWS アカウントとワークロードを保護します。AWS Security Hub により、複数の AWS のサービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie など) および AWS パートナーソリューションにおけるセキュリティアラートと検出結果を、一元的に集約、整理、優先順位付けできます。Amazon Detective は、セキュリティの調査結果を調べ、根本原因を特定するプロセスを簡素化します。Amazon Detective は、Amazon VPC Flow Logs、AWS CloudTrail ログ、Amazon EKS 監査ログ、Amazon GuardDuty の結果などの複数のデータソースから数兆個のイベントを分析し、リソース、ユーザー、およびそれらの間の経時的な相互作用の統一されたインタラクティブなビューを提供するグラフモデルを自動的に作成します。

Q: Amazon Detective がログとデータソースを調べないようにするにはどうすればよいですか?

Amazon Detective を使用すると、AWS CloudTrail ログ、Amazon VPC Flow ログ、Amazon EKS 監査ログ、Amazon GuardDuty の結果からセキュリティデータを分析および視覚化できます。Amazon Detective がアカウントのこれらのログと結果を分析しないようにするには、API を使用するか、Amazon Detective の AWS コンソールの設定セクションからサービスを無効にしてください。

Amazon Detective コンソールでの作業

Q: セキュリティの問題を調査する方法について、Amazon Detective はどのようなガイダンスがありますか?

Amazon Detective はさまざまな視覚化を行い、AWS アカウント、EC2 インスタンス、ユーザー、ロール、IP アドレス、Amazon GuardDuty の結果といった AWS リソースに関するコンテキストと洞察を示します。各視覚化は、調査結果と関連するアクティビティを分析するときに出てくる特定の質問に答えるように設計されており、パネルを解釈し、その情報を使用して調査の質問に答える方法を明確に説明するガイダンスをテキストで提供します。

Q: Amazon Detective は、Amazon GuardDuty や AWS Security Hub などの他の AWS セキュリティサービスとどのように統合されますか?

Amazon Detective は、Amazon GuardDuty と AWS Security Hub とのコンソールの統合をサポートすることにより、クロスサービスユーザーワークフローをサポートします。これらのサービスのコンソール内で、選択した調査結果から Amazon Detective ページに直接リダイレクトするリンクが提供されます。このページには、選択した調査結果を調査するための視覚化のセットが含まれています。Amazon Detective の調査結果の詳細ページは、調査結果の時間枠にすでに合わせられており、調査結果に関連する関連データを表示しています。

Q: Amazon Detective の調査結果を修復および対応ツールと統合するにはどうすればよいですか?

さまざまなパートナーセキュリティソリューションプロバイダーが Amazon Detective と統合して、自動化されたプレイブックやオーケストレーション内の調査手順を有効にしました。これらの製品の応答ワークフロー内で、Amazon Detective ページにユーザーをリダイレクトするリンクが提示されます。このページには、ワークフロー内で特定された調査結果とリソースを調査するためにキュレーションされた視覚化情報が含まれています。

Amazon Elastic Kubernetes Service (Amazon EKS) 用の Amazon Detective

Q: Amazon Detective for Amazon EKS 監査ログはどのように機能しますか?

一旦有効にすると、Amazon Detective は Amazon EKS ワークロード全体のユーザー、ネットワーク、および設定アクティビティを自動的かつ継続的に分析し、相関させることができます。Amazon Detective は、自動的に Amazon EKS 監査ログを取り込み、AWS CloudTrail Management イベントとユーザーアクティビティを関連付け、Amazon VPC Flow ログとネットワークアクティビティを、手動でこれらのログを有効または保存する必要なく、関連付けます。このサービスは、これらのログから重要なセキュリティ情報を収集し、セキュリティ行動グラフデータベースに保持することで、12 か月間のアクティビティに素早く相互参照できるようにします。Amazon Detective は、データ分析および可視化レイヤーを提供します。それは、Amazon EKS ワークロードに関連する潜在的な悪意のある行動をより迅速に調査することができる行動グラフデータベースに支えられた一般的なセキュリティの質問に答えるのに役立ちます。

Q: Amazon EKS 監査ロギングをオンにする必要がありますか?

いいえ、Amazon EKS 監査ログを有効にしたり、設定したりする必要はありません。Amazon Detective コンソールまたは API で新しいデータソースとして Amazon EKS 監査ログを有効にする必要があるだけです。Amazon Detective の Amazon EKS 監査ログの消費は、Amazon Detective が独立した重複する監査ログストリームを使用して監査ログを消費するため、Amazon EKS ワークロードのパフォーマンスに影響を与えないように設計されています。このように、Amazon Detective の Amazon EKS 監査ログの消費は、Amazon EKS を使用するためのコストを増加させることはありません。

Q: Amazon EKS ワークロードを保護するために Amazon Detective を使用する場合、どのように請求されますか?

Amazon Detective の Amazon EKS 監査ログの消費は、Amazon Detective によって処理および分析された監査ログの量に基づいて料金設定されます。Amazon Detective は、Amazon EKS のカバレッジを有効にするすべてのお客様に 30 日間の無料トライアルを提供し、お客様は Amazon Detective の機能がセキュリティニーズを満たすことを確認し、有料での使用をコミットする前にサービスの月額コストの見積もりを取得することができます。

Q: すでに Amazon Detective を使用しています。Amazon Detective で Amazon EKS 監査ログのサポートを有効にするにはどうすればよいですか?

Amazon Detective を使用している既存のお客様は、自分のアカウントの Amazon Detective コンソールで Amazon EKS 監査ログをオンにする必要があります。お客様は、Amazon Detective コンソール上でシングルクリックを使用して、この選択を変更し、Amazon EKS 監査ログを有効/無効にすることができます。

Q: Amazon EKS を使用していない場合、Amazon Detective で Amazon EKS の監査ログを有効にすると、請求されますか?

いいえ。Amazon EKS を使用していない場合、Amazon EKS 監査ログの料金は発生しません。ただし、Amazon EKS の使用を開始すると、クラスターは Amazon Detective によって自動的にモニタリングされ、Amazon Detective で Amazon EKS ワークロードのクラスター、ノード、およびポッドプロファイルを受け取ります。

Q: Detective のフルサービス (Amazon VPC Flow Logs、Amazon GuardDuty の結果、および AWS CloudTrail 管理イベント分析など) を有効にせず、Amazon EKS 監査ログのみを有効にすることはできますか?

Amazon EKS 監査ログを利用するためには、Amazon Detective のフルサービスを有効にする必要があります。

Q: Amazon EKS 監査ログは、マルチアカウント管理をサポートしていますか?

はい。Amazon EKS 監査ログは、AWS Organizations の統合を通じてマルチアカウント管理を備えています。この統合は、セキュリティおよびコンプライアンスチームが、組織内のすべてのアカウントにわたって既存および将来のすべての Amazon EKS クラスターで Amazon Detective を完全にカバーするのに役立ちます。

Q: Amazon Detective は、AWS Fargate、EC2 上の非管理 Kubernetes、または ES Anywhere の Amazon EKS ワークロードの可視性を提供しますか?

現在、この機能は、AWS アカウントの EC2 インスタンスで実行されている Amazon EKS デプロイのみをサポートしています。

Q: 設定を変更したり、ソフトウェアをデプロイしたり、Amazon EKS デプロイを変更したりする必要がありますか?

いいえ。有効にすると、Amazon Detective は、セキュリティの調査結果を確認するために、アカウント内の既存および新規のすべての Amazon EKS クラスターからの Amazon EKS 監査ログのモニタリングを開始します。さらなるデプロイ、ログソースの有効化、設定の変更は不要です。

Q: Amazon EKS 監査ログを使用すると、Amazon EKS におけるコンテナ実行のパフォーマンスまたはコストに影響しますか?

いいえ。Amazon EKS 監査ログは、Amazon EKS ワークロードのデプロイのパフォーマンス、可用性、またはコストに影響を与えないように設計されています。

Q: 各 AWS リージョンで個別に Amazon EKS 監査ログを有効にする必要がありますか?

はい。Amazon EKS 監査ログは、各 AWS リージョンで個別に有効化する必要があります。

ドキュメントを読む
ドキュメントを読む

ドキュメントを読んで、Amazon Detective の機能と実装の詳細をご覧ください。

ドキュメントを読む 
AWS アカウントにサインアップする
無料のアカウントにサインアップする

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
プレビューにサインアップ
Amazon Detective の開始方法

Amazon Detective で構築を開始しましょう。

開始方法