Amazon Detective

Amazon Detective の特徴

Amazon Detective を使用すべき理由

Amazon Detective では、潜在的なセキュリティ問題や不審なアクティビティの根本原因をより簡単に分析および調査し、すばやく特定できます。Amazon Detective は、AWS リソースからログデータを自動的に収集し、機械学習、統計的分析、グラフ理論を使用して、リンクされたデータセットを構築します。これにより、より迅速かつ効率的なセキュリティ調査を簡単に行えます。

Amazon Detective は、Amazon Virtual Private Cloud (Amazon VPC) Flow Logs、AWS CloudTrail ログ、Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログまた Amazon GuardDuty、AWS Security Hub などの複数のサービスからのセキュリティ検出結果など、複数のデータソースから数兆個のイベントを分析できます。Detective は、リソース、ユーザー、および時間の経過に伴うユーザー間のインタラクションについて、統合されたインタラクティブなビューを自動的に作成します。この統合ビューを使用すると、すべての詳細とコンテキストを 1 か所で視覚化して、検出結果の根本的な理由を特定し、関連する履歴アクティビティにドリルダウンして、根本原因を迅速に特定できます。

概要

すべての AWS アカウントにわたる自動データ収集

Amazon Detective は、有効なすべてのアカウントから関連データを自動的に取り込み、処理します。データソースを設定または有効化する必要はありません。Amazon Detective は、AWS CloudTrail ログ、Amazon VPC Flow Logs、Amazon EKS 監査ログ、Amazon GuardDuty の検出結果、AWS Security Hub の検出結果、その他の統合された AWS セキュリティサービスなどのデータソースからイベントを収集および分析し、分析のために集計データを最大 1 年間保持します。

異種のイベントをグラフモデルに統合

Amazon Detective は、IP トラフィック、AWS 管理オペレーション、潜在的に悪意のある、または不正なアクティビティなど、さまざまなデータタイプの何兆ものイベントを分析できます。Detectiveは、機械学習、統計分析、グラフ理論を使用してグラフモデルを構築し、セキュリティ調査用のリンクされたデータセットを構築します。あらかじめ構築されたグラフモデルにはセキュリティ関連の関係が含まれ、コンテキストや行動に関する洞察が得られるため、データを迅速に検証、比較、相関付けして結論を出すことができます。Amazon Detective のビジュアライゼーションはグラフモデルを利用しているため、未加工のログをクエリする複雑さなしに、調査の質問にすばやく回答できます。たとえば、グラフには、IP アドレスが EC2 インスタンスに接続したタイミングや、特定の期間にロールによって行われた API 呼び出しなどのコンテキストと関係が表示されます。

効率的な調査のためのインタラクティブな可視化機能

Amazon Detective では、生成 AI を使用したインタラクティブな可視化機能とインサイトを提供し、問題をより少ない労力でより早く、詳細かつ容易に調査できるようにします。すべてのコンテキストと自然言語の概要を 1 か所で視覚化できる統合ビューがあることで、セキュリティ面で適切な点または誤っている点の証明となるパターンを特定し、影響を受けるすべてのリソースをセキュリティの検出結果の中で把握することがより簡単になります。この可視化機能とインサイトを使用すると、より簡単に、大量のイベントデータセットを特定のタイムラインにフィルタリングすることが可能になり、すべての詳細、コンテキスト、およびガイダンスを使用して、すばやく調査できます。Amazon Detective により、位置情報ごとにログイン試行を表示し、関連する履歴アクティビティを詳細に調べ、根本原因をすばやく特定し、さらに必要な場合には問題を解決するためのアクションを実行できます。

全体的な API コールボリューム

グラフの可視化機能により、関連する AWS セキュリティの検出結果と、EC2 インスタンス、IAM ロールとユーザー、S3 バケット、IP アドレスなど、単一のセキュリティイベントの影響を受けたリソースが表示されます。インサイトでは、セキュリティイベント中に発生したイベントが自然言語で説明されるため、一連のイベントを理解するのに役立ちます。これにより、異常なアクティビティや疑わしいアクティビティをより迅速に、少ない労力で調査できます。全体的な API 呼び出しボリュームは、特定の期間で成功した呼び出しと失敗した呼び出しを示し、確立されたベースラインと比較します。これは、異常なアクティビティのパターンを識別し、セキュリティ上の発見を検証するのに役立ちます。

その他の特徴

セキュリティに関する検出結果を調べるためのシームレスな統合

Amazon Detective は、Amazon GuardDuty、AWS セキュリティハブ、Amazon Inspector、Amazon Security Lake などの AWS セキュリティサービス、および AWS パートナーのセキュリティ製品と統合されているため、これらのサービスで特定されたセキュリティ結果を迅速に調査できます。これらの統合サービスからワンステップでAmazon Detectiveにアクセスして、調査結果に関連するイベントをすぐに確認し、関連する過去のアクティビティを掘り下げて問題を調査できます。たとえば、Amazon GuardDuty の結果から、「Investigate in Detective」をクリックすると Amazon Detective を起動できます。これにより、関係するリソースの関連アクティビティに関するインサイトがすぐに得られます。Detective では、Amazon Security Lake に保存されているログソースをクエリして取得できます。クエリを作成したり、Detective コンソールを終了したりする必要はありません。

Amazon GuardDuty ランタイムモニタリング向けのセキュリティ調査サポート

Amazon Detective は GuardDuty ECS と EKS ランタイムモニタリングのセキュリティ調査をサポートし、新しい脅威検出の視覚化やコンテキストの追加を可能にします。GuardDuty のランタイム脅威検出と Detective の調査機能を使用すると、コンテナワークロードに対する潜在的な脅威の検出と対応を改善できます。Detective は、セキュリティ調査を迅速に行えるように、検出グループ、ビジュアライゼーション、その他の概要にこれらを組み込むことで、これらの新しい検出の調査をサポートします。

事前にデータソースを統合したり、複雑な設定を維持したりする必要のないシンプルなデプロイ

AWS マネジメントコンソールでいくつかの手順を実行するだけで、Amazon Detective を有効にすることができます。ソフトウェアをデプロイしたり、エージェントをインストールしたり、複雑な設定を維持する必要はありません。何らかのデータソースを有効にする必要もありません。つまり、データソースの有効化、データ転送、データストレージのコストがかかりません。