Amazon Detective では、潜在的なセキュリティ問題や不審なアクティビティの根本原因をより簡単に分析および調査し、すばやく特定できます。Amazon Detective は、AWS リソースからログデータを自動的に収集し、機械学習、統計的分析、グラフ理論を使用して、リンクされたデータセットを構築します。これにより、より迅速かつ効率的なセキュリティ調査を簡単に行えます。
Amazon Detective は、Amazon Virtual Private Cloud (Amazon VPC) Flow Logs、AWS CloudTrail ログ、Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログまた Amazon GuardDuty、AWS Security Hub などの複数のサービスからのセキュリティ検出結果など、複数のデータソースから数兆個のイベントを分析できます。Detective は、リソース、ユーザー、および時間の経過に伴うユーザー間のインタラクションについて、統合されたインタラクティブなビューを自動的に作成します。この統合ビューを使用すると、すべての詳細とコンテキストを 1 か所で視覚化して、検出結果の根本的な理由を特定し、関連する履歴アクティビティにドリルダウンして、根本原因を迅速に特定できます。
すべての AWS アカウントにわたる自動データ収集
Amazon Detective は、有効なすべてのアカウントから関連データを自動的に取り込み、処理します。データソースを設定または有効化する必要はありません。Amazon Detective は、AWS CloudTrail ログ、Amazon VPC Flow Logs、Amazon EKS 監査ログ、Amazon GuardDuty の検出結果、AWS Security Hub の検出結果、その他の統合された AWS セキュリティサービスなどのデータソースからイベントを収集および分析し、分析のために集計データを最大 1 年間保持します。
異種のイベントをグラフモデルに統合
Amazon Detective は、IP トラフィック、AWS の管理オペレーション、潜在的に悪意があるか不正なアクティビティなど、さまざまなデータタイプからの何兆にもおよぶイベントを分析できます。 Detective は、機械学習、統計分析、グラフ理論を使用してグラフモデルをコンストラクトし、セキュリティ調査のためにリンクされたデータのセットを構築します。事前に構築されたグラフモデルには、セキュリティについての関連性が含まれており、コンテキストおよび行動に関するインサイトを提供します。これにより、データを迅速に検証、比較、相関させて結論を導き出すことができます。Amazon Detective における可視化機能はグラフモデルによって動作します。未加工のログに対するクエリの複雑さは排除して、調査に関する質問に迅速に答えることができます。例えばグラフでは、IP アドレスが EC2 インスタンスに接続されていることや、特定の期間にロールが API コールを発行したことなど、コンテキストや関係性についての表示を行ないます。
効率的な調査のためのインタラクティブな可視化機能
Amazon Detective では、生成系 AI を使用したインタラクティブな可視化機能とインサイトを提供し、問題をより少ない労力でより早く、詳細かつ容易に調査できるようにします。すべてのコンテキストと自然言語の概要を 1 か所で視覚化できる統合ビューがあることで、セキュリティの問題を検証または反論する可能性のあるパターンを特定し、影響を受けるすべてのリソースをセキュリティの検出結果の中で把握することがより簡単になります。この可視化機能とインサイトを使用すると、より簡単に、大量のイベントデータセットを特定のタイムラインにフィルタリングすることが可能になり、すべての詳細、コンテキスト、およびガイダンスを使用して、すばやく調査が行なえます。Amazon Detective により、位置情報ごとにログイン試行を表示し、関連する履歴アクティビティを詳細に調べ、根本原因をすばやく特定し、さらに必要な場合には問題を解決するためのアクションを実行できます。
グラフの可視化機能により、関連する AWS セキュリティの検出結果と、EC2 インスタンス、IAM ロールとユーザー、S3 バケット、IP アドレスなど、単一のセキュリティイベントの影響を受けたリソースが表示されます。インサイトでは、セキュリティイベント中に発生したイベントが自然言語で説明されるため、一連のイベントを理解するのに役立ちます。これにより、異常なアクティビティや疑わしいアクティビティをより迅速に、少ない労力で調査できます。
全体的な API 呼び出しボリュームは、特定の期間で成功した呼び出しと失敗した呼び出しを示し、確立されたベースラインと比較します。これは、異常なアクティビティのパターンを識別し、セキュリティ上の発見を検証するのに役立ちます。
セキュリティに関する検出結果を調べるためのシームレスな統合
Amazon Detective は、Amazon GuardDuty、AWS Security Hub、Amazon Inspector、Amazon Security Lake などの AWS セキュリティサービス、および AWS パートナーのセキュリティ製品と統合されており、これらのサービスで特定されたセキュリティの検出結果をすばやく調べることができます。これらの統合サービスからは単一のステップで Amazon Detective に移動でき、検出結果に関連するイベントをすぐに確認したり、関連する履歴アクティビティを掘り下げたりして問題を調査できます。例えば、Amazon GuardDuty の検出結果から [Detective で調査] をクリックすることで、Amazon Detective が起動されます。これにより、関係するリソースの関連アクティビティを即座に把握できます。Detective では、クエリを作成したり、Detective コンソールから離れたりもぜずに、Amazon Security Lake に保存されているログソースをクエリして取得できます。
Amazon GuardDuty ランタイムモニタリング向けのセキュリティ調査サポート
Amazon Detective は、GuardDuty ECS と EKS ランタイムモニタリングのセキュリティ調査をサポートしており、新たな脅威を検出するために強化された可視化機能と追加のコンテキストが用意されています。GuardDuty によるランタイムの脅威検出と Detective による調査機能を使用して、コンテナワークロードに対する潜在的な脅威の検出と対応を改善できます。Detective は、これらの新しい検出結果の調査をサポートします。新しい結果を検出結果のグループや可視化機能、そして他の要約に含めることで、セキュリティ調査を迅速に行えるようにします。
事前にデータソースを統合したり、複雑な設定を維持したりする必要のないシンプルなデプロイ
Amazon Detective は AWS マネジメントコンソールでの数ステップだけで有効にできます。ソフトウェアをデプロイしたり、エージェントをインストールしたり、複雑な設定を維持する必要はありません。何らかのデータソースを有効にする必要もないので、データソースの有効化、データ転送、データストレージにコストが発生することもありません。