【Personal Note】Amazon Detectiveについて
1. はじめに
この記事はAmazon Detectiveを調査した際にメモしていた内容を記事にしたものです。一部古い情報はあるかもしれませんが、要点整理の際にご活用ください。
2. Amazon Detectiveとは
Amazon Detectiveは、セキュリティ問題の調査を行うマネージドサービスである。検知したセキュリティリスク、不正なアクティビティに対して調査、分析、可視化を行う。
3. 特徴/機能
特徴/機能 | 備考 |
---|---|
AWSアカウントにおけるセキュリティリスクや不審なアクティビティの根本原因を調査、分析する | 調査プロセスの効率化、簡素化を実現 |
ログの自動収集、分析の自動化 |
調査のインプットは、AWS CloudTrail、VPC Flow Logs、および Amazon GuardDutyである[1] インプットは継続的に収集し、グラフモデル[2]として構築する |
GuardDutyやSecurity Hubとのサービス統合[3]、マルチアカウント対応 | 他のAWSアカウントをDetectiveのメンバーに招待する事によって、招待元のアカウントがマスターアカウントになり、アカウントを横断してセキュリティ調査が可能[4] |
調査を迅速に行うための可視化機能を提供 | 情報を1か所に集めて、統一的画面からインタラクティブに調査が可能 機械学習、統計的分析、グラフ理論を用いたログデータの抽出、グラフモデル[2:1]の構築を行う |
4.料金
- 月毎に取り込まれたデータ量に基づくGB単位の従量課金。
- インシデント調査での利用や取り込み済みデータの課金は発生しない。
- 初回利用時において、有効化から30日間は無料で利用出来る。推定コストの算出も可能。
- マルチアカウントの場合は、データを提供している各メンバーアカウントに課金される。
- マルチリージョンの場合は、各リージョン毎に課金される。
- 詳細は、公式ドキュメントを参照
5. その他
- 前提サービスは、GuardDutyである。GuardDutyを有効化した48時間後に利用可能。
- Detectiveの有効化後、実際に利用するまでに、更に約24時間待つ必要がある。[5]
- プロファイルと呼ばれる検出結果が作成される。[6]
- Detectiveの開始後2週間は、一部の機能が表示できない可能性がある。[7]
- Detectiveから調査が完了した検出結果に対して、GuardDutyのアーカイブ処理が実施可能。Detectiveの画面で、GuardDutyのコンソールに遷移する事無く、調査とアーカイブ処理が実施出来る。
- GuardDutyは、脅威を検知すると5分以内にアラートを発報するが、一連の攻撃と判断した場合に、指定した期間毎で、集約して発報する事が可能である。運用者が手作業で対応する場合は、頻繁に発報するとノイズになるが、Detectiveだと、人手を加えず調査が行えるので、15分単位で発報する事が推奨されている。
6 関連リンク
AWS サービス別資料
Amazon Detective Documentation
AWS 環境の調査がすこぶる捗る!Amazon Detective が利用可能になっていた!(30日間の無料トライアル付き)
セキュリティインシデントの調査が捗るAmazon DetectiveがGAしたのでメリットとオススメの使い方を紹介します
GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた
Amazon Detective の料金
この記事が誰かのお役に立てれば、嬉しいです!
三連休楽しんでください!! Mitsuoでした。
7. 脚注
-
GuardDutyから取り込まれるデータは全てではない。取り込まれる結果タイプのリストについては、公式ドキュメントを参照。 ↩︎
-
Security Behavior Graphと呼ばれる。ユーザと、そのユーザが起動したインスタンスのIPアドレス、バケットとそのバケットに関連するIAMロール等、単一の情報だけでなく各エンティティを紐づけたグラフモデルで構築する事によって、結果をすぐに出力する事が出来る。 ↩︎ ↩︎
-
それぞれのコンソール画面で、該当する検出結果にチェックを入れ、プルダウンメニュー(アクション)の「調査」ボタンを選択する事で、Amazon Detectiveのコンソールへ遷移できる。 ↩︎
-
OrganizationsとDetectiveのマスターアカウントは異なる。また、GuardDutyとSecurityHubのマスターアカウントを同一にする事を推奨。但し、何かの制約によって、同一のアカウントに出来ない場合は、クロスアカウントアクセスで調査結果を連携する等、検討すること。 ↩︎
-
Detectiveでの調査が行えるかどうかを確認する方法の一つとして、Detectiveのサーチコンソールにて、自身のグローバルIPアドレスで検索を掛けることがAWS Black Beltで述べられている。 ↩︎
-
各プロファイル画面の右上に、スコープ時間(Scope Time)と呼ばれる検知した時間から最後に検知した時間が設定される。特定のプロファイルに対して調査をしたい時には、スコープ時間を固定する必要がある。そうしなければ、各プロファイルに遷移する度に、スコープ時間が変わってしまう。なお、スコープ時間を自分で変更する事が出来る。 ↩︎
-
機械学習が2週間の間トレーニングを実施している。トレーニング期間中は、コンソールの上側に青いバナーが表示される。 ↩︎
Discussion