📌

Amazon Detectiveを使って本気でAWSアカウントを守る

2023/12/22に公開

はじめに

この記事はDevOps on AWS大全の一部です。
DevOps on AWS大全の一覧はこちら

この記事ではAmazon Detectiveに関連する内容を超詳細にまとめています。

具体的には以下流れで説明します。

  • Amazon Detectiveとは
  • Amazon Detectiveの仕組み
  • Amazon Detectiveの活用
  • Amazon Detectiveのベストプラクティス

AWSの区分でいう「Level 200:トピックの入門知識を持っていることを前提に、ベストプラクティス、サービス機能を解説するレベル」の内容です。

この記事を読んでほしい人

  • Amazon Detectiveがどういうサービスか説明できるようになりたい人
  • Amazon Detectiveを採用するときのベストプラクティスを説明できるようになりたい人
  • AWS Certified DevOps Engineer Professionalを目指している人

Amazon Detectiveとは

Amazon Detectiveは、AWSのセキュリティサービスの一つで、セキュリティインシデントの分析と調査を支援するサービスです。
Amazon Detectiveは、AWSのログデータを収集し、機械学習や統計分析を用いて、異常なアクティビティやパターンを検出し、可視化できるので、セキュリティインシデントの原因や影響範囲を迅速に特定し、対策や予防策を立てるのに役立ちます。

Amazon Detectiveの仕組み

Amazon Detectiveは、VPCフローログ、AWS CloudTrail、Amazon GuardDutyのデータを自動的に収集します。
これらのデータは、ネットワークトラフィックやAPIコール、セキュリティアラートなどの情報を含みます。

そして、収集したデータを加工し、グラフモデルと呼ばれる関連性の高いデータセットに変換します。
グラフモデルは、リソースやエンティティ(例えばIPアドレスやユーザー)、アクションやイベント(例えばログインやアクセス)などの要素と、それらの間の関係性を表します。

その後、グラフモデルに対して機械学習や統計分析を適用し、異常なアクティビティやパターンを検出します。
例えば、通常と比べて異常に高いネットワークトラフィックやAPIコールの回数、不審なIPアドレスやユーザーからのアクセスなどです。

最終的にAmazon Detectiveは、検出した異常なアクティビティやパターンをダッシュボードやインタラクティブなグラフで可視化します。
これにより、セキュリティ担当者は、セキュリティインシデントの原因や影響範囲を迅速に特定し、詳細な分析や調査を行うことができます。

Amazon Detectiveの活用

Amazon Detectiveは、以下のような場合に活用できます。

セキュリティインシデントが発生した場合

Amazon Detectiveは、セキュリティインシデントが発生した時点から遡って90日間分のログデータを保持しています。

これにより、セキュリティインシデントがいつから発生していたか、どのようなアクティビティが行われていたか、どのリソースやエンティティが関係していたかなどを確認できます。

また、Amazon Detectiveではセキュリティインシデントに関連する異常なアクティビティやパターンをハイライトして表示できます。
これにより、セキュリティインシデントの原因や影響範囲を迅速に特定できます。
加えて、セキュリティインシデントに関連する要素や関係性をインタラクティブなグラフで可視化できるためセキュリティインシデントの詳細な分析や調査を行うことができます。

セキュリティポスチャーの改善や最適化の場合

Amazon Detectiveは、AWSのログデータを継続的に収集し、分析し、可視化します。

これにより、セキュリティ担当者は、AWS環境のセキュリティポスチャーを常に把握できます。

また、Amazon Detectiveはセキュリティポスチャーに影響を与える可能性のある異常なアクティビティやパターンを検出し、通知できるため、セキュリティ担当者は、セキュリティポスチャーの改善や最適化に必要な対策や予防策を立てることができます。

Amazon Detectiveのベストプラクティス

Amazon Detectiveを効果的に利用するためには、以下のベストプラクティスに従うことが推奨されます。

ベストプラクティス 説明
Amazon Detectiveを有効化する Amazon Detectiveは、AWSアカウントごとに有効化する必要があります。有効化すると、Amazon Detectiveは自動的にVPCフローログ、AWS CloudTrail、Amazon GuardDutyのデータを収集し始めます。
Amazon DetectiveとAmazon GuardDutyを連携する Amazon DetectiveとAmazon GuardDutyを連携すると、Amazon GuardDutyで検出されたセキュリティアラートに対して、Amazon Detectiveで詳細な分析や調査を行うことができます。Amazon GuardDutyのコンソールから、セキュリティアラートの詳細ページにある「Amazon Detectiveで分析」ボタンをクリックすると、Amazon Detectiveのダッシュボードやグラフが表示されます。
Amazon DetectiveとAWS Security Hubを連携する Amazon DetectiveとAWS Security Hubを連携すると、AWS Security Hubで集約されたセキュリティ情報に対して、Amazon Detectiveで詳細な分析や調査を行うことができます。AWS Security Hubのコンソールから、セキュリティ情報の詳細ページにある「Amazon Detectiveで分析」ボタンをクリックすると、Amazon Detectiveのダッシュボードやグラフが表示されます。
Amazon DetectiveとIAMロールを連携する Amazon Detectiveは、ログデータを収集するためにIAMロールを使用します。このIAMロールは、Amazon Detectiveが自動的に作成し、管理します。このIAMロールには、必要最小限の権限が付与されています。このIAMロールを変更したり削除したりしないように注意してください。

まとめ

この記事ではAmazon Detectiveに関連する内容を超詳細にまとめました。

  • Amazon Detectiveとは
  • Amazon Detectiveの仕組み
  • Amazon Detectiveの活用
  • Amazon Detectiveのベストプラクティス

次回はAmazon Inspectorを超詳細解説します。

Discussion