セキュリティ

Amazon Detective でセキュリティインシデントを調査 - グラフ分析による根本原因の特定

Detective による GuardDuty 検出結果の調査、エンティティプロファイル、行動グラフの活用を解説します。

約 1 分で読めます

Detective の概要

Detective はセキュリティの検出結果を自動分析し、根本原因を調査するサービスです。GuardDuty が「不審な API 呼び出しを検出」と通知した後、「誰が、いつ、どこから、何をしたか」を深掘りする調査フェーズを支援します。CloudTrailVPC Flow Logs、GuardDuty の検出結果を自動集約し、行動グラフで異常パターンを可視化します。

行動グラフとエンティティプロファイル

行動グラフは CloudTrail、VPC Flow Logs、GuardDuty の検出結果を自動集約し、エンティティ (IAM ユーザー、ロール、EC2、IP アドレス) 間の関連性をグラフデータベースに構築します。エンティティプロファイルは特定の IAM ユーザーや EC2 インスタンスの過去 12 か月の行動パターン (API 呼び出し頻度、通信先 IP、データ転送量) をベースラインとして保持し、異常な活動をハイライトします。GuardDuty の検出結果から Detective にピボットすると、関連するエンティティの行動タイムラインが表示され、不正アクセスの経路を追跡できます。

調査ワークフロー

Detective の調査ワークフローは GuardDuty の検出結果から開始します。検出結果をクリックすると、関連する IAM ロール、 EC2 インスタンス、 IP アドレスのエンティティプロファイルが表示されます。プロファイルには過去 12 か月の API コールパターン、ネットワーク接続、地理的な接続元が時系列で可視化されます。「このロールが通常アクセスしないサービスに突然アクセスした」「通常と異なる IP アドレスからの接続が増加した」といった異常パターンを視覚的に特定できます。 Investigation 機能で調査の範囲を自動的に拡大し、関連するエンティティを芋づる式に追跡します。 セキュリティ調査に関する詳しい解説はAmazon の関連書籍でも確認できます。

Detective の料金

Detective の料金は取り込んだデータ量で課金されます。CloudTrail 管理イベントは 1 GB あたり約 2 ドル、VPC Flow Logs は 1 GB あたり約 0.75 ドルです。最初の 30 日間は無料トライアルで、実際のコストを事前に見積もれます。Organizations との統合で全アカウントのデータを集約する場合、データ量が大きくなるため、コストを事前に確認します。GuardDuty のデータを主要なソースとして使用し、VPC Flow Logs の取り込みはセキュリティ要件に応じて有効化します。

まとめ

Detective は行動グラフとエンティティプロファイルでセキュリティインシデントの根本原因を調査するサービスです。GuardDuty の検出結果から調査を開始し、CloudTrail と VPC Flow Logs のデータを自動集約して、過去 12 か月の API コールパターンやネットワーク接続の異常を時系列で可視化します。

関連するサービス

Amazon Detectiveセキュリティの検出結果を自動分析し、根本原因を調査するサービスAmazon GuardDuty機械学習を活用した脅威検出サービスAWS Security HubAWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス

関連する記事

Amazon GuardDuty で実現する脅威検出 - ML ベースの異常検知とインシデント対応GuardDuty による脅威検出の仕組み、検出結果の分類、Security Hub との統合によるインシデント対応を解説します。AWS Security Hub で一元管理するセキュリティ態勢 - 検出結果の集約と自動対応GuardDuty・Inspector・Macie の検出結果を ASFF で集約し、セキュリティ標準の自動評価でスコアを定量化する。EventBridge 連携の自動修復も紹介します。Amazon Security Lake で構築するセキュリティデータレイク - OCSF 形式での統合分析Security Lake による CloudTrail、VPC フローログ、Route 53 ログの自動集約、OCSF 正規化、サブスクライバーとの統合を解説します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

Amazon DetectiveVPC Flow Logs、CloudTrail、GuardDuty の検出結果を自動的に収集・分析し、セキュリティインシデントの根本原因調査を効率化するサービスセキュリティ調査と脅威分析 - Amazon Detective で実現するインシデント対応の効率化Amazon Detective を活用したセキュリティインシデントの調査と脅威分析の手法を解説します。GuardDuty との連携による検出から調査までのワークフローと、グラフベースの分析による根本原因の特定方法を紹介します。AWS インシデント対応ツールチェーン - CloudTrail から Security Hub まで統合された調査基盤CloudTrail、Config、Detective、Security Hub を組み合わせた AWS のインシデント対応ツールチェーンを解説し、Azure Sentinel との調査アプローチの違いを比較します。AWS セキュリティサービスの統合力 - GuardDuty から Detective まで SIEM 不要のネイティブ脅威検出GuardDuty、Security Hub、Detective、Macie の連携によるネイティブ脅威検出の仕組みを解説し、Azure Sentinel との設計思想の違いを比較します。