Amazon Detective のアイコン

Amazon Detective

セキュリティの検出結果を自動分析し、根本原因を調査するサービス

約 1 分で読めます

何ができるか

Amazon Detective は、AWS 環境で発生したセキュリティインシデントの根本原因を調査・分析するサービスです。VPC Flow Logs、CloudTrail ログ、GuardDuty の検出結果などを自動的に収集・統合し、グラフデータベースを構築します。セキュリティアナリストは、視覚的なダッシュボードを通じて、不審なアクティビティの関連性や影響範囲を素早く把握できます。

どのような場面で使うか

GuardDuty が検出した不審な API 呼び出しの詳細調査、IAM ユーザーやロールの異常な行動パターンの分析、EC2 インスタンスからの不審な通信の追跡などに利用されています。セキュリティインシデント発生時に「誰が、いつ、何をしたか」を迅速に特定し、対応の優先順位を判断する場面で効果を発揮します。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

刑事ドラマの捜査ボードに例えるとわかりやすいでしょう。事件 (セキュリティインシデント) が発生すると、Detective は関連する証拠 (ログデータ) を自動的に収集し、人物関係図 (リソースの関連性) を作成します。捜査官 (セキュリティアナリスト) はボードを見ながら、犯人 (攻撃者) の行動を時系列で追跡できます。

Detective とは

Amazon Detective は、セキュリティインシデントの調査を支援するサービスです。AWS 環境では日々膨大なログが生成されますが、セキュリティ上の問題が発生した際に、これらのログを手作業で調査するのは非常に時間がかかります。Detective はログデータを自動的に収集・分析し、視覚的にわかりやすい形で提示することで、調査時間を大幅に短縮します。

データソースと分析

Detective は、CloudTrail の管理イベント、VPC Flow Logs、GuardDuty の検出結果、EKS 監査ログなどを自動的に取り込みます。これらのデータをグラフデータベースに統合し、リソース間の関連性を構築します。たとえば、ある IAM ユーザーがどの EC2 インスタンスにアクセスし、そのインスタンスがどの IP アドレスと通信したかを、一連の流れとして可視化できます。

GuardDuty との連携

Detective は GuardDuty と密接に連携しています。GuardDuty が脅威を検出すると、Detective はその検出結果をワンクリックで詳細調査できます。GuardDuty が「不審な API 呼び出しを検出」と報告した場合、Detective でその API 呼び出しの前後のアクティビティ、関連するリソース、通常時との行動パターンの違いなどを確認できます。

はじめかた

Detective を使い始めるには、Detective コンソールで有効化するだけです。GuardDuty が有効になっている必要があります。有効化すると、過去のログデータの取り込みが自動的に開始されます。データの蓄積には数時間かかりますが、蓄積が完了すれば、検出結果やリソースを選択して調査を開始できます。

注意点

  • Detective を有効化する前に GuardDuty を有効にしておく必要がある。GuardDuty の検出結果が Detective の主要なデータソースとなる
  • ログデータの取り込み量に応じた従量課金のため、大規模環境ではコストを事前に見積もること
  • Detective は調査・分析ツールであり、脅威の検出は GuardDuty、対応の自動化は Security Hub が担当する。3 つのサービスを組み合わせて使うのが効果的

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス