Amazon Detective
セキュリティインシデントの根本原因を迅速に調査・分析できるセキュリティ調査サービス
何ができるか
Amazon Detective は、セキュリティインシデントの根本原因を迅速に特定するための調査・分析サービスです。VPC Flow Logs、CloudTrail ログ、GuardDuty の検出結果、EKS 監査ログなどのデータソースを自動的に収集・統合し、機械学習とグラフ分析を用いてリソース間の関係性を可視化します。セキュリティアナリストは、直感的なビジュアルインターフェースを使って、不審なアクティビティの時系列分析、IP アドレスの通信パターン、IAM ユーザーの行動分析などを効率的に行えます。
どのような場面で使うか
GuardDuty が検出した脅威の詳細調査と影響範囲の特定、不正アクセスの疑いがある IAM ユーザーの行動履歴の分析、異常なネットワークトラフィックの発信元と通信先の追跡、セキュリティインシデント発生時の迅速なトリアージと対応優先度の判断、コンプライアンス監査のためのアクティビティログの分析、EKS クラスター内の不審なコンテナアクティビティの調査など、セキュリティ運用全般で活用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。
身近な例え
探偵事務所に例えるとわかりやすいでしょう。事件 (セキュリティインシデント) が起きたとき、防犯カメラの映像 (ログデータ) を一つずつ確認するのは膨大な時間がかかります。探偵 (Detective) は、複数のカメラ映像を統合して人物の動線を自動追跡し、関係者の相関図を作成して、誰がいつ何をしたかを素早く解明してくれます。
Detective とは
Amazon Detective は、2020 年に一般提供が開始されたセキュリティ調査サービスです。GuardDuty がセキュリティ脅威を検出した後、その脅威の詳細を調査し根本原因を特定する作業は、従来は手動でログを横断的に分析する必要がありました。Detective はこの調査プロセスを自動化し、数時間から数日かかっていた調査を数分に短縮します。最大 1 年分のログデータを自動的に集約・分析し、いつでも過去のアクティビティを遡って調査できます。
データ収集と分析
Detective は有効化するだけで、VPC Flow Logs、CloudTrail 管理イベント、GuardDuty の検出結果を自動的に取り込みます。これらのデータソースから、IP アドレス、AWS アカウント、IAM ユーザー、EC2 インスタンス、S3 バケットなどのエンティティ間の関係性をグラフモデルとして構築します。機械学習アルゴリズムにより、通常の行動パターンからの逸脱を自動的に検出し、異常なアクティビティをハイライトします。
調査ワークフロー
Detective の調査インターフェースでは、エンティティ (IAM ユーザー、EC2 インスタンス、IP アドレスなど) を起点として関連するアクティビティを時系列で確認できます。たとえば、不審な IAM ユーザーを選択すると、そのユーザーの API 呼び出し履歴、アクセスしたリソース、通常と異なる行動パターンが視覚的に表示されます。GuardDuty の検出結果から直接 Detective の調査画面に遷移でき、検出された脅威の詳細をシームレスに深掘りできます。
Azure・オンプレミスとの比較
AWS の優位点
- VPC Flow Logs、CloudTrail、GuardDuty のデータを自動的に収集・統合するため、ログ収集パイプラインの構築が不要で、有効化するだけで即座にセキュリティ調査を開始できる
- グラフ分析と機械学習により、リソース間の関係性と行動パターンの異常を自動的に可視化し、手動でのログ横断分析と比較して調査時間を大幅に短縮できる
- GuardDuty の検出結果から直接 Detective の調査画面に遷移できるシームレスな統合により、脅威の検出から根本原因の特定までのワークフローを一貫して AWS 上で完結できる
注意点
- Detective はデータの取り込み量に応じた従量課金のため、大量のログを生成する環境ではコストを事前に見積もること
- 有効化後、行動ベースラインの構築に最大 2 週間かかるため、異常検知の精度が安定するまでの期間を考慮すること
さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。