目次
Amazon Detective の特徴
Amazon Detective は、検知するサービスよりも調査するサービスと言えます。GuardDuty などが上げた不審な検出結果を起点に、CloudTrail や VPC Flow Logs などのデータを自動で突き合わせて、何が起きたか・どこまで影響したか・根本原因は何かを調べやすくします。Amazon Detective は、機械学習(ML)・統計分析・グラフ理論を使って可視化し、最大 1 年分の履歴データを使って調査を支援します。
Amazon Detective 自体は、攻撃をブロックしたり、最初の異常検知を行ったりするわけではありません。Detective での調査は、finding(検出結果)、finding group、または entity を起点に始められます。つまり、GuardDuty や Security Hub で見つかった問題を、Detective で深掘りするイメージです。
Detective の中心概念は behavior graph(動作グラフ)です。これは、AWS 環境内のログや検出結果から、IAM ユーザー、IAM ロール、EC2、IP アドレスなどの entity を抽出し、それらの関係や振る舞いをグラフとして保持する仕組みです。entity の例として IP アドレス、EC2 インスタンス、AWS ユーザーなどを挙げられます。
取り込む主なデータソースは、CloudTrail ログ、VPC Flow Logs、GuardDuty findings です。さらに、Security Hub CSPM に集約された AWS security findings はオプションのデータソースとして追加できます。
役割分担の整理
役割分担を整理すると以下のようになります。
- GuardDuty = 検知
- Security Hub = 検出結果の集約・優先順位付け
- Detective = 調査・原因分析
GuardDuty の finding から Detective に遷移して、その finding に関係する IAM ユーザー、ロール、EC2、IP などをたどれるようになっています。Security Hub からも Detective の finding overview や entity profile に移動できます。
原因究明に役立ち、点を線にできるとサービスというイメージです。
コメント