[アップデート]DetectiveでAPIコールがAWSサービス毎に分類されて見やすくなりました

こんにちは、臼田です。

みなさん、AWS上の脅威分析してますか？(挨拶

今回はDetectiveの画面をみていて気づいたアップデートを紹介します。

概要

以下の画像をご覧ください。DetectiveのIAM Role詳細画面でAPIコールを確認しているところですが、左側にインフォメーションが出ていました。

次のように書かれています。

API コール追跡の向上 Amazon Detective は、2021年7月14日 から 2021年7月18日 の間に API メソッドのサービスの特定を開始しました。Detective は、アクティビティの詳細でユーザーとロールの追跡も開始しました。この時点より前に取り込まれたデータについては、API メソッドが「不明なサービス」の下に表示されます。ユーザーとロールは、「不明なリソース」というラベルが付いた単一のエントリに結合されます。

端的に表現するとタイトルの通り、APIコールがAWSサービス毎に分類されて見やすくなったということです。

2021/07/25現在まだAWSブログは出ていませんがUser Guideには英語でのみ説明があります。

実際に見てみましょう。

やってみた

実際の詳細画面は以下のようになっています。

ちゃんとAWSサービス毎に分類されています。そしてこれを開くとそのサービス毎のAPIが含まれています。良い分類かも。

ただ今までのAPIコール別の並び順は利用できないようです。必ずサービス毎に集計されています。

有効に使える場面のほうが多そうですが、選択したいですね。

もう1つですが書いてあるとおり、2021年7月14日頃より前の時間を確認すると「不明なサービス」でまとめられています。

まとめ

Amazon DetectiveのAPIコールが見やすくなりました。

これまではどのAPIがどのサービスかは知識が必要でしたが、それがわかりやすく表現されていると思います。

インシデントの調査が更にはかどりますね。