CloudTrail Insights に新しく属性タブが追加され異常なアクティビティ情報のチェックがより簡単に!

2020.08.17

CloudTrail Insights で検出されるアクティビティに新しい属性フィールドとコンソールに属性タブが追加されました!


Document History

今回追加された項目は、以下の3つです。(詳細は実際の画面とあわせて後ほど)

  • ユーザー ID
  • ユーザーエージェント
  • エラーコード

CloudTrail Insights とは?

CloudTrail が記録する書き込みイベントを機械学習を利用し監視することで、異常なアクティビティを検出する機能です。詳細は弊社メンバが記事にしてくれているのでご確認ください。

やってみた(見てみた)

CloudTrail Insights が有効となっているアカウントでは特に新しい設定は不要です。
(CloudTrail コンソール が新しくなりましたね。)

CloudTrail > insights > 任意のアクティビティを選択

Insights グラフ の下に表示されているのが今回追加となった 属性 情報です。

それではひとつずつ確認していきます。

ユーザー ID

検出されたアクティビティ を呼び出した AWS ユーザーまたは IAM ロールの TOP5 が表示され、かつ Insigts(異常なアクティビティ) と ベースライン(通常時)での割合が表示されます。

今回の例では私のユーザーから検証用アカウントのロールへスイッチロールしているものなので、スイッチ元のユーザーの ARN が表示されています。

ユーザーエージェント

異常なアクティビティとされた API の実行元の TOP5 がされます。 今回は私のマネジメントコンソールによるものが表示されていますが他にも AWS CLI、SDK も対象となります。

エラーコード

API で発生したエラーコード数の TOP5 が表示されます。今回は特にエラーが発生しているアクティビティではないので表示がありません。

補足

  • 2020/08/17 現在、私の手元の環境では 東京リージョンでは 属性 タブが表示されていません。 そのため、今回の記事は バージニア北部リージョンでの検証記事となります。
    2020/08/26 東京リージョンでも 属性タブが表示されていることを確認しました。
  • 古いコンソールでは属性タブは表示されません。

さいごに

今回のアップデートにより、実際に検出した異常なアクティビティの内容を調査する際に必要となる項目が追加され、また専用タブが用意されたことで、よりスムーズに状況を把握することが可能となりました!