[アップデート]DetectiveでVPCフローログの可視化が強化されたから見てみた

Amazon DetectiveのVPCフローログの可視化が強化されたので見てみました。追加費用無しでフローが見れるようになって更に調査が捗りますね。
2020.08.02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、インシデント対応してますか?(挨拶

今回はインシデント調査が捗るサービスであるAmazon DetectiveのVPCフローログ確認がパワーアップしたのでやってみたいと思います。リリースは下記。

Amazon Detective enhances VPC flow visibility

Amazon Detectiveとは?

新し目のサービスなので簡単に紹介しておきます。

Amazon Detectiveはインシデントの調査を行うサービスで、脅威の検知を行うGuardDutyで見つけたインシデントの調査をするのがメインの使い方です。

Detective登場以前は、GuardDutyの情報を頼りにAmazon Athenaでクエリかけて、CloudTrailのログを分析したりVPCフローログをたどったりしていました。

Detectiveを有効にするとCloudTrail / VPCフローログ / GuardDuty Findingsを自動的に取り込んで関連性を調査して1つに集約してくれます。これまで色んな場所で確認したり、自分で関連性を見つけていたところを勝手にやってくれる控えめに言ってサイコーなサービスです。詳細は下記をどうぞ。

VPCフローログの確認を強化

before

これまでVPCフローログはDetectiveにおいて関連するIPやEC2とFindingsをつなげたり、トラフィック量の可視化に使われていました。トラフィック量の可視化は下記のような感じでした。

横軸時系列で縦軸がデータ量、どこでスパイクがあったかなどがわかるようになっていました。もちろん具体的なIPやプロトコルの情報なども別画面では活用されていますがここは結構殺風景でした。

after

今回のアップデートでこの下にView flow detailsというボタンが追加されました。押してみます。(画面はSSHブルートフォースのGuardDuty Findings)

このFindingsの対象であるEC2に関連するVPCフローが展開されました。そして実際にFindingsの対象となっているフローが右カラムのAnnotationsにマークされていて、これが上に上がってくるようにソートされています。関連するIPなどはFindingsの情報から見れていましたが、具体的なトラフィック量や通信が許可されたかどうかなどフローログからしか辿れない情報がこの画面から見れるようになりました。これはフローログ単体レコードの情報ではなくIP・ポートなどと単位時間で集計されていると思われます。

更にフローにチェックを入れると該当フローをグラフに乗せてくれます。つまり各トラフィックを比較することが可能です。

グラフのベースは全体トラフィックになっていますが、右側のOverall trafficのチェックを外せばチェックを入れたフローだけで比較することができます。

フローのIPやポート、通信がAccept/Rejectされたなどを条件にフィルターすることもできます。ある程度集約されていたりフィルターできることもあり普通に自分でVPCフローログを解析するより便利になっていますね。

このようなVPCフローログの可視化はEC2に関連するGuardDuty FindingsやEC2自体の画面などで確認できました。

ちなみにDetectiveはユーザーがVPCフローログを有効化していないVPCでもAWSの仕組みとしてフローログを収集して解析していますが、今回のVPCフローの可視化もVPCフローログの設定を有効化していない環境を対象に見ることができました!

これがあればVPCフローログがいらないということは無いですが(見れる情報が全く一緒ではない、関連しないものは表示されない)、いざという時に取得していなくてしまったー、ということは無いので安心ですね!しかも追加費用無しです!

まとめ

Amazon DetectiveのVPCフローログの可視化が強化されたので実際に見てみました。追加費用無しで自動的にいい感じに集計してくれて、おまけにフィルターしたりグラフに並べたりできるのでいい感じですね。

これでまたDetectiveの利用が捗ります。ガンガン使っていきましょう!

ちゃんとDetectiveの有効化していますか?まだの方は下記で一発展開しましょう。