この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、臼田です。
みなさん、インシデント調査してますか?(挨拶
今回はAmazon Detectiveで検索機能が拡張され、*と?のワイルドカードとIPアドレスのCIDR表記に対応したのでこれをやってみます。
Amazon Detective enhances search to better support security root cause analysis
概要
Amazon Detectiveはインシデント調査に役立つサービスで、もっぱらAmazon GuardDutyで検知したインシデント(Findings)に対しての調査に使います。そのため、従来はGuardDuty画面からDetectiveの画面に遷移してくることがほとんどでした。
実はDetectiveではGuardDutyのFindings以外にも各種リソースを検索して調査することができました。しかしあまり柔軟性がありませんでした。
今回ワイルドカードやCIDR表記をサポートしたことで、とりあえずユーザー一覧を*で取得したり、IPアドレスを10.0.0.0/16で一覧表示したりして、ざっくり対象リソースを確認することが簡単になりました。あるいは、*test*のようにLikeっぽく検索したりもできます。
やってみた
Detectiveのコンソールで「検索」にアクセスします。まずはIPアドレスのCIDRから確認します。10.0.0.0/16を指定して検索すると、該当するIPアドレスが一覧で表示されました。
IPアドレスは*で指定することもできます。これは途中のオクテットで利用することも可能です。
続いてユーザーでLikeっぽく検索してみます。*test*でtestが名前に含まれていればひっかかります。
この他にもロールセッションではロールセッションの ID、ARN、セッション名、引き受けたロール ID、引き受けたロール名についてそれぞれ検索結果が評価されるため、ワイルドカードの利用でより柔軟な検索が可能です。
ワイルドカードや検索でどのような要素を対象とできるかはユーザーガイドを参照してください。
まとめ
Amazon Detectiveの検索が拡張されました。今までは見つけたい対象を適切に把握しておく必要がありましたが、ワイルドカードによりざっくり検索から探していくことができるようになりました。
調査が非常にはかどりますね!
7
