この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、臼田です。
みなさん、インシデント調査してますか?(挨拶
今回は本当にそこはかとなくよくなったアップデートの紹介です。
概要
Amazon DetectiveはAWS上で発生したインシデントを調査するサービスです。通常はAmazon GuardDutyで検知したインシデントから、その調査を開始するためDetectiveの画面を開いて概要を見ることはありません。そして概要自体何もありませんでした。
が、今回のアップデートでそこはかとなく見れる概要画面が出来ていました。実は2021年1月のアップデートなのですが、アップデートブログがなくマネジメントコンソール内の最新情報ページにのみ掲載されていて、最近気づきました。以下内容を引用します。
Detective リソース概要ページのご紹介 Amazon Detective の新しいコンソールランディングページには、モニタリング対象のアカウントのアクティビティに関する主要な分析情報がまとめられています。このページには、新しく観察された地理的場所からのアクティビティ、AWS コントロールプレーンのオペレーションで最も頻繁に成功または失敗したプリンシパルなど、動作および傾向をまとめたインタラクティブかつ視覚的な一連のパネルが用意されています。表形式のデータをソート、フィルタリング、または展開して、注意が必要なリソースを特定します。関心のある項目が表示された場合は、リソースのハイパーリンクを選択して、その動作プロファイルページを開きます。このプロファイルから、最長 12 か月間のモニタリングデータから抽出されたさらなる要約および洞察を詳細に確認できます。要約のコンテンツは継続的に更新され、直近 24 時間の分析結果ウィンドウを提供します。コンテンツを定期的に確認して、調査対象とする新しいアクティビティを特定します。
まあ見てもらうのが速いでしょう。
やってみた
概要ページにアクセスすると以下のようになっていました。
下の方に以下もありました。
こんな感じです。ほらね?そこはかとなくいい感じでしょ?
表示される項目は以下3つです。
- 過去 24 時間の API 呼び出し量が最も多いロールとユーザー
- 過去 24 時間のトラフィック量が最も多い EC2 インスタンス
- 過去 24 時間に新たに観察された位置情報
AWS上のインシデントを確認したいときに、直近のIAMやEC2で確認するアクティビティを見れるといい感じなので、そういう点ではシンプルに情報が見れる画面だと思います。
各リソース名等はリンクになっていてDetectiveの詳細画面に飛んで調査ができるので、その辺もいい感じです。
ただまあ、それだけですね。
まとめ
Amazon Detectiveの概要画面がそこはかとなく良くなっていました。
定常的に監視する人が監視したり、たまに覗きにいくのも、そこはかとなくいいかもですね。
7
