この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
2020.04.01 追記
公式より GA のアナウンスがありました。
・Amazon Detective is now generally available
いつからか正確にわからないのですが、昨晩、ポチポチと AWS コンソールを触っていたら Amazon Detective が利用可能になっていることに気づきました!
Amazon Detective はプライベートプレビューでしたので、プレビューの利用申請が必要だったと思うのですが、特に申請していない私のアカウントでも利用できています
ドキュメントにも「プレビューで許可されたアカウントのみ API が実行できる」と書いてますので、許可されてないアカウントでも利用できている今の状況は拡大解釈すると GA?
Amazon Detective is currently in preview. The Detective API can only be used by accounts that are admitted into the preview.
AWS コンソールを見ても、プレビュー時は以下のように (Preview) と書いてましたが
今見ると (Preview) の文字が消えてます。
2020.04.01 追記
GA に伴い、対応リージョンが 14 に増えました
利用可能なリージョンは以下のとおりです。
- バージニア
- オハイオ
- カリフォルニア
- オレゴン
- ソウル
- シンガポール
- シドニー
- 東京
- フランクフルト
- アイルランド
- ロンドン
- パリ
- カナダ
- サンパウロ
Amazon Detective が使えるようになってるーーー! ということで、触ってみました。
Amazon Detective とは
re:Invent 2019 期間中に発表された、AWS 環境における不審なアクティビティを検知した後の分析や調査をより迅速にかつ効率的にするための新サービスです。
(そういえば、re:Invent 2019 でもキーノートではなく普通のアップデートのように、しれっとリリースされたのが Amazon Detective でした。なので GA も、しれっとされるのでしょうか、、?)
Amazon Detective は以下のタイプの AWS ログからデータを取得します。
- AWS CloudTrail ログ
- Amazon VPC フローログ
- Amazon GuardDuty
従来、AWS 環境で不審なアクティビティを調査するためにこれらのログを使っていざやろうと思うと「情報が多いためノイズになってる」「いろんなリソースが絡んでいて複雑」「サードパーティ製品を使うにはコストが掛かる」「そもそもログ分析ってどうやるの?」といった悩みをお抱えかと思いますが、今日から Amazon Detective をお使いください!
(詳しくは臼田のレポート記事を参照ください)
前提条件と推奨事項
- サポートされている AWS CLI は
1.16.303以上 - Internet Explorer 11 では使用できません
- Amazon GuardDuty を有効化にする必要があります
- Amazon GuardDuty の有効化後 48 時間は待つ必要があります
- Amazon GuardDuty では CloudWatch 通知頻度がデフォルトで 6 時間になっています。Detective がこれらの更新を受診する時間を短くするために 15 分に変更することが推奨されています
やってみる
Amazon Detective の有効化(マスターアカウント)
AWS 管理コンソールより Amazon Detective を開き、Get started をクリックします。
Amazon Detective を有効にします。画面下に表示されている IAM ポリシーを必要に応じてユーザ、およびロールに付与してください。今回の検証環境では AdministratorAccess を付与していますので、そのまま Enable Amazon Detective をクリックします。
これで Amazon Detective の有効化ができました。
メンバーアカウントの招待
次に、このアカウントをマスターアカウントとして、メンバーアカウントを招待し、分析基盤を集約することもできます。アカウントを招待する場合は Invite individual accounts をクリックします。
招待したい AWS アカウント ID および、招待アカウントの root メールアドレスを入力して、Invite します。(Amazon Detective はメールアドレスがアカウントの root メールアドレスであることを検証します)
招待アカウントの通知を確認すると Detective member invitation というイベントが追加されています。こちらを選択すると右側に招待を承認するためのリンク表示されていますので、クリックします。
Amazon Detective の管理コンソールへ遷移しますので、Accept invitation で承認します。
マスターアカウント側に戻るとステータスが Accepted に変わっています。
イベントの調査をやってみる
なにかイベントを確認していみましょう。[Detective] - [Search] を開き、以下の Select type から対象を指定します。
例えば、以下は AWS アカウントを選択した際の概要です。Failed calls が気になるので赤いグラフをクリックすると、アクティビティの詳細が開きます。
例えば以下の場合だと、通信元 IP アドレス別の API コールの種類や Successful calls か Failed calls を確認できます。さらにその中を掘っていくと、どのアクセスキーでコールしたのかまで調べることができます。
では次に、「この IP アドレスは誰なんだ?」とクリックしますと IP アドレスを軸にした分析画面に変わります。Resource interaction タブを開くと、なるほどどうやら TrustedAdvisor のアクセスらしい、ということが簡単に突き止めることができます。凄い楽ですね!
その他にも地域別でもみれます(Panel in training の警告メッセージは、有効化した直後はベースラインの作成に 2 週間程度かかるためです。いずれ解消されると思います)
いかがでしょう、ワクワクしませんか!?
30日間のトライアル!
Amazon Detective では 30 日間のトライアル期間があります!実際に取得したデータに対しての見積もりまで確認できますので、まずは実環境で有効化して、そのコスト試算をご確認ください!
プレビューの間は無料だったはずですので、「30 日間のトライアル」が提供されているということは、やはり GA されている、、?
さいごに
有効化したばかりだったので、あまりたくさんのイベントやグラフをお見せできなかったのですが、Amazon Detective を使えば分析および調査の作業がすこぶる捗りそうだ!という印象はもっていただけたのではないでしょうか。
最近では GuardDuty もそれなりにメジャーなサービスとなりお使いいただいているユーザーも増えてきているかと思います。しかし、GuardDuty はあくまで脅威検出であるため、検出されたイベントにどう対処するかはユーザーが行う必要があります。せっかく GuardDuty が検出しているイベントをそのまま放置したりしていないでしょうか?わかります。億劫でしたよね。
でも Amazon Detective を使えば分析、調査がきっと楽しくなることは間違いありません。まずは30日間の無料トライアルからはじめましょう!
以上!大阪オフィスの丸毛(@marumo1981)でした!
12
