この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
本日のアップデートで CloudTrail Insights によって検出された異常アクティビティに関する統計情報が提供されるようになりました。
何がうれしいのか?
CloudTrail Insights は直近 7 日間の CloudTrail 管理イベントから「通常アクティビティ」とされるベースラインの API コールを算出し、ベースラインから外れた API コール数があった場合に「異常アクティビティ」として通知します。
従来は異常アクティビティと判断された「CloudTrail イベント」が通知されるものの、「誰が」「どこから」といった調査は、Insights をきっかけにユーザーが CloudTrail イベントログから分析するなどの対応が必要でした。
今回のアップデートにより、以下の統計情報を CloudTrail Insights が自動的に分析し、提供されるようになりました。
- ベースラインおよび異常アクティビティに寄与した上位ユーザ ID(IAM ユーザーおよび IAM ロール)
- ベースラインおよび異常アクティビティに寄与した UserAgent
- ベースラインおよび異常アクティビティで発生したエラーコード
これらの情報によって従来と比較して、異常アクティビティの発生源や、挙動の変化(正常終了してたものがエラーを返すようになった等)の把握が容易になります。
やってみる
前提条件
CloudTrail Insights の有効化が必要ですので、先述の CloudTrail Insights 紹介記事を参考に有効化しておきます。
有効化されるにあたっては、分析された 100,000 の書き込み管理イベントごとに 0.35USD の課金が発生する点、ご注意ください。
統計情報
私の検証環境ではすでに CloudTrail Insights を有効化済みでしたので、さっそくコンソールから確認してみましょう。
CloudTrail 管理コンソールから [Insights] を開きます。以下のように検出イベントの一覧が表示されますので、統計情報を確認したいイベントをクリックします。
以下は「フィルターカラム」(画面左)と、「Insights グラフタブ」(画面右)です。グラフ内で赤い帯が重なっている部分が異常アクティビティが発生した箇所です。この例では 4 箇所になりますが、この中からどの異常アクティビティについて表示するかをフィルターカラムで切り替えます。
Insights グラフタブの下に詳細情報が表示されていますので、[属性]タブを開くと、今回のアップデート内容である統計情報が表示されます。複数該当する場合は、上位 5 つが表示されます。
ベースラインを構成する情報も上位 5 つまで確認できますので、これまで利用されていたユーザーID、UserAgent が異常アクティビティを引き起こしたのか、それとも新規追加されたものなのか簡単に確認できます。問題切り分けの材料として有用ですね。
簡単ではありますが、検証は以上です。
さいごに
CloudTrail Insights は異常アクティビティを知る手段として良い機能ですが、その後の調査は Athena などを使ってユーザー側で実施する必要があり、やや億劫な部分もあったかと思います。統計情報が提供されたことで、異常アクティビティに関して調査するうえでの手間が 1 つ省けるのは嬉しいですね。
個人的な希望は、CloudTrail Insights も Amazon Detective といい感じに連携して、調べごとは全部 Amazon Detective へと繋がるような UI/UX になると良いなぁと思います!
以上!大阪オフィスの丸毛(@marumo1981)でした!
5
