ちょっと話題の記事

[速報] 潜在的なセキュリティ問題を自動的に分析する Amazon Detective が発表されました!#reinvent

2019.12.04

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

2019.12.09 追記
Amazon Detective のセッションレポートを追記

こんにちは、大阪オフィスの丸毛(@marumo1981)です!

キーノートではセキュリティ系の新機能発表があまり無かったなぁ…と思っていた方!しれっと、アップデート情報で流れてきましたよ!

執筆時点ではプライベートプレビューのようですので、プレビュー申請が必要になります。申請はこちらからできます!

Amazon Detective

潜在的なセキュリティ問題または疑わしいアクティビティの根本原因を簡単に分析、調査、および迅速に特定できます。Amazon Detectiveは、AWSリソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、データのリンクセットを構築します。これにより、より迅速かつ効率的なセキュリティ調査を簡単に実行できます。

機能としては次のとおりです。

すべてのAWSアカウントにわたる自動データ収集

有効なすべてのアカウントから関連データを自動的に取り込み、処理します。データソースを設定または有効化する必要はありません。Amazon Detectiveは、AWS CloudTrail、VPC Flow Logs、Amazon GuardDutyの結果などのデータソースからイベントを収集および分析し、分析のために最大1年間の集計データを保持します。

異なる種類のイベントをグラフモデルに統合

IPトラフィック、AWS管理操作、悪意のあるまたは不正なアクティビティに関する多くの個別のデータソースからのイベントを分析して、機械学習、統計分析、グラフ理論を使用してログデータを抽出するグラフモデルを構築し、リンクセットを構築できます。

グラフモデルは、セキュリティ関連の関係で事前に構築されており、データを迅速に検証、比較、および相関させて結論を導き出すことを可能にするコンテキストおよび行動の洞察を要約します。

効率的な調査のためのインタラクティブな視覚化

インタラクティブな視覚化を提供するため、少ない労力で問題をより迅速かつ徹底的に簡単に調査できます。すべてのコンテキストと詳細を1か所で視覚化できる統合ビューを使用すると、セキュリティの問題を検証または反論する可能性のあるパターンを特定し、セキュリティの結果によって影響を受けるすべてのリソースを理解しやすくなります。

上記の例は製品ページで紹介されているものです。

全体的なAPI呼び出し量は、特定の期間で成功した呼び出しと失敗した呼び出しを示し、確立されたベースラインと比較します。これは、異常なアクティビティのパターンを識別し、セキュリティの発見を検証するのに役立ちます。

セキュリティ調査結果を調査するためのシームレスな統合

Amazon GuardDutyやAWS Security HubなどのAWSセキュリティサービスとAWSパートナーセキュリティ製品と統合されており、これらのサービスで特定されたセキュリティ結果を迅速に調査するのに役立ちます。これらの統合サービスからのシングルクリックを使用して、Amazon Detectiveに移動し、検出に関連するイベントをすぐに確認し、関連する履歴アクティビティにドリルダウンして問題を調査できます。

事前にデータソースを統合したり、複雑な構成を維持したりしないシンプルな展開

AWSマネジメントコンソールで数回クリックするだけで、Amazon Detectiveを有効にできます。展開するソフトウェア、インストールするエージェント、または維持する複雑な構成はありません。また、有効にするデータソースもありません。つまり、データソースの有効化、データ転送、データストレージのコストを負担する必要はありません。

価格

Amazon Detectiveのコストは、AWS CloudTrail、VPC Flow Logs、およびAmazon GuardDutyの結果から取り込まれたデータの量に基づきます。これらのログソースを分析またはAmazon Detectiveに保存されたデータに対して追加料金はありません。

データ量の集計は、アカウント単位、リージョン単位、月単位でそれぞれ算出されるようですね。

AWS CloudTrail、Amazon VPC Flow Logs
Amazon GuardDutyから取得したデータ
価格(バージニア)
最初の1,000 GB /アカウント/リージョン/月 $2.00/GB
次の4,000 GB /アカウント/リージョン/月 $1.00/GB
次の5,000 GB /アカウント/リージョン/月 $0.50/GB
10,000 GB /アカウント/リージョン/月以上 $0.25/GB

例えば8,000GBのデータがあった場合、料金は以下のような計算になります。

  • 1.000GB * $2.00
  • 4,000GB * $1.00
  • 3,000GB * $0.50

詳細な価格例は公式ページを参照ください。なお、プレビュー期間中ま無料で利用できます!

FAQ から気になるものを抜粋

Q:Amazon Detectiveで複数のアカウントを管理できますか?

はい。AmazonDetectiveは、同じリージョン内の単一のマスターアカウントで監視対象のメンバーアカウントからデータを集約するマルチアカウントサービスです。Amazon GuardDutyおよびAWS Security Hubでマスターアカウントとメンバーアカウントを構成するのと同じ方法で、マルチアカウントモニタリング展開を構成できます。

Q:Amazon Detectiveはどのデータソースを分析しますか?

Amazon Detectiveを使用すると、AWS CloudTrailイベントに関連付けられた概要と分析データ、およびVPCフローログを表示できます。Amazon GuardDutyを有効にしているお客様の場合、DetectiveはAmazon GuardDutyの検出結果も処理します。

Q:Amazon GuardDutyを有効にしていない場合、Amazon Detectiveを使用できますか?

はい、GuardDutyを有効にしていない場合でも、アカウントのAWS CloudTrailイベントとVPCフローアクティビティを監視できます。Amazon Detectiveは、AWSアカウント、EC2インスタンス、AWSユーザー、ロール、およびIPアドレスの詳細な要約、分析、視覚化を提供します。これらは、管理イベントとネットワークフローの観点からAWS環境とインフラストラクチャがどのように利用されているかを理解するのに非常に役立ちます。

Q:Amazon Detectiveはどのくらい早く機能し始めますか?

有効になるとすぐにログデータの収集を開始し、取り込まれたデータの視覚的な概要と分析を提供します。Amazon Detectiveは、最近のアクティビティと、2週間のアカウントモニタリング後に確立された履歴ベースラインとの比較も提供します。Amazon GuardDutyのお客様の場合、Amazon Detectiveはアクティベーション時に2週間の履歴ログデータを自動的に取り込み、処理します。これにより、サービスを有効にした直後にベースライン比較と分析的洞察の活用を開始できます。

Q:生のログデータをAmazon Detectiveからエクスポートできますか?

Amazon DetectiveはAWS CloudTrailログとVPC Flowログを分析しますが、生ログをエクスポートできるようにしません。AWSでは、これらのログを他のサービスを介してエクスポートできます。

Q:Amazon Detectiveを有効にすると、既存のAWSワークロードにパフォーマンスまたは可用性のリスクがありますか?

Amazon Detectiveはログデータと検出結果をAWSサービスから直接取得するため、Amazon DetectiveはAWSインフラストラクチャのパフォーマンスや可用性に影響を与えません。

Q:Amazon Detectiveは、Amazon GuardDutyやAWS Security Hubなどの他のAWSセキュリティサービスとどのように統合されますか?

Amazon Detectiveは、Amazon GuardDutyおよびAWS Security Hubとのコンソール統合をサポートすることにより、クロスサービスユーザーワークフローをサポートします。これらのサービスは、選択した調査結果から、選択した調査結果を調査するための厳選された視覚化セットを含むAmazon Detectiveページに直接リダイレクトする、コンソール内からのリンクを提供します。Amazon Detectiveの調査結果の詳細ページは、調査結果の時間枠に既に合わせられており、調査結果に関連する関連データを表示しています。

対応リージョン

以下のリージョンでプレビューとして利用可能です。

  • 米国東部(バージニア北部)
  • 米国東部(オハイオ)
  • 米国西部(オレゴン)
  • EU(アイルランド)
  • アジアパシフィック(東京)

東京!!( ´∀`)bグッ!

セッションレポート

Amazon Detective についての詳細なセッションレポートは、以下、臼田のエントリーを参照ください!

AWS環境の異常調査が捗る! Amazon Detectiveの概要 [レポート] #SEC312 #reinvent

さいごに

発表内容だけの確認ですが、非常に簡単に実装できて、セキュリティ問題の調査においては強力にサポートしてくれそうなサービスではないでしょうか!!気になりますね。気になりますよね?

残念ながらプレビュー版のため当面はブログ等での公開することはできません。。気になる方はプレビュー申請してご自身の環境で使ってみてましょう!そして、使ってみた結果は是非AWSへフィードバックしてください!

参考