【AWS セキュリティ対策】Amazon Detective編

構成

こちらの記事は AWS セキュリティサービスを使ってみた シリーズの Part.3 の記事です。
他にも以下のサービスについてまとめております、ぜひご覧ください。

Part.1
AWS WAF
Part.2
Amazon GuardDuty
Part.3
AWS Detective (本記事)
Part.4
AWS Security Hub

【随時更新】 AWS セキュリティ製品一覧:
https://recipe.kc-cloud.jp/archives/17259

Amazon Detective とは

Amazon Detective では、潜在的なセキュリティ問題や不審なアクティビティの根本原因を簡単に分析、調査し、すばやく特定できます。Amazon Detective は、AWS リソースからログデータを自動的に収集し、機械学習、統計的分析、グラフ理論を使用して、リンクされたデータセットを構築します。これにより、より迅速かつ効率的なセキュリティ調査を簡単に行えます。

引用元:https://aws.amazon.com/jp/detective/

以下のタイプの AWS ログからデータを取得します。

  • Virtual Private Cloud (VPC) Flow Logs
  • AWS CloudTrail
  • Amazon GuardDuty

仕組み

ログイン試行、API コール、ネットワークトラフィックなどの時間ベースのイベントを自動的に抽出します。
また、GuardDuty によって検出された結果も取り込みます。

image.png

特徴

  • 異種のイベントをグラフモデルに統合
  • 効率的な調査のためのインタラクティブな視覚化
  • セキュリティに関する調査結果を調べるためのシームレスな統合
  • 事前にデータソースを統合したり、複雑な設定を維持したりする必要のないシンプルなデプロイ

料金

取り込まれたデータ 料金
最初の 1,000 GB/アカウント/リージョン/月 2.70USD/GB
次の 4,000 GB/アカウント/リージョン/月 1.35USD/GB
次の 5,000 GB/アカウント/リージョン/月 0.68USD/GB
10,000 GB 以上/アカウント/リージョン/月 0.34USD/GB

詳細:https://aws.amazon.com/jp/detective/pricing/

開始方法

ゴール

前提条件

  1. AWS にサインアップする
  2. Amazon GuardDuty が少なくとも 48 時間有効になっている
  3. アカウントデータボリュームは Detective クォータ内にある
  4. GuardDuty CloudWatch 通知の更新頻度は、デフォルトで6 時間です。GuardDuty 管理者アカウントはディテクターの設定を 15 分に変更することをお勧めします。
Amazon Detective の前提条件と推奨事項 – Amazon Detective

https://docs.aws.amazon.com

手順

手順はざっくり以下の通りです。

  1. Amazon Detective の有効化
  2. メンバーアカウントを招待
  3. データの抽出を確認
  4. Amazon Detective でのアクションと使用状況の追跡

1. Amazon Detective の有効化

Amazon Detective コンソールに移動→[開始方法]を選択します。

image.png

管理者アカウント向けの推奨事項が表示されます。

image.png

Detective 有効の前に、動作グラフ管理のために必要な IAM ポリシー を IAM プリンシパルにアタッチします。
このポリシーでは、Detective ですべての管理者アカウントアクションを実行できます。

IAM ポリシーをコピーします。

image.png

IAM ポリシー コンソールに移動 → [ポリシーの作成]を選択します。

image.png

[JSON]を選択 → コピーした IAM ポリシーをペースト → [次のステップ: タグ]を選択します。

image.png

今回はタグの設定をスキップします。
[次のステップ:確認]を選択します。

image.png

ポリシー名を入力して[ポリシーの作成]を選択すると、IAMポリシーが作成されます。

image.png

Detective のセットアップのページに戻り、[Amazon Detectiveを有効化]を選択します。

image.png

これで Detective が有効化されます。

image.png

Amazon Detective の有効化 – Amazon Detective

https://docs.aws.amazon.com

2. メンバーアカウントを招待

下図のような流れでメンバーアカウントを招待することができます。

image.png

[アクション]メニューから[アカウントを招待]を選択します。

image.png

招待したい AWS アカウント ID と E メールアドレスを入力します。

image.png

招待メールを編集することもできますが、今回は既定のままでいきます。

image.png

メンバーアカウント側でも メンバーアカウント用のIAMポリシーを設定する必要があります。
[招待]を選択します。

image.png

これで新しいメンバーが招待されました。

image.png

招待を受けたアカウントには以下のように通知が来ます。

image.png

[other notifications]タブ→[Detective member invitation]を選択します。

image.png

招待の詳細情報が表示されます。
招待を承認するには 以下の赤枠内のリンクをクリックします。

image.png

[招待を承諾]を選択します。

image.png

これで招待は承諾されました。

image.png

管理者アカウントでメンバーアカウントの有効化をします。
有効にしたいアカウントのチェックボックスにチェックを入れ、[アカウントの有効化]を選択します。

image.png

[有効化]を選択します。

image.png

3. データの抽出を確認

Detective を有効にすると、AWS アカウントのデータを動作グラフに取り込み、抽出し始めます。

ナビゲーションペインで[検索]を選択→[タイプを選択]メニューから項目の種類を選択します。
今回は[AWSアカウント]を見てみます。

image.png

下図のように、成功した呼び出しと失敗した呼び出しがグラフで確認できます。

image.png

下にスクロールしてアクティビティの詳細を確認します。
IPアドレスごとのAPIコールの種類や成功/失敗の数を見ることができます。

image.png

4. Amazon Detective でのアクションと使用状況の追跡

Detective アクティビティを追跡しやすくするために、[使用状況] ページには、取り込まれたデータ量と推定コストが表示されます。

image.png

管理者アカウントの場合は 動作グラフ全体のデータ量と推定コストが表示され、
メンバーアカウントの場合は 寄与する動作グラフ全体でアカウントのデータ量と予測コストが表示されます。

Amazon Detective でのアクションと使用状況の追跡 – Amazon Detective

https://docs.aws.amazon.com

動作グラフの使用状況とコストのモニタリング (管理者アカウント):https://docs.aws.amazon.com/ja_jp/detective/latest/adminguide/usage-tracking-admin.html

さいごに

Amazon Detectiveを使うと、AWS環境のセキュリティ問題を簡単に分析・調査できることが分かりました。
30日間の無料トライアル期間が設けられているのもいいですね。

参考ドキュメント

Amazon Detective のセットアップ – Amazon Detective

https://docs.aws.amazon.com