Amazon Detective

1. サービス概要¶

Amazon Detective は、AWS 環境におけるセキュリティ調査を効率化するためのサービスである。
ユーザーは、AWS リソースのログデータやアクティビティデータを自動的に収集、分析し、潜在的なセキュリティ問題を検出、調査、解決できる。
Detective は、セキュリティインシデントの根本原因を特定し、脅威を迅速に特定、調査するための視覚的な分析ツールを提供する。

主なユースケースとして、

セキュリティインシデントの調査
異常なアクティビティの検出
脅威のハンティング
セキュリティ監査
コンプライアンス遵守

などが挙げられます。
Amazon Detective は、これらのユースケースに対応するための様々な機能と、AWS の他のサービスとの統合を提供する。

2. 主な特徴と機能¶

2.1 セキュリティデータの自動収集¶

Detective は、AWS CloudTrail、VPC Flow Logs、GuardDuty などの AWS セキュリティサービスから、ログデータやアクティビティデータを自動的に収集する。
これにより、ユーザーは手動でログを収集、管理する必要がなくなります。

2.2 グラフデータベース¶

収集されたデータは、グラフデータベースに格納される。
グラフデータベースは、エンティティ（ユーザー、IP アドレス、リソースなど）間の関係性を分析するのに適しており、セキュリティインシデントの根本原因を特定するのに役立ちます。

2.3 視覚的な分析ツール¶

Detective は、視覚的な分析ツールを提供する。
ユーザーは、グラフやタイムラインを使用して、セキュリティデータをインタラクティブに調査し、異常なアクティビティを検出できる。

2.4 行動分析¶

機械学習を利用して、ユーザーやリソースの行動パターンを分析し、異常なアクティビティを検出する。
これにより、潜在的な脅威を早期に特定できる。

2.5 脅威のハンティング¶

Detective は、セキュリティアナリストが能動的に脅威を探索するための機能を提供する。
ユーザーは、特定のエンティティやアクティビティに関するクエリを実行し、潜在的な脅威を検出できる。

2.6 他の AWS サービスとの統合¶

Detective は、AWS Security Hub, Amazon GuardDuty, Amazon CloudWatch Logs などの他の AWS セキュリティサービスと統合できる。
これにより、AWS 環境全体のセキュリティ状況を把握し、連携して対応できる。

2.7 統合性と拡張性¶

AWS Detective は、AWS Organizations と統合し、組織全体のアカウントのセキュリティデータを分析できる。
また、API を利用して、データの取得や分析を自動化することもできる。

3. アーキテクチャおよび技術要素¶

Detective は、AWS CloudTrail、VPC Flow Logs、GuardDuty などの AWS サービスからログデータを収集。
収集したデータをグラフデータベースに保存し、エンティティ間の関係性を構築。
ユーザーは、Detective のコンソールでグラフやタイムラインを使用して、セキュリティデータを分析。
機械学習を利用して、異常なアクティビティを検出。
ユーザーは、検出された脅威を調査し、対策を講じる。

Amazon Detective は、AWS のインフラ上に構築されており、高い可用性とスケーラビリティを提供する。
セキュリティデータの収集や分析は AWS が行うため、ユーザーはインフラの管理を行う必要はありません。

4. セキュリティと認証・認可¶

Amazon Detective は、セキュリティデータのセキュリティを確保するために、以下の機能を提供する:

IAM 統合: AWS Identity and Access Management (IAM) を利用して、Detective へのアクセスを制御する。
データ暗号化: セキュリティデータは転送中および保存時に暗号化される。
VPC エンドポイント: VPC 内から Detective にアクセスする際に、インターネットを経由せずにアクセスできる。
アクセス制御: IAM ポリシーを通じて、ユーザーやグループごとに、Detective の操作権限を詳細に制御できる。
監査ログ: CloudTrail を通じて、Detective の利用状況を監査できる。

これらのセキュリティ対策により、セキュリティデータへの不正アクセスを防止し、機密情報を保護できる。

5. 料金形態¶

Amazon Detective の料金は主に以下に基づきます:

分析データ量: 分析対象となるイベントの量に応じて課金。
データ保存: 収集されたデータを保存するストレージ容量に応じて課金。

6. よくあるアーキテクチャ・設計パターン¶

Amazon Detective は、様々なセキュリティ調査に利用できる。
一般的なパターンは以下の通りです:

セキュリティインシデントの調査: セキュリティインシデントが発生した場合に、Detective を利用して根本原因を特定。
異常なアクティビティの検出: ユーザーやリソースの行動を分析し、異常なアクティビティを早期に発見。
脅威のハンティング: セキュリティアナリストが積極的に脅威を探索するために Detective を利用。
セキュリティ監査: 定期的にセキュリティデータを分析し、セキュリティリスクを評価。
コンプライアンス遵守: セキュリティポリシーの遵守状況を監視し、コンプライアンス要件を満たすことを保証。
アカウント乗っ取りの調査: 不正なアクセスを検出し、侵害されたアカウントを特定。

7. 設定・デプロイ手順（ハンズオン例）¶

AWS マネジメントコンソールから Amazon Detective を開き、新しいグラフを作成。
分析対象となるアカウント、リージョンを選択。
Detective が収集したセキュリティデータを確認。
グラフやタイムラインを使用して、セキュリティデータを調査。
検出された異常なアクティビティを分析。

8. 試験で問われやすいポイント¶

8.1 セキュリティデータの自動収集¶

収集元: AWS CloudTrail, VPC Flow Logs, GuardDuty など。
特徴: ユーザーは手動でログを収集、管理する必要がない。
試験対策: 収集されるデータの種類、収集元サービスが問われる。

8.2 グラフデータベース¶

特徴: エンティティ間の関係性を分析するのに適している。
利用: セキュリティインシデントの根本原因を特定。
試験対策: グラフデータベースの利用目的、利点が問われる。

8.3 視覚的な分析ツール¶

利用: グラフやタイムラインを使用して、インタラクティブにデータを調査。
利点: 異常なアクティビティを検出しやすく、調査を効率化。
試験対策: 可視化されたデータの種類、分析方法が問われる。

8.4 行動分析¶

利用技術: 機械学習。
目的: ユーザーやリソースの行動パターンを分析し、異常なアクティビティを検出。
試験対策: 機械学習の利用目的、効果が問われる。

8.5 料金体系¶

課金対象: 分析データ量、データ保存。
最適化: 不要なデータの収集を減らすことでコストを削減。
試験対策: 料金体系、課金対象が問われる。

8.6 類似・関連サービスとの比較¶

AWS Security Hub: セキュリティの状態を統合的に管理するサービス。Detective はセキュリティ調査に特化。
Amazon GuardDuty: 脅威検出サービス。Detective は GuardDuty の検出結果を調査。

8.7 試験で頻出となる具体的な問われ方と答え¶

Q: Amazon Detective は何を提供するサービスですか？
A: AWS 環境におけるセキュリティ調査を効率化するためのサービスである。
Q: Amazon Detective は、どのようなデータを自動的に収集するか？
A: AWS CloudTrail、VPC Flow Logs、GuardDuty などの AWS セキュリティサービスからログデータやアクティビティデータを収集する。
Q: Amazon Detective は、収集したデータをどのように分析するか？
A: グラフデータベースにデータを格納し、視覚的な分析ツールや機械学習を利用して分析する。
Q: Amazon Detective の料金はどのように計算されるか？
A: 分析対象となるイベントの量、収集されたデータを保存するストレージ容量に基づいて計算される。
Q: Amazon Detective は、どのようなセキュリティ上の脅威を検出し、調査するのに役立ちますか？
A: セキュリティインシデント、異常なアクティビティ、アカウント乗っ取りなどを検出し、調査するのに役立ちます。