AWS認定資格 WEB問題集＆徹底解説

会員登録/ログイン

1. サービス概要

Amazon Detectiveは、AWS環境のセキュリティ検出結果や疑わしいアクティビティを調査し、根本原因や影響範囲をすばやく把握するためのマネージド調査サービスです。 CloudTrail、VPC Flow Logs、GuardDuty findingsなどを自動的に取り込み、機械学習、統計分析、グラフ理論で関連性を可視化します。

試験では、GuardDutyは「脅威検出」、Security Hub CSPMは「検出結果の集約とセキュリティ態勢管理」、Detectiveは「検出後の調査・根本原因分析」と整理します。 Detectiveはログを集めて検索するSIEMそのものではなく、behavior graphと可視化で調査を効率化するサービスです。

2. 主な特徴と機能

2.1 Behavior graph

Detectiveはアカウント、IAMロール、ユーザー、EC2インスタンス、IPアドレス、Kubernetes podなどのエンティティとアクティビティをBehavior graphとして関連付けます。 管理者アカウントは、Organizationsや招待により複数アカウントのデータを1つのグラフへ集約できます。

2.2 GuardDuty/Security Hubからの調査

GuardDuty findingsやSecurity Hub CSPMからDetectiveへピボットし、関連するAPIコール、通信量、エンティティ、タイムラインを確認できます。 「検出された脅威がどのリソースに影響したか」を調べる用途に向きます。

2.3 Finding groups

Finding groupsは、複数のGuardDuty findingsや関連エンティティを1つの潜在的なセキュリティイベントとしてまとめます。 攻撃者が連続した複数アクションを行う場合、個別の検出結果より全体像を把握しやすくなります。

2.4 Detective Investigation

Detective Investigationは、IAMユーザーやIAMロールなどを対象に、IOC（Indicators of Compromise）や脅威インテリジェンスを使って疑わしい活動を自動分析します。 StartInvestigation APIによりプログラムから調査を開始できます。

2.5 Security Lake連携

DetectiveはAmazon Security Lakeと連携し、Security Lakeに保存されたCloudTrail、VPC Flow Logs、EKS Audit Logsなどの生ログを参照できます。 調査中に集約ビューから生ログへ掘り下げられる点が重要です。

2.6 履歴と可視化

Detectiveは最大1年分の履歴イベントデータにアクセスでき、選択した時間範囲でAPIコール、ネットワークフロー、ログイン試行などの変化を可視化します。 ベースラインから外れた挙動を見つけ、根本原因分析に使います。

3. アーキテクチャおよび技術要素

1. Detectiveを有効化し、管理者アカウントとメンバーアカウントを設定してBehavior graphを作成する。
2. CloudTrail管理イベント、VPC Flow Logs、GuardDuty findingsなどが自動的に取り込まれる。
3. Detectiveが機械学習、統計分析、グラフ理論でエンティティと活動の関係を構築する。
4. GuardDuty/Security Hubの検出結果からDetectiveへ移動し、finding groupやエンティティプロファイルを確認する。
5. 必要に応じてDetective InvestigationやSecurity Lake連携でIOCと生ログを確認する。
6. 調査結果をもとに、IAM無効化、SG修正、インスタンス隔離、Incident Manager/SSM Automationなどの対応を行う。

Detectiveは対応アクションを直接自動実行するサービスではなく、調査と根本原因分析を支援します。対応自動化はEventBridge、Lambda、SSM Automationなどと組み合わせます。

4. セキュリティと認証・認可

• IAM最小権限: Detective管理、調査閲覧、メンバー管理、StartInvestigationなどを職務分掌に合わせて制御する。
• Organizations連携: 組織のDetective管理者アカウントを指定し、メンバーアカウントを一元管理する。
• データ保護: Detectiveに取り込まれるログはセキュリティ上機微な情報を含むため、閲覧者をセキュリティ担当者に限定する。
• 監査: CloudTrailでDetective APIや管理操作を記録し、調査権限の利用状況を監査する。
• Security Lake連携: 生ログアクセスにはSecurity Lake/S3/Lake Formation/IAM権限も関係するため、最小権限で設計する。
• リージョン: Detectiveはリージョン単位で有効化し、調査対象リージョンを明確にする。

5. 料金形態

Amazon Detectiveは、分析対象として取り込まれるデータ量に基づく従量課金です。初回有効化時には無料トライアルが提供される場合があります。

• 分析データ量: CloudTrail、VPC Flow Logs、GuardDuty findingsなど、Behavior graphに取り込むデータ量で課金される。
• Security Lake連携: Security LakeやS3、クエリ、ログ保存の周辺コストが別途発生する。
• Detective Investigation: 利用形態により追加コストを確認する。
• コスト見積もり: Detectiveコンソールで使用量と推定コストを確認できる。
• コスト最適化: 有効化リージョンと対象アカウントを必要範囲に絞る。

6. よくあるアーキテクチャ・設計パターン

• GuardDuty finding調査: GuardDutyの高重大度検出からDetectiveへピボットし、関連IAMロール、IP、EC2、API活動を確認する。
• アカウント侵害調査: IAMユーザー/ロールの通常と異なるAPIコール、ログイン場所、権限変更をタイムラインで調べる。
• EC2通信調査: VPC Flow Logsの集約ビューで疑わしい外部IPとの通信量や通信先を確認する。
• EKS調査: Security Lake連携でEKS Audit Logsを含めてコンテナワークロードの疑わしい活動を調査する。
• Organizations統合: セキュリティアカウントをDetective管理者にし、全メンバーアカウントをBehavior graphに集約する。
• 対応自動化連携: 調査後の封じ込めをSSM Automation、Lambda、Incident Managerへ連携する。

7. 設定・デプロイ手順（ハンズオン例）

1. セキュリティ管理アカウントでDetectiveを有効化し、必要なリージョンを選択する。
2. AWS Organizations連携または招待でメンバーアカウントをBehavior graphへ追加する。
3. GuardDutyとSecurity Hub CSPMを有効化し、検出結果からDetectiveへ移動できることを確認する。
4. EC2、IAMロール、IPアドレス、finding groupのプロファイルを確認し、時間範囲を調整して調査する。
5. Security Lake連携を使う場合は、生ログ取得に必要な権限とデータソースを設定する。
6. 調査結果に基づき、IAM、ネットワーク、インスタンス隔離などの対応手順へ引き継ぐ。

8. 試験で問われやすいポイント