【入門】Amazon Detectiveを触ってみる【やってみた】

記事タイトルとURLをコピーする

食卓のりにハマっているCI部の柿﨑です。
Amazon Detectiveに初めて触る機会がございましたので、簡単にですが内容をまとめます。

目次

  1. Amazon Detectiveとは
  2. Amazon Detectiveの有効化
  3. Amazon Detectiveに触れてみる

1.Amazon Detectiveとは

Detective = 探偵という意味がある通り、AWS上の探偵的な役割を持つサービスです。
基本的には各種サービスによって収集されたデータをAmazon Detectiveが受信し、受信したデータを基に詳細な調査が行えます。
この詳細な調査の部分を簡単にしてくれるサービスがAmazon Detectiveとなります。

また、Amazon Detectiveの有効化時にAmazon GuardDuty、AWS Security Hubと自動的にサービスが統合されるため、上記サービスを有効化しているマスターアカウントにてAmazon Detectiveを有効化することが望ましいです。

前提条件
いくつか前提条件または推奨事項があります。
最初に引っかかりそうなところとしましてはAmazon Detectiveを有効化するAWSアカウントにて、Amazon GuardDutyを有効化してから48時間以上経過している必要がある点です。
他にもいくつか項目がありますので、詳細については管理ガイド(※執筆時点では英語版のみ)をご覧ください。

ユースケース
執筆時点では以下のタイプを検索できます。
GuardDuty finding、AWS account、EC2 instance、IP address、AWS role、AWS user、User agent

例として、AWS accountを選択すれば指定されたAWS account毎にAPIコールの成否をグラフ化したもの、コールされたAPIの種類、IPアドレス、IPアドレスの位置情報、Access Key IDなどを追跡することができます。
また、IP addressを選択することで、IP address毎にも上記の情報を確認できたり、どのAWSリソースが利用されたか(IAM Userなど)も確認することが可能です。

料金
Amazon Detectiveの料金はAWS CloudTrail、VPC Flow Logs、Amazon GuardDutyの結果から取り込まれたデータの量に基づいて発生するようです。
詳しい料金は、料金ページをご覧ください。
実際にAmazon Detectiveを有効化しますと、以下画像のUsageからある程度のコストが分かります。
はじめに30日間の無料トライアルがありますので、まずはAmazon Detectiveを有効化してから利用を検討してみてはいかがでしょうか。

2.Amazon Detectiveの有効化

それではAmazon Detectiveを有効化してみます。

1.AWSマネジメントコンソールからAmazon Detectiveサービスへ移動し、Get started を押下します
2.私の環境では前述したマスターアカウント且つAdmin権限のIAM Userのため、そのまま Enable Amazon Detective を押下します
3.有効化が完了すると以下のような画面へ遷移します
この画面ではAmazon GuardDuty、AWS Security Hubのように外部のAWSアカウントをメンバーとして追加することが可能です。

3.Amazon Detectiveに触れてみる

簡単にですがAmazon Detectiveを操作してみます。
まずはAmazon GuardDuty、AWS Security Hubにどのように統合されているのか見てみます。

Amazon GuardDutyでは以下のように調査アクションが存在し、こちらを選択するとAmazon Detectiveの画面へ遷移して調査することが可能となっています。

AWS Security Hubでは以下のように説明が載っています。
試しに自身が使用しているIAM Userについて調べてみます。
SearchからSelect typeにてAWS Userを指定します。
すると以下画像のマスクされた箇所にサンプルデータのリンクが表示されましたので、クリックしてみます。
現在使用しているAdmin権限を持つIAM Userの情報が表示されました。
まずはNew behaviorタブを押下してみます。
するとIAM Userで使用されたIPアドレスを基にAPI コールが観測された位置情報が表示されました。
場所が新宿区と表示されておりますので間違いありません。
※もちろん現在はテレワーク中です。
上記の画面よりDetailsを選択してみますとIPアドレスやAPIコールの状況が分かります。
ここでOverviewを選択し、画面を戻します。

Overviewの画面を下にスクロールし、APIコールのグラフを押下します。
そうしますと以下のようなAPIの統計情報を閲覧することが可能です。
以下の画像ではIPアドレス毎にAPIを表示させ、対応しているAccess Key IDまで確認することができます。
API methodを選択したパターン

Access Key IDを選択したパターン

このようにポチポチクリックするだけで詳細な情報が分かりやすい形で表示されます。
これならばAWS上の調査にかかる時間も短縮できそうです!!