Amazon Detective とは?セキュリティインシデント調査支援
Amazon Detective は セキュリティインシデント調査専用のサービス。CloudTrail / VPC Flow Logs / GuardDuty Findings を グラフ形式で可視化し、攻撃者の動き・関係性を追跡しやすくする。GuardDuty の Fin...
セキュリティインシデントの原因調査を支援するサービス。CloudTrail / VPC Flow Logs / GuardDuty を可視化。
1. 概要(端的に)
Amazon Detective は セキュリティインシデント調査専用のサービス。CloudTrail / VPC Flow Logs / GuardDuty Findings を グラフ形式で可視化し、攻撃者の動き・関係性を追跡しやすくする。GuardDuty の Finding を起点に「何が起きたか」「どこまで侵害されたか」を効率的に調査できる。
2. 何ができるか
- データ収集:CloudTrail / VPC Flow Logs / GuardDuty を自動取り込み
- グラフ可視化:リソース間の関係性
- 時系列分析:いつ何が起きたか
- 行動パターン分析:通常 vs 異常
- GuardDuty 統合:Finding から直接調査開始
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | 取り込みデータ量 |
| 対象データ | CloudTrail / VPC Flow Logs / GuardDuty / EKS Audit |
| 可視化 | グラフ + 時系列 |
| GuardDuty 連携 | Finding からシームレスに調査 |
4. 仕組み
Detective は 生ログを内部で構造化グラフに変換し、リソース・ユーザー・IP 等のノードを線で結ぶ可視化を提供する。
5. ユースケース
ユースケース 1:インシデント調査
GuardDuty で検知した不正アクセスの全容把握。
ユースケース 2:影響範囲特定
侵害された IAM ロールがどこまでアクセスしたか。
ユースケース 3:監査・フォレンジック
過去の操作を時系列で追跡。
6. 関連用語
- GuardDuty — 主な起点
- CloudTrail / VPC-Flow-Logs — データソース
- Security-Hub — 統合管理
7. 関連サイト
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | − | 出題なし |
| SAA | 中 | インシデント調査ツール選定 |
| DVA | 低 | 出題ほぼなし |
| SOA | 中 | セキュリティ運用 |