【AWS】Detectiveの有効化

2023年6月3日 13:05

Amazon Detectiveはセキュリティサービスのひとつで、AWSアカウント内のセキュリティに関する調査を簡単に行うことができるサービスです。ここでは有効化する手順とセキュリティ調査の一例を紹介したいと思います。

Detectiveを有効化するには前提がありまして、GuardDutyを有効化し48時間以上経過している必要があります。
GuardDutyの前提をクリアしていない場合、以下のようなエラーメッセージが出ます。

1.AWS コンソールにログインし、Detectiveを選択します。

2.Detectiveを有効化するリージョンを選択します。

3.「開始方法」をクリックします。

4.有効化画面の設定

特に詳細な設定項目はありません。
画面最下部の「Amazon Detectiveを有効化」をクリックします。

以上で有効化の作業は完了です。

Detectiveを使って少し調査をしていきたいと思います。
特定のユーザーの行動を調査していきます。
左側メニューの「検索」をクリックします。

タイプを選択のプルダウンメニューから「ユーザー」をクリックします。

検索窓に調査したいユーザー名を入力し、「検索」をクリックします。
※下記画像では、test_userを検索しようとしています。適宜調査したいユーザ名に変更してください。

検索結果が表示されますので、該当ユーザーのプリンシパルIDをクリックします。

該当ユーザーの確認画面に遷移します。
まずは、調査を行いたい日時を指定します。
※下記の画像では2023/6/1 8:00 〜2023/6/2 8:00を指定(UTC)

「概要タブ」には、ユーザー情報やAPI操作の概要が記録されています。

「新しい動作」タブをクリックします。該当ユーザーのAPI操作が観測された場所が表示されます。日本からAPI操作が行われたことが確認できます。

「詳細」をクリックします。

「観察されたIPアドレス」タブには、ユーザーがAPI操作に利用したIPアドレスが表示されます。

「リソース」タブには、ユーザーが操作したリソース名とアクションが表示されます。どんな操作を行っていたか確認することができます。
※下記画像には、EC2内で複数リソースの閲覧(Describe)を行っていることが分かります。

特定のユーザーが、指定した時間にどこから、どんな操作をしたのか調査することができました。

このようにDetectiveは数クリックポチポチとするだけで簡単にセキュリティ調査を行うことができるようになります。
ぜひ有効化を検討してみましょう。

左メニュー → 設定 → 全般をクリック
最下部「Amazon Detective を無効化」をクリック。

disableと入力し、「Amazon Detectiveを無効化」をクリックすると無効化されます。

この記事が気に入ったらサポートをしてみませんか？