Amazon AI by ナレコム アドベントカレンダー 2020の21日目の記事です。
初めまして、josonです
Amazon Detectiveがすごく良いと見かけ、気になったので調べました。
Amazon Detectiveとは
セキュリティデータの分析、視覚化を行い潜在的なセキュリティ問題の根本原因を迅速に特定する。
リソースからログデータを自動収集し、機械学習・統計分析・グラフ理論を使用し可視化します。
セキュリティインシデントへの迅速な対応が可能となる。
これを実施するためには、下記の懸念点が挙げられます。
- 高度なセキュリティ人材
- 対策コスト
- データノイズ
- 複雑性
etc
上記懸念点や仕組みづくりの問題点を Amazon Detective ならば解決できます。
フロー
#特徴
- ログの自動収集
- 分析の自動化
- インタラクティブな視覚化
Detectiveの処理の流れ
リソースから自動収集 → 集約とグラフモデル変換 → データ分析 → 視覚化
CloudTrail VPCFlowlogs GuardDuty から自動で収集してくれます。
ユースケース
-
脅威検出結果の分析
アラートの正常な検出 or 誤った検出かを素早く分析することが可能。
誤った検出の場合は、調査を実施しない。
判断ができない場合は、優先順位から調査へ -
影響範囲の特定
インシデントの根本原因、被害の影響の特定。
関連リソースや他のデータの相関調査も可能。 -
侵害痕跡の調査
内外の侵害痕跡を元にした、影響調査。
料金
Amazon Detectiveに取り込まれたデータの量に基づき発生。
一度取り込んだデータに課金はない。
1年間のデータ保持期間。
最初の30日間無料 → ここでコストを計っておく
東京リージョン
最初の 1,000 GB/アカウント/リージョン/月 2.70USD/GB
次の 4,000 GB/アカウント/リージョン/月 1.35USD/GB
次の 5,000 GB/アカウント/リージョン/月 0.68USD/GB
10,000 GB 以上/アカウント/リージョン/月 0.34USD/GB
Amazon Detective の有効化
前提として、GuardDutyを有効にしておかなければなりません。(有効化に48時間必要)
推奨設定として、検出結果のエクスポート時間を15分に変更。
Amazon Detective の有効化には24時間かかります。
データ収集とグラフモデルへの変換が行われます。
#まとめ
料金も安く、自動でセキュリティインシデント調査の仕組みが作れるのはすごく魅力的です。
実際に動かして見たかったのですが、時間がなかったため断念。BlackBeltでデモが見れます。
サービスが増えていく中で、すぐに取り入れることができて有用性の高いものがあるので情報収集を怠ってはいけませんね。
#参考文献
https://aws.amazon.com/jp/blogs/news/webinar-bb-amazon-detective-2020/
https://aws.amazon.com/jp/detective/