tsumiki-media logo

tsumiki-media

Command Palette

Search for a command to run...

AWSベストプラクティス
約16分
専門
9/10
2025年8月6日

AWS SCS-C02 対策 AWS Detective セキュリティインシデント調査の効率化

AWS Detectiveによるセキュリティインシデントの関連性分析、時系列可視化、GuardDuty・Security Hub連携による効率的な調査手法を実践問題で習得。

この記事のポイント

  • 1
    DetectiveのGuardDuty連携による効率的なインシデント調査手法を理解する
  • 2
    Security Hubとの統合による包括的なセキュリティ分析アプローチを習得する
  • 3
    読み取り専用分析による本番環境への安全な調査実装を把握する

目次

AWS Detective の基本概念

AWS DetectiveはGuardDutyやSecurity Hubと連携してセキュリティインシデントの詳細調査を行う専用サービスです。機械学習を活用してリソース間の関連性を自動分析し、グラフ可視化により調査プロセスを大幅に効率化します。

ベストプラクティス

Detectiveは読み取り専用の分析ツールのため、本番環境に影響を与えずに調査を実行できることが最大の特徴です。

GuardDuty連携による自動調査

GuardDuty検出結果からワンクリックでDetective分析に移行できます。TorClientアクセスなどの脅威検出時、関連するすべてのリソースとアクティビティを自動的に特定します。

検出結果の深堀り分析

GuardDutyの脅威検出結果から、関連するEC2インスタンス、IPアドレス、APIコールの相互関係を自動分析。攻撃の全体像を数分で把握可能。

影響範囲の自動特定

異常なアクティビティから波及した可能性のあるすべてのリソースを機械学習で特定。手動調査では見逃しやすい関連性を自動検出。

時系列での行動パターン分析

異常発生前後の詳細なアクティビティをタイムライン表示。通常パターンとの差異を視覚的に把握し、攻撃手法を理解。

Security Hub統合による包括分析

Security Hubでセキュリティアラートを一元管理し、Detectiveで詳細調査を実行する組み合わせが効率的な調査ワークフローを実現します。

AWS Security Hub

主要機能
複数セキュリティサービス統合管理
検出範囲
組織全体のセキュリティ状態一元監視
分析手法
アラート集約・優先度付け
調査支援
インシデント概要把握
運用への影響
リアルタイム監視・アラート

Amazon Detective

主要機能
セキュリティイベントの詳細調査・分析
検出範囲
特定インシデントの関連性深掘り分析
分析手法
機械学習による関連性可視化
調査支援
根本原因・影響範囲特定
運用への影響
読み取り専用・本番環境影響なし

効率的な調査ワークフロー

Detectiveによる調査はデータ収集から分析まで自動化されているため、セキュリティアナリストは分析結果の解釈に集中できます。

時系列分析による異常検出

時系列グラフにより、正常時との差異を視覚的に特定できます。APIコール頻度、ネットワークトラフィック量、アクセスパターンの変化を一目で把握可能です。

VPCネットワーク分析

VPC Flow Logsを活用したネットワークトラフィック分析により、異常な通信パターンや未許可の接続を特定できます。地理的分布やプロトコル分析も自動実行されます。

1
アラート受信
GuardDutyまたはSecurity Hubからセキュリティイベント検出
2
Detective起動
ワンクリックで関連データの自動収集・分析開始
3
関連性分析
機械学習によるリソース間関係性の自動特定
4
時系列可視化
異常発生前後のアクティビティをタイムライン表示
5
影響範囲確定
グラフ分析により被害拡大状況を把握
6
対応策決定
調査結果に基づく適切な対応措置の実施
Note:15分以内の迅速なインシデント対応を実現

実践問題で確認

Detectiveの特徴的な機能と他サービスとの使い分けを実践問題で確認しましょう。

AWS認定セキュリティ - 専門知識

練習問題

ある小売企業がAmazon GuardDutyで「UnauthorizedAccess:EC2/TorClient」という重大な検出結果を受け取りました。セキュリティチームは複数のEC2インスタンスが関与する可能性があり、それらの相互関係と他のAWSサービスとの相互作用を迅速に分析する必要があります。チームはこのインシデントの全体像を把握し、関連するパターンを特定して、影響を受けたすべてのリソースを特定したいと考えています。 このような調査を効率的に進めるために、セキュリティチームが取るべき最適なアプローチはどれですか?(2つ選択してください)

AWS認定セキュリティ - 専門知識

練習問題

ある金融機関が、プロダクション環境を運用するAWSアカウントで異常なAPIアクティビティを検出しました。AWS Security Hubからは複数のAWSアカウントにまたがる怪しいリソースアクセスパターンに関する通知が届いています。セキュリティチームは、複数の関連APIコールとそれらの関係性を迅速に調査し、影響を受けたリソースの範囲を特定する必要があります。 調査過程において、セキュリティチームは以下の要件を満たす必要があります: - 複数のAWSサービスにまたがるセキュリティイベントの関連性を可視化する - APIコールの時系列分析を行い、異常なパターンを特定する - VPC内のネットワークトラフィックフローを分析する - プロダクション環境に影響を与えることなく調査を実施する これらの要件を最も効率的に満たすソリューションはどれですか?

AWS認定セキュリティ - 専門知識

練習問題

グローバル金融機関が、クラウドでホストされるコア取引アプリケーションのためのセキュリティモニタリング戦略を設計しています。このアプリケーションは、AWS上で複数のリージョンにデプロイされており、Amazon EC2、Amazon RDS、Amazon API Gateway、AWS Lambda、Amazon S3などのサービスで構成されています。企業は以下の主要な要件を特定しました: - 定義されたレスポンスSLAである15分以内にセキュリティインシデントを検出し対応する - 不審なログインアクティビティとデータアクセスパターンのリアルタイム検出 - トランザクション処理における異常を検出するための継続的なデータベースアクティビティモニタリング - PCI DSS準拠のためのログ管理と証拠収集 - マルチリージョンインフラストラクチャにまたがる統合モニタリング - 複数のアプリケーションレイヤーにわたるセキュリティイベントの相関関係分析 セキュリティチームは、これらのビジネス要件とセキュリティ要件を満たすための包括的なモニタリングソリューションを実装する必要があります。 この金融機関のセキュリティモニタリング要件を満たすためには、どのようなソリューションを実装するべきですか?

まとめ

AWS DetectiveはGuardDutyやSecurity Hubと連携してセキュリティインシデントの詳細調査を効率化する専用ツールです。機械学習による関連性分析読み取り専用設計により、本番環境に影響を与えずに迅速な調査を実現します。

GuardDutyの脅威検出結果からワンクリックでDetective分析に移行。TorClientアクセス等の検出時、関連リソースとアクティビティを自動特定し攻撃全体像を数分で把握。機械学習による影響範囲自動特定で手動調査の見逃しを防止。

Security Hubでセキュリティアラートを一元管理し、DetectiveでTOCインシデント詳細調査を実行する効率的ワークフロー。組織全体セキュリティ状態監視から特定インシデント根本原因特定まで連携。15分以内の迅速対応を実現。

Detective は完全読み取り専用設計のため本番環境への影響なしに調査実行可能。時系列分析・VPCネットワーク分析・マルチアカウント対応により、複雑なセキュリティイベントも効率的に分析。PCI DSS等規制要件にも対応。

これらのポイントを押さえることで、Detective関連の問題を効率的に解答できるようになります。特にサービス間連携調査の効率性を重視した判断が重要です。

理解度チェック

GuardDutyからDetectiveへの調査移行フローを説明できるか?

Security HubとDetectiveの役割分担と連携方法を理解しているか?

読み取り専用調査による本番環境への安全な分析手法を把握しているか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する