翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Detective で検出結果またはエンティティを検索する
<a name="detective-search"></a>

Amazon Detective の検索機能を使用すると、検出結果またはエンティティを検索できます。検索結果から、エンティティプロファイルまたは検出結果の概要に移動できます。検索で 10,000 件を超える結果が返された場合、上位 10,000 件の結果のみが表示されます。ソート順を変更すると、返される結果も変わります。

検索結果をカンマ区切り値 (CSV) ファイルにエクスポートすることができます。このファイルには、検索ページに返されたデータが含まれます。データはカンマ区切り値 (CSV) 形式でエクスポートされます。エクスポートされたデータのファイル名は、パターン detective-page-panel-yyyy-mm-dd.csv 形式に従います。CSV インポートをサポートする他のAWSサービス、サードパーティーアプリケーション、またはスプレッドシートプログラムを使用してデータを操作することで、セキュリティ調査を強化できます。

**注記**  
エクスポートが現在進行中の場合、追加のデータをエクスポートするときは、進行中のエクスポートが完了するまで待ってください。

## 検索の完了
<a name="detective-search-completing"></a>

検索を完了するには、検索するエンティティのタイプを選択します。次に、正確な識別子、またはワイルドカード文字 `*` または `?` を含む識別子を指定します。IP アドレスの範囲を検索するには、 CIDRまたは ドット表記を使用することもできます。次の検索文字列の例を参照してください。

IP アドレスの例:
+ `1.0.*.*`
+ `1.0.133.*`
+ `1.0.0.0/16`
+ `0.239.48.198/31`

他のタイプのエンティティの例:
+ `Admin`
+ `ad*`
+ `ad*n`
+ `ad*n*`
+ `adm?n`
+ `a?m*`
+ `*min`

すべてのエンティティタイプについて、次の識別子がサポートされています。
+ 検出結果の場合、検出結果識別子または検出結果 Amazon リソースネーム (ARN）。
+  AWS アカウントの場合、アカウント ID。
+  AWS ロールと AWS ユーザーの場合、プリンシパル ID、名前、または のいずれかですARN。
+ コンテナクラスターの場合、クラスター名または ARN。
+ コンテナイメージについては、コンテナイメージのリポジトリまたは完全ダイジェスト。
+ コンテナポッドまたはタスクの場合、ポッド名またはポッドUIDの 。
+ EC2 インスタンスの場合、インスタンス識別子または ARN。
+ 検出結果グループについては、検出結果グループの識別子。
+ IP アドレスの場合、 CIDRまたは ドット表記のアドレス。
+ Kubernetes サブジェクト (サービスアカウントまたはユーザー) については、名前。
+ ロールセッションについては、次のいずれかの値を使用して検索できます。
  +  ロールセッション識別子。

    ロールセッション識別子は、`<rolePrincipalID>:<sessionName>` の形式を使用します。

    例: `AROA12345678910111213:MySession`。
  + ロールセッション ARN
  + セッション名
  + 引き受けたロールのプリンシパル ID
  + 引き受けたロールの名前
+ S3 バケットの場合、バケット名またはバケット ARN。
+ フェデレーティッドユーザーについては、プリンシパル ID またはユーザー名。プリンシパル ID は `<identityProvider>:<username>` または `<identityProvider>:<audience>:<username>` のいずれかです。
+ ユーザーエージェントについては、ユーザーエージェント名。

**検出結果またはエンティティを検索するには**

1.  AWS マネジメントコンソールにサインインします。次に、 で Detective コンソールを開きます[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。

1. ナビゲーションペインで、**[検索]** を選択します。

1. **[タイプを選択]** メニューから、探している項目のタイプを選択します。

   [**User**] (ユーザー) を選択すると、 AWS ユーザーまたはフェデレーティッドユーザーのいずれかを検索できることに注意してください。

   [**Examples from your data**] (データのサンプル) には、動作グラフのデータに存在する、選択したタイプの識別子のサンプルセットが含まれています。例のいずれかのプロファイルを表示するには、その識別子を選択します。

1. 検索する識別子を、そのとおりに入力するか、またはワイルドカード文字を使って入力します。

   検索では大文字と小文字は区別されません｡

1. [**Search**] (検索) を選択するか、**Enter** キーを押します。

## 検索結果の使用
<a name="detective-search-results"></a>

検索を完了すると、Detective は最大 10,000 件の一致する結果のリストを表示します。一意の識別子を使用する検索では、一致する結果は 1 つのみとなります。

結果から、エンティティプロファイルまたは検出結果の概要に移動するには、識別子を選択します。

検出結果、ロール、ユーザー、EC2インスタンスの場合、検索結果には関連するアカウントが含まれます。アカウントのプロファイルに移動するには、アカウントの識別子を選択します。

## 検索のトラブルシューティング
<a name="detective-search-troubleshooting"></a>

Detective で検出結果またはエンティティが見つからない場合は、まず正しい識別子が入力されていることを確認してください。識別子が正しければ、次の事項も確認してください。
+ **検出結果またはエンティティは、動作グラフで有効になっているメンバーアカウントに属していますか?** 関連付けられたアカウントがメンバーアカウントとして動作グラフに招待されていない場合、動作グラフにはそのアカウントのデータは含まれません。

  招待されたメンバーアカウントが招待を承諾しなかった場合、動作グラフにはそのアカウントのデータは含まれません。
+ **検出結果については、その検出結果はアーカイブされていますか?** Detective は Amazon からアーカイブされた検出結果を受信しません GuardDuty。
+ **検出結果またはエンティティは、Detective が動作グラフにデータを取り込み始める前に発生したものですか?** Detective が取り込むデータに検出結果またはエンティティが存在しない場合、動作グラフにはそのデータが含まれません。
+ **その検出結果またはエンティティは正しいリージョンからのものですか?** 各動作グラフは に固有です AWS リージョン。動作グラフには、他のリージョンのデータは含まれません。