翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Detective の開始方法
このチュートリアルでは、Amazon Detective の概要を説明します。 AWS アカウントで Detective を有効にする方法について説明します。また、Detective が AWS アカウントから動作グラフへのデータの取り込みと抽出を開始したことを確認する方法についても説明します。
Amazon Detective を有効にすると、Detective は、自分のアカウントを管理者アカウントとするリージョン固有の動作グラフを作成します。最初は、動作グラフではこれが唯一のアカウントです。その後、管理者アカウントは他の AWS アカウントを招待して、動作グラフにデータを提供できます。「[Detective でのアカウントの管理](accounts.md)」を参照してください。
あるリージョンで初めて Detective を有効にすると、動作グラフの 30 日間の無料トライアルも開始されます。アカウントが Detective を無効にしてから再度有効にした場合、無料トライアルは利用できません。「[動作グラフの無料トライアル期間について](free-trial-overview.md)」を参照してください。
無料トライアルが終了した後は、動作グラフの各アカウントには、提供するデータについての料金が請求されます。管理者アカウントは、動作グラフ全体について、使用量を追跡したり、通常の 30 日間の合計予測コストを表示したりできます。詳細については、「[Detective 管理者アカウントの使用状況のモニタリング](usage-tracking-admin.md)」を参照してください。メンバーアカウントは、自らが属する動作グラフの使用量と予測コストを追跡できます。詳細については、「[Detective メンバーアカウントの使用状況のモニタリング](member-usage-tracking.md)」を参照してください。
**Topics**
+ [AWS アカウントのセットアップ](detective-before-you-begin.md)
+ [Detective を有効にするための前提条件](detective-prerequisites.md)
+ [Detective を有効にするための推奨事項](detective-recommendations.md)
+ [Detective の有効化](detective-enabling.md)
# AWS アカウントのセットアップ
Amazon Detective を有効にするには、まず AWS アカウントが必要です。 AWS アカウントがない場合は、次の手順を実行してアカウントを作成します。
## にサインアップする AWS アカウント
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。
## 管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 を保護し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。
**を保護する AWS アカウントのルートユーザー**
1. **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。
ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。
1. ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。
**管理アクセスを持つユーザーを作成する**
1. IAM アイデンティティセンターを有効にします。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。
1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。
**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。
**追加のユーザーにアクセス権を割り当てる**
1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。
1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループを追加する](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。
# Detective を有効にするための前提条件
Detective を有効にする前に、次の要件を満たしていることを確認してください。
## 必要な Detective アクセス許可の付与
Detective を有効にする前に、必要な Detective アクセス許可を IAM プリンシパルに付与する必要があります。プリンシパルは、既に使用している既存のユーザーまたはロールにすることも、Detective で使用する新しいユーザーまたはロールを作成することもできます。
Amazon Web Services (AWS) にサインアップすると、Amazon Detective を含むすべての AWS のサービスに、アカウントが自動的にサインアップされます。ただし、Detective を有効化して使用するには、まず Amazon Detective コンソールと API オペレーションへのアクセスを許可するアクセス許可を設定する必要があります。これを行うには AWS Identity and Access Management 、 (IAM) を使用して[`AmazonDetectiveFullAccess`管理ポリシー](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectivefullaccess)を IAM プリンシパルにアタッチします。これにより、すべての Detective アクションへのアクセスが許可されます。これらの IAM アクセス許可がないと、 AWS コンソールで **Detective の開始**方法ページが表示される場合があります。その結果、サービスが有効になっている場合でも、これらのアクセス許可が追加されるまで、コンソールにはアクティブなグラフが表示されません。
## サポートされている AWS Command Line Interface バージョン
を使用して Detective タスクを実行する AWS CLI ために必要な最小バージョンは 1.16.303 です。
# Detective を有効にするための推奨事項
Detective を有効にする前に、以下の推奨事項に従うことを検討してください。
## GuardDuty および との推奨アライメント AWS Security Hub CSPM
GuardDuty および に登録している場合は AWS Security Hub CSPM、アカウントをそれらのサービスの管理者アカウントとすることをお勧めします。管理者アカウントが 3 つのサービスすべてで同じである場合、次の統合ポイントはシームレスに機能します。
+ GuardDuty または Security Hub CSPM では、GuardDuty の検出結果の詳細を表示するときに、検出結果の詳細から Detective の検出結果プロファイルにピボットできます。
+ Detective では、GuardDuty の検出結果を調査するときに、その検出結果をアーカイブするオプションを選択できます。
GuardDuty と Security Hub CSPM の管理者アカウントが異なる場合は、使用するサービスに基づいて管理者アカウントを調整することをお勧めします。
+ GuardDuty をより頻繁に使用する場合は、GuardDuty の管理者アカウントを使用して Detective を有効にします。
AWS Organizations を使用してアカウントを管理する場合は、GuardDuty 管理者アカウントを組織の Detective 管理者アカウントとして指定します。
+ Security Hub CSPM をより頻繁に使用する場合は、Security Hub CSPM 管理者アカウントを使用して Detective を有効にします。
Organizations を使用してアカウントを管理する場合は、Security Hub CSPM 管理者アカウントを組織の Detective 管理者アカウントとして指定します。
すべてのサービスで同じ管理者アカウントを使用できない場合は、Detective を有効にした後、オプションでクロスアカウントロールを作成できます。このロールは、管理者アカウントに他のアカウントへのアクセス権を付与します。
IAM がこのタイプのロールをサポートする方法の詳細については、[「IAM ユーザーガイド」の「所有している別の AWS アカウントの IAM ユーザーへのアクセスを許可する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
## GuardDuty CloudWatch の通知頻度に対する推奨される更新
GuardDuty では、ディテクターは、その後の検出結果の発生をレポートするために Amazon CloudWatch の通知頻度で設定されます。これには Detective への通知の送信が含まれます。
デフォルトでは、頻度は 6 時間です。これは、検出結果が何回も繰り返し発生しても、新しい発生は最長で 6 時間後まで Detective に反映されないことを意味します。
Detective がこれらの更新を受信するのにかかる時間を短縮するために、GuardDuty の管理者アカウントがディテクターの設定を 15 分に変更することをお勧めします。設定を変更しても GuardDuty の使用コストには影響しないことに注意してください。
通知頻度の設定については、「*Amazon GuardDuty ユーザーガイド*」の「[Monitoring GuardDuty Findings with Amazon CloudWatch Events](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html)」を参照してください。
# Detective の有効化
Detective は、Detective コンソール、Detective API、または AWS Command Line Interfaceから有効にできます。
Detective は、各リージョンで 1 回のみ有効にできます。自分のアカウントが既に該当のリージョンにある動作グラフの管理者アカウントである場合、そのリージョンで Detective を再度有効にすることはできません。
------
#### [ Console ]
**Detective を有効にするには (コンソール)**
1. AWS マネジメントコンソールにサインインします。その後、[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。
1. **[開始する]** を選択します。
1. [**Enable Amazon Detective**] (Amazon Detective を有効化) のページの [**Align administrator accounts (recommended)**] (管理者アカウントを調整 (推奨)) では、管理者アカウントを Detective と Amazon GuardDuty と AWS Security Hub CSPMの間で調整するためのレコメンデーションの説明が表示されます。「[GuardDuty および との推奨アライメント AWS Security Hub CSPM](detective-recommendations.md#recommended-service-alignment)」を参照してください。
1. **IAM ポリシーのア**タッチボタンを使用すると、IAM コンソールに直接移動し、推奨ポリシーが開きます。Detective に使用するプリンシパルに推奨ポリシーをアタッチすることもできます。IAM コンソールで操作を行うアクセス許可を持っていない場合は、**[必要なアクセス許可]** でポリシーの Amazon リソースネーム (ARN) をコピーして、IAM 管理者に提供することができます。お客様に代わって IAM 管理者により、ポリシーがアタッチされます。
必要な IAM ポリシーが存在していることを確認します。
1. [**Add tags**] (タグを追加) のセクションでは、動作グラフにタグを追加できます。
タグを追加するには、次の操作を行います。
1. [**新しいタグを追加**] をクリックします。
1. [**Key**] (キー) で、タグの名前を入力します。
1. [**Value**] (値) で、タグの値を入力します。
タグを削除するには、そのタグの [**Remove**] (削除) オプションを選択します。
1. [**Enable Amazon Detective**] (Amazon Detective を有効化) を選択します。
1. Detective を有効にすると、動作グラフにメンバーアカウントを招待できます。
[**Account management**] (アカウント管理) のページに移動するには、[**Add members now**] (今すぐメンバーを追加) を選択します。メンバーアカウントの招待については、「[Detective での招待されたメンバーアカウントの管理](accounts-invited-members.md)」を参照してください。
------
#### [ Detective API, AWS CLI ]
Detective API または AWS Command Line Interfaceから Amazon Detective を有効にできます。
**Detective を有効にするには (Detective API、 AWS CLI)**
+ **Detective API**: [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateGraph.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateGraph.html) オペレーションを使用します。
+ **AWS CLI:** コマンドラインで、[https://docs.aws.amazon.com/cli/latest/reference/detective/create-graph.html](https://docs.aws.amazon.com/cli/latest/reference/detective/create-graph.html) コマンドを実行します。
```
aws detective create-graph --tags '{"tagName": "tagValue"}'
```
次のコマンドは、Detective を有効にし、`Department` タグの値を `Security` に設定します。
```
aws detective create-graph --tags '{"Department": "Security"}'
```
------
#### [ Python script on GitHub ]
GitHub.Detective は GitHub でオープンソーススクリプトを提供し、以下を実行します。
+ 指定されたリージョンのリストにある管理者アカウントのために Detective を有効にします
+ 作成された各動作グラフに、提供されたメンバーアカウントのリストを追加します
+ メンバーアカウントに招待メールを送信します
+ メンバーアカウントになるための招待を自動的に承諾します
GitHub スクリプトの設定方法と使用方法については、「[Detective Python スクリプトを使用してアカウントを管理する](detective-github-scripts.md)」を参照してください。
------
## Detective が AWS アカウントからデータを取り込んでいることを確認する
Detective を有効にすると、 AWS アカウントから動作グラフへのデータの取り込みと抽出が開始されます。
最初の抽出では、通常 2 時間以内に動作グラフでデータが利用可能になります。
Detective がデータを抽出していることを確認する 1 つの方法は、Detective の [**Search**] (検索) ページでサンプルの値を探すことです。
**[Search] (検索) ページでサンプルの値を確認するには**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Amazon Detective コンソールを開きます。
1. ナビゲーションペインで、**[検索]** を選択します。
1. [**Select type**] (タイプを選択) のメニューから、項目のタイプを選択します。
[**Examples from your data**] (データのサンプル) には、動作グラフのデータに存在する、選択したタイプの識別子のサンプルセットが含まれています。
サンプルの値を表示できる場合は、データが取り込まれ、動作グラフに抽出されています。