翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Detective でのエンティティの分析
エンティティは、ソースデータから抽出される単一のオブジェクトです。例には、特定の IP アドレス、Amazon EC2インスタンス、または AWS アカウントが含まれます。エンティティタイプのリストについては、[動作グラフのデータ構造内のエンティティのタイプ](graph-data-structure-overview.md#entity-types) を参照してください。
Amazon Detective エンティティプロファイルは、エンティティとそのアクティビティに関する詳細情報を提供する単一のページです。エンティティプロファイルは、検出結果の調査に関する補足情報を得るために使用できるほか、疑わしいアクティビティを一般的に捕捉する取り組みの一部として使用することもできます。
**Topics**
+ [エンティティプロファイルの使用](using-entity-profiles.md)
+ [Detective プロファイルパネルの表示と操作](profile-panels.md)
+ [エンティティプロファイルまたは検出結果の概要への直接移動](navigate-to-profile.md)
+ [プロファイルパネルから別のコンソールへのピボット](profile-panel-console-links.md)
+ [プロファイルパネルにおけるアクティビティの詳細の確認](profile-panel-drilldown.md)
+ [スコープ時間の管理](scope-time-managing.md)
+ [Detective での関連する検出結果の詳細の表示](entity-finding-list.md)
+ [Detective での大量のエンティティの詳細の表示](high-volume-entities.md)
# エンティティプロファイルの使用
エンティティプロファイルは、次のいずれかのアクションを実行する際に表示されます。
+ Amazon GuardDuty コンソールから、選択した検出結果に関連するエンティティを調査するオプションを選択する。
「[Amazon GuardDuty または からエンティティプロファイルまたは検出結果の概要にピボットする AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service)」を参照してください。
+ エンティティプロファイルの Detective URL に移動する。
「[URL を使用したエンティティプロファイルまたは検出結果の概要への移動](navigate-to-profile.md#profile-navigate-url)」を参照してください。
+ Detective コンソールで Detective 検索を使用してエンティティを検索する。
+ 別のエンティティプロファイルまたは検出結果の概要から、エンティティプロファイルへのリンクを選択する。
## エンティティプロファイルのスコープ時間
スコープ時間を指定せずにエンティティプロファイルに直接移動すると、スコープ時間は直近 24 時間に設定されます。
あるエンティティプロファイルから別のエンティティプロファイルに移動しても、現在選択されているスコープ時間は変わりません。
検出結果の概要からエンティティプロファイルに移動すると、スコープ時間は検出結果の時間枠に設定されます。
エンティティプロファイルに表示されるデータを制限するスコープ時間をカスタマイズする方法については、[「スコープ時間の管理](https://docs.aws.amazon.com//detective/latest/userguide/scope-time-managing.html)」を参照してください。
## エンティティの識別子とタイプ
プロファイルの上部には、エンティティ識別子とエンティティタイプがあります。各エンティティタイプには対応するアイコンがあり、プロファイルのタイプの視覚的なインジケータを提供します。
## 関係する検出結果
各プロファイルには、スコープ期間中にエンティティが関係した検出結果のリストが含まれます。
各検出結果の詳細を表示したり、検出結果の時間枠を反映するように範囲時間を変更したり、検出結果の概要に移動して他の関係するリソースを検索したりできます。
「[Detective での関連する検出結果の詳細の表示](entity-finding-list.md)」を参照してください。
## このエンティティに関係する検出結果グループ
各プロファイルには、エンティティが含まれる検出結果グループのリストが含まれています。
検出結果グループは、検出結果、エンティティ、および証拠で構成されます。これらは、Detective が、発生する可能性のあるセキュリティ問題についてより多くのコンテキストを提供するために収集したものです。
検出結果グループの詳細については、「[検出結果グループを分析する](groups-about.md)」を参照してください。
## エンティティの詳細と分析結果を含むプロファイルパネル
各エンティティプロファイルには、1 つ以上のタブセットが含まれています。各タブには、1 つまたは複数のプロファイルパネルが含まれています。各プロファイルパネルには、動作グラフのデータから生成されたテキストとビジュアライゼーションが含まれています。特定のタブとプロファイルパネルは、エンティティタイプに合わせて調整されます。
ほとんどのエンティティについては、最初のタブの上部にあるパネルに、エンティティに関する概要レベルの情報が表示されます。
他のプロファイルパネルは、さまざまなタイプのアクティビティを強調表示します。検出結果と関係するエンティティについては、エンティティのプロファイルパネルの情報を確認することで、調査の完了に役立つ追加的な証拠を得ることができます。各プロファイルパネルでは、情報の使用方法に関するガイダンスにアクセスできます。詳細については、「[調査中のプロファイルパネルのガイダンスの使用](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance)」を参照してください。
プロファイルパネル、プロファイルパネルに含まれるデータのタイプ、およびそれらを操作するために使用可能なオプションの詳細については、[Detective プロファイルパネルの表示と操作](profile-panels.md) を参照してください。
## エンティティプロファイルでのナビゲーション
エンティティプロファイルには、1 つ以上のタブセットが含まれています。各タブには、1 つまたは複数のプロファイルパネルが含まれています。各プロファイルパネルには、動作グラフのデータから生成されたテキストとビジュアライゼーションが含まれています。
プロファイルタブを下方向にスクロールしても、次の情報はプロファイルの上部に表示されたままとなります。
+ エンティティタイプ
+ エンティティ識別子
+ スコープ時間
![\[使用可能なタブのメニューを含むプロファイルヘッダー。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_header_tab_menu.png)
# Detective プロファイルパネルの表示と操作
Amazon Detective コンソールの各エンティティプロファイルは、一連のプロファイルパネルで構成されています。プロファイルパネルは、エンティティに関連する一般的な詳細を表示したり、特定のアクティビティを重点的に表示したりするビジュアライゼーションを提供する機能です。プロファイルパネルは、さまざまな種類のビジュアライゼーションを使用して、さまざまな種類の情報を表示します。また、追加の詳細やその他のプロファイルへのリンクを提供することもできます。
各プロファイルパネルは、アナリストがエンティティとその関連アクティビティに関する特定の質問に対する回答を得るのをサポートすることを目的としています。それらの質問に対する回答は、そのアクティビティが真の脅威であるかどうかについての結論を得るのに役立ちます。
プロファイルパネルは、さまざまな種類のビジュアライゼーションを使用して、さまざまな種類の情報を表示します。
## プロファイルパネルの情報の種類
プロファイルパネルは、通常、次の種類のデータを提供します。
| パネルデータのタイプ | 説明 |
| --- | --- |
| 検出結果またはエンティティに関する概要レベルの情報 | 最もシンプルなタイプのパネルでは、エンティティに関する基本的な情報が提供されます。 情報パネルに含まれる情報の例として、識別子、名前、タイプ、作成日を挙げることができます。 ![\[エンティティに関する概要レベルの情報を含むプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_item_details.png) ほとんどのエンティティプロファイルには、そのエンティティに関する情報パネルが含まれています。 |
| 時間の経過に合わせたアクティビティの一般的な概要 | エンティティのアクティビティの概要を時間の経過に合わせて表示します。 このタイプのパネルは、スコープ時間中にエンティティがどのように動作しているかについての全体的なビューを提供します。 ![\[時間の経過に合わせたエンティティのアクティビティの概要を含むプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_activity_summary.png) Detective プロファイルパネルで提供される概要データの例をいくつか以下に示します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/profile-panels.html) |
| 値でグループ化されたアクティビティの概要 | エンティティのアクティビティの概要を、特定の値別にグループ化して表示します。 このタイプのプロファイルパネルは、EC2インスタンスのプロファイルに表示されます。プロファイルパネルには、特定のタイプのサービスに関連付けられている共通ポートのEC2インスタンスとの間で送受信されるVPCフローログデータの平均ボリュームが表示されます。 ![\[特定の値でグループ化されたアクティビティの概要を示すプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_grouped_summary.png) |
| スコープ時間中にのみ開始されたアクティビティ | 調査中、特定の時間枠に発生し始めたアクティビティのみを確認することは有益です。 例えば、以前には見られなかったAPI呼び出し、地理的位置、またはユーザーエージェントはありますか? ![\[スコープ時間より前には観察されたことがないアクティビティを強調表示するプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_newly_observed.png) 動作グラフがまだトレーニングモードの場合は、プロファイルパネルに通知メッセージが表示されます。メッセージは、動作グラフに少なくとも 2 週間分のデータが蓄積された場合に削除されます。トレーニングモードの詳細については、[新しい Detective 動作グラフのトレーニング期間](detective-data-training-period.md) を参照してください。 |
| スコープ期間中に大幅に変化したアクティビティ | 新しいアクティビティパネルと同様に、プロファイルパネルは、スコープ期間中に大幅に変化したアクティビティを表示することもできます。 例えば、ユーザーは週に数回、定期的に特定のAPI通話を発行することがあります。同じユーザーが突然、1 日に同じコールを複数回発行した場合、これは悪意のあるアクティビティを示唆している可能性があります。 ![\[スコープ期間中に大幅に変化したアクティビティを示すプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_changed_activity.png) 動作グラフがまだトレーニングモードの場合は、プロファイルパネルに通知メッセージが表示されます。メッセージは、動作グラフに少なくとも 2 週間分のデータが蓄積された場合に削除されます。トレーニングモードの詳細については、[新しい Detective 動作グラフのトレーニング期間](detective-data-training-period.md) を参照してください。 |
# プロファイルパネルのビジュアライゼーションのタイプ
プロファイルパネルのコンテンツは、以下のいずれかの形式で定義できます。
| ビジュアライゼーションのタイプ | 説明 |
| --- | --- |
| キーバリューペア | ビジュアライゼーションの最もシンプルなタイプは、キーバリューペアのセットです。 検出結果またはエンティティ情報パネルは、キーバリューペアのパネルの最も一般的な例です。 ![\[キーバリューペアを含むプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_key_value.png) キーバリューペアは、他のタイプのパネルにさらに情報を追加するためにも使用できます。 キーバリューペアのパネルから、値がエンティティの識別子である場合は、そのプロファイルにピボットできます。 |
| テーブル | テーブルは、シンプルな複数列の項目リストです。 ![\[シンプルなテーブルを含むプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_table.png) テーブルのソート、フィルタリング、およびページ分割を行うことができます。 ページごとに表示するエントリ数を変更できます。「[プロファイルパネルの詳細設定を設定する](profile-panel-preferences.md)」を参照してください。 テーブル内の値がエンティティの識別子である場合は、そのプロファイルにピボットできます。 |
| タイムライン | タイムラインの視覚化では、定義された間隔について、一定期間にわたって集計された値が表示されます。 ![\[タイムラインを含むプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_timeline.png) タイムラインは現在のスコープタイムを強調表示し、スコープ時間の前後の時間が追加的に含まれます。周辺時間により、スコープ時間内のアクティビティのコンテキストを確認できます。 時間間隔にカーソルを合わせると、その時間間隔のデータの概要を表示できます。 |
| 拡張可能なテーブル | 拡張可能なテーブルは、テーブルとタイムラインを組み合わせたものです。 ![\[拡張可能なテーブルを含むプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_expandable_table.png) ビジュアライゼーションはテーブルとして開始します。 テーブルのソート、フィルタリング、およびページ分割を行うことができます。 ページごとに表示するエントリ数を変更できます。「[プロファイルパネルの詳細設定を設定する](profile-panel-preferences.md)」を参照してください。 その後、各行を展開して、その行に固有のタイムラインのビジュアライゼーションを表示できます。 |
| 棒グラフ | 棒グラフは、グループに基づいて値を表示します。 グラフによっては、関連するアクティビティのタイムラインを表示する棒を選択できる場合があります。 ![\[棒グラフを含むプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_bar_chart.png) |
| ジオロケーションチャート | ジオロケーションチャートは、地理的場所に基づいてデータを強調表示するためにマークされたマップを表示します。これに続いて、個々のジオロケーションに関する詳細を含むテーブルが表示される場合があります。 ![\[ジオロケーションチャートを含むプロファイルパネルの例。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_geolocation.png) 受信する位置情報データを処理する場合、Detective は、緯度と経度の値を小数点第一位になるように四捨五入します。 |
## プロファイルパネルの内容に関する注意事項
プロファイルパネルのコンテンツを表示するときは、以下の点に注意してください。
****データが概数である旨の警告****
この警告は、該当するデータの量により、数が極端に少ない項目が表示されていないことを示唆するものです。
完全に正確な数を確認するには、データの量を減らします。これを実行するための最も簡単な方法は、スコープ時間の長さを短くすることです。「[スコープ時間の管理](scope-time-managing.md)」を参照してください。
****地理的場所の丸め****
Detective は、すべての緯度と経度の値を小数点第一位に丸めます。
**Detective がAPI呼び出しを表す方法の変更**
2021 年 7 月 14 日以降、Detective は各API呼び出しを行ったサービスを追跡します。Detective がAPIメソッドを表示するたびに、関連するサービスも表示されます。API 呼び出しに関する情報を表示するプロファイルパネルでは、呼び出しは常にサービスによってグループ化されます。その日付より前に Detective が取り込んだデータについては、サービス名は [**Unknown service**] (不明なサービス) としてリストされます。
また、2021 年 7 月 14 日以降、アカウントとロールの場合、**全体的なAPIコールボリューム**プロファイルパネルのアクティビティ詳細に、コールを発行したリソースAKIDの が表示されなくなります。アカウントについては、Detective はコールを発行したプリンシパル (ユーザーまたはロール) の識別子を表示します。ロールについては、Detective はロールセッションの識別子を表示します。2021 年 7 月 14 日より前に Detective が取り込んだデータについては、識別子は **[不明なリソース]** としてリストされます。
API コールのリストを表示するプロファイルパネルの場合、関連するタイムラインは、この移行が発生した期間を強調表示します。強調表示は 2021 年 7 月 14 日に開始され、更新が Detective で完全に伝達されたときに終了します。
# プロファイルパネルの詳細設定を設定する
プロファイルパネルでは、 によってプロファイルパネルの各ページに表示される行数をカスタマイズし、タイムスタンプ形式の設定を設定できます。
## テーブルの長さを設定する
テーブルまたは展開可能なテーブルを含むプロファイルパネルについては、ページあたりで表示する行数を設定できます。
ページあたりのエントリ数の詳細設定を設定します。
1. で Amazon Detective コンソールを開きます[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. Detective のナビゲーションペインで、[**Settings**] (設定) の [**Preferences**] (詳細設定) を選択します。
1. **[詳細設定]** ページの **[テーブルの長さ]** で **[編集]** をクリックします。
1. 各ページに表示するテーブルの行数を選択します。
1. [**Save**] を選択します。
## タイムスタンプ形式を設定する
プロファイルパネルでは、Detective の各IAMユーザーまたはIAMロールのすべてのタイムスタンプに適用されるタイムスタンプ形式の設定を設定できます。
**注記**
タイムスタンプ形式の設定は、 AWS アカウント全体には適用されません。
タイムスタンプの設定を行います。
1. で Amazon Detective コンソールを開きます[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. Detective のナビゲーションペインで、[**Settings**] (設定) の [**Preferences**] (詳細設定) を選択します。
1. **[詳細設定] **ページの **[タイムスタンプの設定]** で、すべてのタイムスタンプの優先表示を表示および変更します。
1. デフォルトでは、タイムスタンプ形式は に設定されていますUTC。ローカルタイムゾーンを選択するには **[編集]** をクリックします。
例:
**Example**
UTC - 09/20/22 16:39 UTC
ローカル - 09/20/2022 9:39 (UTC-07:00)
1. [**Save**] を選択します。
# エンティティプロファイルまたは検出結果の概要への直接移動
次のいずれかのオプションを使用して、Amazon Detective のエンティティプロファイルまたは検出結果の概要に直接移動できます。
+ Amazon GuardDuty または から AWS Security Hub CSPM、GuardDuty の検出結果から対応する Detective の検出結果プロファイルにピボットできます。
+ 検出結果またはエンティティを識別し、使用するスコープ時間を設定する Detective URL をアセンブルできます。
## Amazon GuardDuty または からエンティティプロファイルまたは検出結果の概要にピボットする AWS Security Hub CSPM
Amazon GuardDuty コンソールから、検出結果に関連するエンティティのエンティティプロファイルに移動できます。
GuardDuty および AWS Security Hub CSPM コンソールから、検出結果の概要に移動することもできます。検出結果の概要には、関係するエンティティのエンティティプロファイルへのリンクも表示されます。
これらのリンクは、調査プロセスを合理化するのに役立ちます。Detective を迅速に使用して、関連するエンティティのアクティビティを表示したり、次のステップを決定したりできます。その後、検出情報が偽陽性である場合にはその検出結果をアーカイブしたり、さらに調査して問題の範囲を特定したりできます。
### Amazon Detective コンソールにピボットする方法
GuardDuty のすべての検出結果について、調査リンクを使用できます。GuardDuty では、エンティティプロファイルに移動するか、検出結果の概要に移動するかを選択できます。
**GuardDuty コンソールから Detective にピボットするには**
1. GuardDuty コンソール ([https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)) を開きます。
1. 必要に応じて、左側のナビゲーションペインで [**Findings**] (検出結果) を選択します。
1. GuardDuty の [**Findings**] (検出結果) のページで、検出結果を選択します。
検出結果のリストの右側に検索結果の詳細のペインが表示されます。
1. 検出結果の詳細のペインで、[**Investigate in Detective**] (Detective で調査) を選択します。
GuardDuty は、Detective で調査できる項目のリストを表示します。
リストには、IP アドレスや EC2 インスタンスなどの関連エンティティと検出結果の両方が含まれます。
1. エンティティまたは検出結果を選択します。
新しいタブで Detective コンソールが開きます。コンソールが開き、エンティティまたは検出結果プロファイルが表示されます。
Detective を有効にしていない場合、コンソールが開き、Detective の概要を示すランディングページが表示されます。そこから、Detective を有効にすることができます。
**Security Hub CSPM コンソールから Detective にピボットするには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. 必要に応じて、左側のナビゲーションペインで [**Findings**] (検出結果) を選択します。
1. Security Hub の CSPM **の検出結果**ページで、GuardDuty の検出結果を選択します。
1. 詳細のペインで、[**Investigate in Detective**] (Detective で調査) を選択してから、[**Investigate finding**] (検出結果を調査) を選択します。
[**Investigate finding**] (検出結果を調査) を選択すると、Detective コンソールが新しいタブで開きます。コンソールが開き、検出結果の概要が表示されます。
Detective コンソールは、集約リージョンからピボットした場合でも、常に検出結果が派生したリージョンに開きます。集計の検索の詳細については、*AWS Security Hub ユーザーガイド*の [Aggregating findings across Regions](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) を参照してください。
Detective を有効にしていない場合、コンソールを開くと Detective のランディングページが表示されます。そこから、Detective を有効にすることができます。
### ピボットのトラブルシューティング
ピボットを使用するには、次のいずれかが当てはまる必要があります。
+ アカウントは、Detective とピボット元のサービスの両方の管理者アカウントである必要があります。
+ 動作グラフへのアクセス権を管理者アカウントに付与するクロスアカウントロールを引き受けました。
管理者アカウントを調整するためのレコメンデーションの詳細については、[Amazon GuardDutyとの推奨アライン AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations)メント」を参照してください。
ピボットが機能しない場合は、次の点を確認してください。
+ **検出結果は、動作グラフで有効になっているメンバーアカウントに属していますか?** 関連付けられたアカウントがメンバーアカウントとして動作グラフに招待されていない場合、動作グラフにはそのアカウントのデータは含まれません。
招待されたメンバーアカウントが招待を承諾しなかった場合、動作グラフにはそのアカウントのデータは含まれません。
+ **検出結果はアーカイブされていますか?** Detective は、アーカイブされた検出結果を GuardDuty から受け取りません。
+ **検出結果は、Detective が動作グラフにデータを取り込み始める前に発生したものですか?** Detective が取り込むデータに検出結果が存在しない場合、動作グラフにはそのデータが含まれません。
+ **その検出結果は正しいリージョンからのものですか?** 各動作グラフは、リージョンに固有のものです。動作グラフには、他のリージョンのデータは含まれません。
## URL を使用したエンティティプロファイルまたは検出結果の概要への移動
Amazon Detective でエンティティプロファイルまたは検出結果の概要に移動するには、そのプロファイルへの直接リンクを提供する URL を使用できます。URL は、検出結果またはエンティティを識別します。また、プロファイルで使用するスコープ時間を指定することもできます。Detective は、最長 1 年間の履歴イベントデータを保持します。
### プロファイル URL の形式
**注記**
古い形式の URL を使用した場合でも、Detective によって新しい URL に自動的にリダイレクトされます。古い形式の URL は次のとおりです。
https://console.aws.amazon.com/detective/home?region=*Region*\$1*type*/*namespace*/*instanceID*?*parameters*
新しい形式のプロファイル URL は次のとおりです。
+ エンティティの場合 - https://console.aws.amazon.com/detective/home?region=*Region*\$1*entities*/*namespace*/*instanceID*?*parameters*
+ 検出結果の場合 - https://console.aws.amazon.com/detective/home?region=*Region*\$1*findings*/*instanceID*?*parameters*
URL には、次の値が必要です。
***Region***
使用するリージョン。
***type***
ナビゲート先のプロファイルの項目のタイプ。
+ `entities` - エンティティプロファイルに移動していることを示します
+ `findings` - 検出結果の概要に移動していることを示します
***名前空間***
エンティティについては、名前空間はエンティティタイプの名前です。
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`
***instanceID***
検出結果またはエンティティのインスタンス識別子。
+ GuardDuty の検出結果については、GuardDuty の検出結果の識別子です。
+ AWS アカウントの場合、アカウント ID。
+ AWS ロールとユーザーの場合、ロールまたはユーザーのプリンシパル ID。
+ フェデレーティッドユーザーについては、フェデレーティッドユーザーのプリンシパル ID です。プリンシパル ID は `:` または `::` のいずれかです。
+ IP アドレスについては、IP アドレスです。
+ ユーザーエージェントについては、ユーザーエージェント名。
+ EC2 インスタンスについては、インスタンス ID です。
+ ロールセッションについては、セッション識別子です。セッション識別子は、` :` の形式を使用します。
+ S3 バケットについては、バケット名です。
+ 検出結果グループの場合: UUID。例: `ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ EKS リソースの場合: 次の形式を使用します。
+ EKS クラスター: *\$1\$1EKS*
+ Kubernetes ポッド: *\$1\$1\$1EKS*
+ Kubernetes サブジェクト: *\$1\$1*
+ コンテナイメージ: */:@*
検出結果またはエンティティは、動作グラフで有効になっているアカウントに関連付けられている必要があります。
URL には、スコープ時間を設定するために使用される次のオプションのパラメータを含めることもできます。スコープ時間とプロファイルでのその使用方法の詳細については、[スコープ時間の管理](scope-time-managing.md) を参照してください。
**`scopeStart`**
プロファイルで使用するスコープ時間の開始時刻。開始日時は過去 365 日以内の日時である必要があります。
値はエポックタイムスタンプです。
開始時刻を指定したが、終了時刻を指定しない場合、スコープ時間は現在の時刻で終了します。
**`scopeEnd`**
プロファイルで使用するスコープ時間の終了時刻。
値はエポックタイムスタンプです。
終了時刻を指定したが、開始時刻を指定しない場合、スコープ時間には終了時刻より前のすべての時間が含まれます。
スコープ時間を指定しない場合は、デフォルトのスコープ時間が使用されます。
+ 検出結果については、デフォルトのスコープ時間は、検出結果のアクティビティが観察された最初の時刻と最後の時刻を使用します。
+ エンティティについては、デフォルトのスコープ時間は直近 24 時間です。
Detective の URL の例を次に示します。
`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`
この URL の例では、次の手順について説明します。
+ IP アドレス 192.168.1 のエンティティプロファイルを表示します。
+ 2019 年 3 月 18 日 (月) 午前 0 時 (GMT) に開始し、2019 年 3 月 18 日 (月) 正午 (GMT) に終了するスコープ時間を使用します。
### URL のトラブルシューティング
URL が想定されるプロファイルを表示しない場合は、まず URL が正しい形式を使用していること、および正しい値を入力したことを確認します。
+ URL の前半に正しい `findings` または `entities` を指定しましたか?
+ 正しい名前空間を指定しましたか?
+ 正しい識別子を入力しましたか?
値が正しい場合は、以下を確認することもできます。
+ **検出結果またはエンティティは、動作グラフで有効になっているメンバーアカウントに属していますか?** 関連付けられたアカウントがメンバーアカウントとして動作グラフに招待されていない場合、動作グラフにはそのアカウントのデータは含まれません。
招待されたメンバーアカウントが招待を承諾しなかった場合、動作グラフにはそのアカウントのデータは含まれません。
+ **検出結果については、その検出結果はアーカイブされていますか?** Detective は、アーカイブされた検出結果を Amazon GuardDuty から受け取りません。
+ **検出結果またはエンティティは、Detective が動作グラフにデータを取り込み始める前に発生したものですか?** Detective が取り込むデータに検出結果またはエンティティが存在しない場合、動作グラフにはそのデータが含まれません。
+ **その検出結果またはエンティティは正しいリージョンからのものですか?** 各動作グラフは、リージョンに固有のものです。動作グラフには、他のリージョンのデータは含まれません。
## Splunk に対する検出結果の Detective URL の追加
Splunk Trumpet プロジェクトでは、 AWS サービスから Splunk にデータを送信できます。
Amazon GuardDuty の検出結果の Detective URL を生成するように Trumpet プロジェクトを設定できます。その後、これらの URL を使用して、対応する Detective 検出結果プロファイルに Splunk から直接ピボットできます。
Trumpet プロジェクトは、GitHub ([https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)) から入手できます。
Trumpet プロジェクトの設定のページで、**AWS CloudWatch Events** から [**Detective GuardDuty URLs**] (Detective GuardDuty URL) を選択します。
# プロファイルパネルから別のコンソールへのピボット
EC2 インスタンス、 IAM ユーザー、および IAM ロールについては、詳細プロファイルパネルから、対応するコンソールに直接移動できます。コンソールから入手できる情報は、セキュリティ調査のための追加の入力を提供することができます。
[**EC2 instance details**] (EC2 インスタンスの詳細) プロファイルパネルでは、EC2 インスタンス識別子が Amazon EC2 コンソールにリンクされています。
[**User details**] (ユーザーの詳細) プロファイルパネルでは、ユーザー名は IAM コンソールにリンクされています。
[**Role details**] (ロールの詳細) プロファイルパネルでは、ロール名は IAM コンソールにリンクされています。
## プロファイルパネルから別のエンティティプロファイルへのピボット
プロファイルパネルに別のエンティティの識別子が含まれている場合、それは通常、そのエンティティプロファイルへのリンクです。例外は、EC2 インスタンス、IAM ユーザー、および IAM ロールのプロファイル上の Amazon EC2 および IAM コンソールへのリンクです。「[プロファイルパネルから別のコンソールへのピボット](#profile-panel-console-links)」を参照してください。
例えば、IP アドレスのリストから、特定の IP アドレスのプロファイルを表示できる場合があります。これにより、調査の完了に役立つ他の情報が入手できるかどうかを確認できます。
# プロファイルパネルにおけるアクティビティの詳細の確認
調査中に、エンティティのアクティビティのパターンをさらに調査したい場合があります。
次のプロファイルパネルでは、アクティビティの詳細の概要を表示できます。
+ [**全体的な API コール量**](ユーザーエージェントプロファイルのプロファイルパネルを除く)
+ **新たに観察された位置情報**
+ [**Overall VPC flow volume**] (全体的な VPC のフロー量)
+ [**VPC flow volume to and from the finding IP address**] (検出結果 IP アドレスの間で送受信される VPC フロー量) (単一の IP アドレスに関連付けられている検出結果に関するもの)
+ **コンテナの詳細**
+ クラスターの **[VPC フロー量]**
+ **Kubernetes API アクティビティ全体**
アクティビティの詳細を確認することで、次の種類の質問に対する回答を得ることができます。
+ 使用された IP アドレス
+ これらの IP アドレスがある場所
+ 各 IP アドレスが実行した API コール、およびそれらのコールを実行した際の実行元のサービス
+ コールの実行に使用されたプリンシパルまたはアクセスキー識別子 (AKID)
+ それらのコールに使用されたリソース
+ コールが実行された回数 成功数と失敗数
+ 各 IP アドレスとの間で送受信された VPC フローログデータの量
+ 特定のクラスター、イメージ、またはポッドでアクティブだったコンテナ
**Topics**
+ [[全体的な API コール量] のアクティビティの詳細](profile-panel-drilldown-overall-api-volume.md)
+ [ジオロケーションのアクティビティの詳細](profile-panel-drilldown-new-geolocations.md)
+ [[全体的な VPC フロー量] のアクティビティの詳細](profile-panel-drilldown-overall-vpc-volume.md)
+ [EKS クラスターに関係する全 Kubernetes API アクティビティ](profile-panel-drilldown-kubernetes-api-volume.md)
# [全体的な API コール量] のアクティビティの詳細
[**全体的な API コール量**] のアクティビティの詳細は、選択した時間範囲中に発行された API コールを示します。
単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。
現在のスコープ時間のアクティビティの詳細を表示するには、[**Display details for scope time**] (スコープ時間の詳細を表示) を選択します。
なお、Detective は、2021 年 7 月 14 日から API コールのサービス名の保存および表示を開始しました。その日付は、プロファイルパネルのタイムラインで強調表示されます。その日付より前に発生するアクティビティについては、サービス名は [**Unknown service**] (不明なサービス) となります。
## アクティビティの詳細 (ユーザー、ロール、アカウント、ロールセッション、EC2 インスタンス、S3 バケット) の内容
IAM ユーザー、IAM ロール、アカウント、ロールセッション、EC2 インスタンス、および S3 バケットについては、アクティビティの詳細には次の情報が含まれます。
+ 各タブは、選択した時間範囲中に発行された一連の API コールに関する情報を表示します。
S3 バケットについては、情報は S3 バケットに対して実行された API コールを反映したものとなります。
API コールは、それらを呼び出したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
+ 各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。[**Observed IP addresses**] (観察された IP アドレス) のタブには、各 IP アドレスの場所も表示されます。
+ 各エントリは、コールを実行したユーザーに関する情報を表示します。アカウントについては、アクティビティの詳細でユーザーまたはロールが識別されます。ロールについては、アクティビティの詳細でロールセッションが識別されます。ユーザーおよびロールセッションについては、アクティビティの詳細でアクセスキー識別子 (AKID) が識別されます。
2021 年 7 月 14 日現在、アカウントプロファイルについては、アクティビティの詳細では、AKID ではなく、ユーザーまたはロールが表示されることに注意してください。ロールプロファイルについては、アクティビティの詳細には、AKID ではなくロールセッションが表示されます。2021 年 7 月 14 日より前に発生するアクティビティについては、発信者は [**Unknown resource**] (不明なリソース) としてリストされます。
アクティビティの詳細には、次のタブが含まれます。
[**Observed IP addresses**] (観察された IP アドレス)
API コールを発行するために使用される IP アドレスのリストが最初に表示されます。
各 IP アドレスを展開して、その IP アドレスから発行された API コールのリストを表示できます。API コールは、それらを呼び出したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
その後、各 API コールを展開して、その IP アドレスからの発信者のリストを表示できます。プロファイルに応じて、発信者は、ユーザー、ロール、ロールセッション、または AKID である場合があります。
![\[[全体的な API コール量] パネルの [観察された IP アドレス] タブのビュー。エントリが展開され、IP アドレス、API コール、および AKID の階層が表示されます。API コールはサービス別にグループ化されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ipaddress.png)
[**API method by service**] (サービス別の API メソッド)
発行された API コールのリストが最初に表示されます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
各 API メソッドを展開して、コールが発行された際の発行元となった IP アドレスのリストを表示できます。
その後、各 IP アドレスを展開して、その IP アドレスからその API コールを発行した AKID のリストを表示できます。
![\[[全体的な API コール量] パネルの [サービス別の API メソッド] タブのビュー。エントリが展開され、API コール、IP アドレス、および AKID の階層が表示されます。API コールはサービス別にグループ化されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_apimethods.png)
**リソースまたはアクセスキー ID**
API コールの発行に使用されたユーザー、ロール、ロールセッション、または AKID のリストが最初に表示されます。
各発信者を展開して、発信者が API コールを発行した際の発行元となった IP アドレスのリストを表示できます。
その後、各 IP アドレスを展開して、その IP アドレスからその発信者によって発行された API コールのリストを表示できます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
![\[[全体的な API コール量] パネルの [リソース] タブのビュー。エントリが展開され、サービス別にグループ化された AKID、IP アドレス、および API コールの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)
## アクティビティの詳細の内容 (IP アドレス)
IP アドレスについては、アクティビティの詳細には次の情報が含まれます。
+ 各タブは、選択した時間範囲中に発行された一連の API コールに関する情報を表示します。API コールは、コールを発行したサービス別にグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
+ 各エントリについて、アクティビティの詳細では、成功したコールと失敗したコールの数が表示されます。
アクティビティの詳細には、次のタブが含まれます。
**[リソース] **
IP アドレスから API コールを発行したリソースのリストが最初に表示されます。
リストには、各リソースについて、リソース名、タイプ、および AWS アカウントが含まれます。
各リソースを展開して、リソースが IP アドレスから発行した API コールのリストを表示できます。API コールは、コールを発行したサービス別にグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
![\[ある IP アドレスの [全体的な API コール量] プロファイルパネルにおけるアクティビティの詳細の [リソース] タブのビュー。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_resource.png)
**[API method by service] (サービス別の API メソッド)**
発行された API コールのリストが最初に表示されます。API コールは、コールを発行したサービス別にグループ化されます。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
各 API コールを展開して、選択した期間中に IP アドレスから API コールを発行したリソースのリストを表示できます。
![\[ある IP アドレスの [全体的な API コール量] プロファイルパネルにおけるアクティビティの詳細の [サービス別の API メソッド] タブのビュー。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_ip_apimethods.png)
## アクティビティの詳細のソート
アクティビティの詳細はいずれかのリストの列でソートすることができます。
最初の列を使用してソートすると、最上位のリストのみがソートされます。下位レベルのリストは常に成功した API コールの数でソートされます。
## アクティビティの詳細のフィルタリング
フィルタリングオプションを使用して、アクティビティの詳細に表示されるアクティビティの特定のサブセットまたは側面に焦点を当てることができます。
すべてのタブで、最初の列のいずれかの値でリストをフィルタリングできます。
**フィルターを追加するには**
1. フィルターボックスを選択します。
1. [**Properties**] (プロパティ) から、フィルタリングに使用するプロパティを選択します。
1. フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。例えば、API メソッドでフィルタリングする場合、**Instance** でフィルタリングすると、結果には名前に `Instance` が含まれるすべての API 操作が含まれます。したがって、`ListInstanceAssociations` と `UpdateInstanceInformation` の両方が一致します。
サービス名、API メソッド、および IP アドレスについては、値を指定するか、組み込みのフィルターを選択できます。
[**Common API substrings**] (一般的な API サブストリング) については、`List`、`Create`、`Delete` などの操作のタイプを表すサブストリングを選択します。各 API メソッド名は、操作タイプで始まります。
[**CIDR patterns**] (CIDR パターン) については、パブリック IP アドレス、プライベート IP アドレス、または特定の CIDR パターンに一致する IP アドレスのみを含めるように選択できます。
1. ブール型オプション *リソース*または*サービス*** : を含む** または **\$1: 含まない** または *API メソッド*または *IP アドレス*** = 等しい**または **\$1: フィルターの設定と等しくない** を選択します。
![\[アクティビティ詳細フィルターで使用可能なフィルターのリスト。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/api-volume-search.png)
フィルターを削除するには、右上にある **x** アイコンを選択します。
すべてのフィルターをクリアするには、[**Clear filter**] (フィルターをクリア) を選択します。
## アクティビティの詳細の時間範囲の選択
アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。
**アクティビティの詳細の時間範囲を変更するには**
1. **[編集]** を選択します。
1. [**Edit time window**] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。
時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[**Set to default scope time**] (デフォルトのスコープ時間に設定) を選択します。
1. [**Update time window**] (時間枠を更新) を選択します。
アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。
![\[[全体的な API コール量] プロファイルパネルの強調表示された時間枠\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)
## 未処理のログのクエリ
Amazon Security Lake と Amazon Detective の統合により、Security Lake に保存されている未処理のログデータを検索して取得できます。この統合の詳細については、「[Amazon Security Lake との Amazon Detective 統合](securitylake-integration.md)」を参照してください。
この統合を使用すると、Security Lake がネイティブにサポートしている以下のソースからログとイベントを収集およびクエリできます。
+ AWS CloudTrail 管理イベントバージョン 1.0 以降
+ Amazon Virtual Private Cloud (Amazon VPC) フローログバージョン 1.0 以降
+ Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログバージョン 2.0
**注記**
Detective で未処理のデータログのクエリを実行する場合、追加料金はかかりません。Amazon Athena を含む他の AWS サービスの使用料は、引き続き公開料金で適用されます。
**未処理のログのクエリを実行するには**
1. **スコープ時間の詳細表示**を選択します。
1. ここで、**[未処理のログをクエリ]** を開始できます。
1. **[未処理のログのプレビュー]** テーブルでは、Security Lake からのデータのクエリを実行して取得したログとイベントを表示できます。未処理のイベントログの詳細については、Amazon Athena に表示されるデータを確認してください。
[未処理のログをクエリ] テーブルで、**[クエリリクエストをキャンセル]**、**[Amazon Athena で結果を表示]**、**[結果をダウンロード]** (カンマ区切り値 (.csv) ファイル) を実行できます。
Detective にログが表示されるにもかかわらず、クエリで結果が返されない場合は、次の理由が考えられます。
+ 未処理のログは、Security Lake のログテーブルに表示される前に、Detective で利用できるようになる場合があります。後でもう一度お試しください。
+ Security Lake ログが欠落している可能性があります。長時間待った場合は、Security Lake でログが欠落していることを示しています。Security Lake 管理者に連絡して、問題を解決してください。
# ジオロケーションのアクティビティの詳細
[**Newly observed geolocations**] (新しく観察されたジオロケーション) のアクティビティの詳細には、スコープ時間中にジオロケーションから発行された API コールが表示されます。API コールには、ジオロケーションから発行されたすべてのコールが含まれます。これらは、検出結果またはプロファイルエンティティを使用したコールに限られません。S3 バケットについては、アクティビティコールは S3 バケットに対して実行される API コールです。
Detective は、MaxMind GeoIP データベースを使用してリクエストの場所を決定します。MaxMind は、国レベルでの非常に高精度なデータを報告しますが、精度は国や IP の種類などの要因によって異なります。MaxMind の詳細については、「[MaxMind IP Geolocation](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)」を参照してください。GeoIP データのいずれかが正しくないと思われる場合は、[MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) で Maxmind に修正リクエストを送信できます。
API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
アクティビティの詳細を表示するには、以下のいずれかを実行します。
+ マップ上で、ジオロケーションを選択します。
+ リストで、ジオロケーションの [**Details**] (詳細) を選択します。
アクティビティの詳細は、ジオロケーションのリストを置き換えます。ジオロケーションのリストに戻るには、[**Return to all results**] (すべての結果に戻る) を選択します。
なお、Detective は、2021 年 7 月 14 日から API コールのサービス名の保存および表示を開始しました。その日付より前に発生するアクティビティについては、サービス名は [**Unknown service**] (不明なサービス) となります。
## アクティビティの詳細の内容
各タブには、スコープ時間中にジオロケーションから発行されたすべての API コールに関する情報が表示されます。
各 IP アドレス、リソース、および API メソッドについて、リストでは API コールの成功回数と失敗回数が表示されます。
アクティビティの詳細には、次のタブが含まれます。
[**Observed IP addresses**] (観察された IP アドレス)
選択したジオロケーションから API コールを発行するために使用された IP アドレスのリストが最初に表示されます。
各 IP アドレスを展開して、その IP アドレスから API コールを発行したリソースを表示できます。リストには、リソース名が表示されます。プリンシパル ID を表示するには、名前の上にカーソルを合わせます。
その後、各リソースを展開して、その IP アドレスからそのリソースによって発行された特定の API コールを表示できます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
![\[[Newly observed geolocations] (新しく観察されたジオロケーション) パネルの [Observed IP addresses] (観察された IP アドレス) のタブのビュー。エントリが展開され、IP アドレス、リソース、および API メソッドの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_ips.png)
**[リソース]**
選択したジオロケーションから API コールを発行したリソースのリストが最初に表示されます。リストには、リソース名が表示されます。プリンシパル ID を表示するには、名前の上で一時停止します。各リソースについて、**[リソース]** タブには関連する AWS アカウントも表示されます。
各ユーザーまたはロールを展開して、そのリソースによって発行された API コールのリストを表示できます。API コールは、コールを発行したサービス別にグループ化されます。S3 バケットについては、サービスは常に Amazon S3 です。Detective がコールを発行したサービスを特定できない場合、そのコールは [**Unknown service**] (不明なサービス) の下に一覧表示されます。
その後、各 API コールを展開して、リソースが API コールを発行した際の発行元である IP アドレスのリストを表示できます。
![\[[Newly observed geolocations] (新しく観察されたジオロケーション) パネルの [Resource] (リソース) のタブのビュー。エントリが展開され、ユーザーまたはロール、API メソッド、および IP アドレスの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_resources.png)
## アクティビティの詳細のソート
アクティビティの詳細はいずれかのリストの列でソートすることができます。
最初の列を使用してソートすると、最上位のリストのみがソートされます。下位レベルのリストは常に成功した API コールの数でソートされます。
## アクティビティの詳細のフィルタリング
フィルタリングオプションを使用して、アクティビティの詳細に表示されるアクティビティの特定のサブセットまたは側面に焦点を当てることができます。
すべてのタブで、最初の列のいずれかの値でリストをフィルタリングできます。
**フィルターを追加するには**
1. フィルターボックスを選択します。
1. [**Properties**] (プロパティ) から、フィルタリングに使用するプロパティを選択します。
1. フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。例えば、API メソッドでフィルタリングする場合、**Instance** でフィルタリングすると、結果には名前に `Instance` が含まれるすべての API 操作が含まれます。したがって、`ListInstanceAssociations` と `UpdateInstanceInformation` の両方が一致します。
サービス名、API メソッド、および IP アドレスについては、値を指定するか、組み込みのフィルターを選択できます。
[**Common API substrings**] (一般的な API サブストリング) については、`List`、`Create`、`Delete` などの操作のタイプを表すサブストリングを選択します。各 API メソッド名は、操作タイプで始まります。
[**CIDR patterns**] (CIDR パターン) については、パブリック IP アドレス、プライベート IP アドレス、または特定の CIDR パターンに一致する IP アドレスのみを含めるように選択できます。
1. 複数のフィルターがある場合は、ブールオプションを選択して、これらのフィルターの接続方法を設定します。
![\[アクティビティ詳細フィルターの個々のフィルター間で使用可能なコネクタのリスト。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_geo_filterconnectors.png)
1. フィルターを削除するには、右上にある **x** アイコンを選択します。
1. すべてのフィルターをクリアするには、[**Clear filter**] (フィルターをクリア) を選択します。
# [全体的な VPC フロー量] のアクティビティの詳細
EC2 インスタンスについては、[**Overall VPC flow volume**] (全体的な VPC のフロー量) のアクティビティの詳細には、選択した時間範囲中の EC2 インスタンスと IP アドレス間のインタラクションが表示されます。
Kubernetes ポッドの場合、**[全体的な VPC フロー量]** には、すべての送信先 IP アドレスについて、Kubernetes ポッドによって割り当てられた IP アドレスに出入りするバイト総数が表示されます。`hostNetwork:true` の場合、Kubernetes ポッドの IP アドレスは一意ではなくなります。この場合、パネルには、同じ設定を持つ他のポッドへのトラフィックと、それらのポッドをホストしているノードが表示されます。
IP アドレスについては、[**Overall VPC flow volume**] (全体的な VPC のフロー量) のアクティビティの詳細には、選択した時間範囲中の IP アドレスと EC2 インスタンス間のインタラクションが表示されます。
単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。
現在のスコープ時間のアクティビティの詳細を表示するには、[**display details for scope time**] (スコープ時間の詳細を表示) を選択します。
## アクティビティの詳細の内容
コンテンツには、選択した時間範囲中のアクティビティが反映されます。
EC2 インスタンスについては、アクティビティの詳細には、IP アドレス、ローカルポート、リモートポート、プロトコル、および方向の一意の各組み合わせのエントリが含まれます。
IP アドレスについては、アクティビティの詳細には、EC2 インスタンス、ローカルポート、リモートポート、プロトコル、および方向の一意の各組み合わせのエントリが含まれます。
各エントリには、インバウンドトラフィックの量、アウトバウンドトラフィックの量、およびアクセスリクエストが受け入れられたか否かが表示されます。検出結果のプロファイルの [**Annotations**] (注釈) 列を確認することで、IP アドレスが現在の検出結果に関連付けられているかどうかを知ることができます。
![\[[全体的な VPC フロー量] プロファイルパネルのアクティビティの詳細。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_initial.png)
## アクティビティの詳細のソート
テーブル内の任意の列でアクティビティの詳細をソートすることができます。
デフォルトでは、アクティビティの詳細は注釈でソートされ、次にインバウンドトラフィックでソートされます。
## アクティビティの詳細のフィルタリング
特定のアクティビティに焦点を当てるには、次の値でアクティビティの詳細をフィルタリングできます。
+ IP アドレスまたは EC2 インスタンス
+ ローカルポートまたはリモートポート
+ Direction
+ プロトコル
+ リクエストが受け入れられたか拒否されたか
**フィルターを追加および削除するには**
1. フィルターボックスを選択します。
1. [**Properties**] (プロパティ) から、フィルタリングに使用するプロパティを選択します。
1. フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。
IP アドレスでフィルタリングするには、値を指定するか、組み込みフィルターを選択します。
[**CIDR patterns**] (CIDR パターン) については、パブリック IP アドレス、プライベート IP アドレス、または特定の CIDR パターンに一致する IP アドレスのみを含めるように選択できます。
1. 複数のフィルターがある場合は、ブールオプションを選択して、これらのフィルターの接続方法を設定します。
![\[アクティビティ詳細フィルターの個々のフィルター間で使用可能なコネクタのリスト。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_filterconnectors.png)
1. フィルターを削除するには、右上にある **x** アイコンを選択します。
1. すべてのフィルターをクリアするには、[**Clear filter**] (フィルターをクリア) を選択します。
## アクティビティの詳細の時間範囲の選択
アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。
**アクティビティの詳細の時間範囲を変更するには**
1. **[編集]** を選択します。
1. [**Edit time window**] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。
時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[**Set to default scope time**] (デフォルトのスコープ時間に設定) を選択します。
1. [**Update time window**] (時間枠を更新) を選択します。
アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。
![\[[全体的な VPC フロー量] プロファイルパネルのアクティビティの詳細に関する強調表示された時間枠。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_timehighlight.png)
## 選択した行のトラフィック量の表示
関心のある行を特定すると、主要なグラフで、それらの行のトラフィック量を時間の経過に合わせて表示できます。
グラフに追加する行ごとに、チェックボックスを選択します。選択した各行について、インバウンドチャートまたはアウトバウンドのグラフに量が線で表示されます。
![\[[全体的な VPC フロー量] プロファイルパネルのメインチャートに表示される、選択したアクティビティの詳細行のトラフィック。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_select_rows.png)
選択したエントリのトラフィック量を重点的に確認するには、全体的な量を非表示にします。全体的なトラフィックを表示したり、非表示にしたりするには、[**Overall traffic**] (全体的なトラフィック) を切り替えます。
![\[[Overall VPC flow volume] (全体的な VPC のフロー量) プロファイルパネルのメインチャートに表示される、選択したアクティビティの詳細行のトラフィック。全体的なトラフィックは非表示になります。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_vpc_overall_off.png)
## EKS クラスターの VPC フロートラフィックを表示する
Detective は、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターを通過するトラフィックを表す Amazon Virtual Private Cloud (Amazon VPC) フローログを可視化します。Kubernetes リソースの場合、VPC フローログの内容は、EKS クラスターにデプロイされた Container Network Interface (CNI) によって異なります。
デフォルト設定の EKS クラスターは Amazon VPC CNI プラグインを使用します。詳細については、「**Amazon EKS ユーザーガイド**」の「[Working with the Amazon VPC CNI plugin for Kubernetes Amazon EKS add-on](https://docs.aws.amazon.com//eks/latest/userguide/managing-vpc-cni.html)」を参照してください。Amazon VPC CNI プラグインは、ポッドの IP アドレスを使用して内部トラフィックを送信し、送信元 IP アドレスを外部通信用ノードの IP アドレスに変換します。Detective は、内部トラフィックをキャプチャして正しいポッドに関連付けることができますが、外部トラフィックについては同じことを行うことはできません。
Detective にポッドの外部トラフィックを可視化させたい場合は、外部送信元ネットワークアドレス変換 (Source Network Address Translation: SNAT) を有効にします。SNAT の有効化には制限と欠点があります。詳細については、「**Amazon EKS ユーザーガイド**」の「[Pods の SNAT](https://docs.aws.amazon.com//eks/latest/userguide/external-snat.html)」を参照してください。
別の CNI プラグインを使用する場合は、Detective が `hostNetwork:true` 設定のポッドを可視化する際に制限を受けます。これらのポッドの場合、**[VPC フロー]** パネルにはポッドの IP アドレスの全トラフィックが表示されます。このトラフィックには、ホストノード上の`hostNetwork:true` 設定の全ポッドとホストノード自体のトラフィックが含まれます。
Detective は、 **[VPC フロー]** パネルに、次の EKS クラスター設定の EKS ポッドのトラフィックを表示します。
+ Amazon VPC CNI プラグインを使用するクラスター。このクラスターには、VPC 内でトラフィックを送信する `hostNetwork:false` 設定の任意のポッドも含まれています。
+ Amazon VPC CNI プラグインと設定 `AWS_VPC_K8S_CNI_EXTERNALSNAT=true` を使用するクラスターの場合: VPC外でトラフィックを送信する `hostNetwork:false` を持つ任意のポッド。
+ `hostNetwork:true` 設定を持つ任意のポッド。本ノードのトラフィックは、`hostNetwork:true` 設定を持つ他のポッドのトラフィックと混在します。
Detective は、以下のトラフィックを **[VPC フロー]** パネルに表示しません。
+ Amazon VPC CNI プラグインと `AWS_VPC_K8S_CNI_EXTERNALSNAT=false` 設定を使用するクラスターの場合: VPC 外でトラフィックを送信する `hostNetwork:false` 設定を持つ任意のポッド。
+ Amazon VPC CNI Plugin for Kubernetes を使用していないクラスターの場合: `hostNetwork:false` 設定を持つ任意のポッド。
+ 同じノードでホストされている別のポッドにトラフィックを送信する任意のポッド。
## 共有されている Amazon VPC の VPC フロートラフィックを表示する
Detective は、共有 VPC の Amazon Virtual Private Cloud (Amazon VPC) フローログを可視化します。
+ Detective メンバーアカウントに共有 Amazon VPC が含まれており、その共有 VPC を使用している他の非 Detective アカウントがある場合は、Detective はその VPC からのすべてのトラフィックを監視し、VPC 内のすべてのトラフィックフローを視覚化します。
+ 共有 Amazon VPC 内に Amazon EC2 インスタンスがあり、共有所有者が Detective メンバーでない場合は、Detective は VPC からのトラフィックをモニタリングしません。VPC 内のトラフィックフローを表示する場合は、Amazon VPC 所有者を Detective グラフのメンバーとして追加する必要があります。
# EKS クラスターに関係する全 Kubernetes API アクティビティ
**[EKS クラスターを含む Kubernetes API アクティビティ全体]** のアクティビティの詳細には、選択した時間範囲に発行された Kubernetes API コール (コール) の成功回数と失敗回数が表示されます。
単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。
現在のスコープ時間のアクティビティの詳細を表示するには、[**Display details for scope time**] (スコープ時間の詳細を表示) を選択します。
## アクティビティの詳細の内容 (クラスター、ポッド、ユーザー、ロール、ロールセッション)
クラスター、ポッド、ユーザー、ロール、またはロールセッションについては、アクティビティの詳細には次の情報が含まれます。
+ 各タブは、選択した時間範囲中に発行された一連の API コールに関する情報を表示します。
クラスターの場合、API コールはクラスター内で行われました。
ポッドの場合、API コールはポッドを対象としていました。
ユーザー、ロール、ロールセッションの場合、API コールは、そのユーザー、ロール、またはロールセッションとして認証された Kubernetes ユーザーによって発行されました。
+ 各エントリについて、アクティビティの詳細では、呼び出しの成功回数、失敗回数、未許可回数、および禁止回数が表示されます。
+ 詳細には、IP アドレス、Kubernetes 呼び出しのタイプ、呼び出しの影響を受けたエンティティ、呼び出しを行ったサブジェクト (サービスアカウントまたはユーザー) も含まれます。アクティビティの詳細から、IP アドレス、サブジェクト、および影響を受けるエンティティのプロファイルにピボットできます。
アクティビティの詳細には、次のタブが含まれます。
**件名**
API コールを発行するために使用されたサービスアカウントとユーザーのリストが最初に表示されます。
個々のサービスアカウントとユーザーを展開することで、API コールの発行元となったアカウントまたはユーザーの IP アドレスのリストを表示できます。
次に、各 IP アドレスを展開すると、そのアカウントまたはユーザーがその IP アドレスから行った Kubernetes API コールを表示できます。
Kubernetes API コールを展開すると、実行されたアクションを識別するための`requestURI ` が表示されます。
![\[[全体的な Kubernetes API コール量] パネルの [観察された IP アドレス] タブのビュー。エントリが展開され、API コールおよび IP アドレスの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/kube-subject-drilldown.png)
**IP アドレス**
API コールの発行に使用した IP アドレスのリストが最初に表示されます。
各呼び出しを展開すると、呼び出しを行った Kubernetes サブジェクト (サービスアカウントとユーザー) のリストが表示されます。
次に、各サブジェクトを拡張すると、そのサブジェクトが時間範囲中に実行した API コールのタイプのリストが表示されます。
API コールを展開すると、実行されたアクションを識別するための requestURI が表示されます。
![\[[全体的な Kubernetes API コール量] パネルの [IP アドレス] タブのビュー。エントリが展開され、IP アドレス、API コール、および AKID の階層が表示されます。API コールはサービス別にグループ化されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/kube-ip-drilldown.png)
**Kubernetes API コール**
Kubernetes API コールの動詞のリストが最初に表示されます。
API の各動詞を展開すると、そのアクションに関連付けられた requestURI が表示される。
次に、各 requestURI を展開すると、API コールを行った Kubernetes サブジェクト (サービスアカウントとユーザー) が表示されます。
サブジェクトを展開すると、そのサブジェクトが API コールに使用した IP が表示されます。
![\[[全体的な API コール量] パネルの [リソース] タブのビュー。エントリが展開され、サービス別にグループ化された AKID、IP アドレス、および API コールの階層が表示されます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_resource.png)
## アクティビティの詳細のソート
アクティビティの詳細はいずれかのリストの列でソートすることができます。
最初の列を使用してソートすると、最上位のリストのみがソートされます。下位レベルのリストは常に成功した API コールの数でソートされます。
## アクティビティの詳細のフィルタリング
フィルタリングオプションを使用して、アクティビティの詳細に表示されるアクティビティの特定のサブセットまたは側面に焦点を当てることができます。
すべてのタブで、最初の列のいずれかの値でリストをフィルタリングできます。
## アクティビティの詳細の時間範囲の選択
アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。
**アクティビティの詳細の時間範囲を変更するには**
1. **[編集]** を選択します。
1. [**Edit time window**] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。
時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[**Set to default scope time**] (デフォルトのスコープ時間に設定) を選択します。
1. [**Update time window**] (時間枠を更新) を選択します。
アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。
![\[[全体的な API コール量] プロファイルパネルの強調表示された時間枠\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/screen_profile_panel_drilldown_api_timehighlight.png)
## 調査中のプロファイルパネルのガイダンスの使用
各プロファイルパネルは、調査を実施し、関連するエンティティのアクティビティを分析するときに発生する特定の質問に対する回答を提供するように設計されています。
各プロファイルパネルのために提供されるガイダンスは、これらの回答を見つけるのに役立ちます。
プロファイルパネルのガイダンスは、パネル自体に表示される一文から始まります。このガイダンスは、パネルで表示されるデータの簡単な説明を提供します。
パネルに関してより詳細なガイダンスを表示するには、パネルの見出しから [**More info**] (詳細情報) を選択します。この拡張ガイダンスがヘルプペインに表示されます。
ガイダンスは、次のタイプの情報を提供できます。
+ パネルコンテンツの概要
+ 関連する質問に回答するためにパネルを使用する方法
+ 回答に基づいて推奨される次のステップ
# スコープ時間の管理
エンティティプロファイルに表示されるデータを制限するために使用されるスコープ時間をカスタマイズします。
エンティティプロファイルに表示されるグラフ、タイムライン、および他のデータはすべて、現在の時間範囲に基づいています。時間範囲は、エンティティの全アクティビティを実行した時間の範囲です。これは Amazon Detective コンソールの各プロファイルの右上に表示されます。これらのグラフ、タイムライン、および他のビジュアライゼーションに表示されるデータは、スコープ時間に基づいています。一部のプロファイルパネルについては、コンテキストを提供するためにスコープ時間の前後の時間が追加されます。Detective では、すべてのタイムスタンプはデフォルトで UTC で表示されます。ローカルタイムゾーンを選択するには、**[タイムスタンプの設定]** の値を変更します。**[タイムスタンプの設定]** を更新する方法については、「[タイムスタンプ形式を設定する](profile-panel-preferences.md#profile-panel-preferences-timestamp)」を参照してください。
Detective の分析では、時間範囲を使用して、異常なアクティビティがないかをチェックします。分析プロセスは、スコープ時間中のアクティビティを取得し、それをスコープ時間前の 45 日間のアクティビティと比較します。また、その 45 日間の時間枠を使用して、アクティビティのベースラインを生成します。
検出結果の概要では、スコープ時間は検出結果が最初と最後に観察された時刻を反映します。検出結果の概要についての詳細は、「[Detective での検出結果の概要の分析](finding-overview.md)」を参照してください。
調査を進める過程で、範囲時間を調整できます。例えば、元の分析が 1 日のアクティビティに基づいている場合、それを 1 週間または 1 か月に拡張することができます。期間を延長することで、アクティビティが通常のパターンに適合しているか、異常であるかをより良く理解するのに役立つことがあります。
現在のエンティティに関連する検出結果と一致するようにスコープ時間を設定することもできます。
スコープ時間を変更すると、Detective は分析を繰り返し、新しいスコープ時間に基づいて表示されたデータを更新します。
時間範囲は、1 時間より短くしたり、1 年より長くしたりすることはできません。開始時刻と終了時刻は、時間の単位で設定する必要があります。
## 特定の開始日時と終了日時の設定
Detective コンソールからスコープ時間の開始日と終了日を設定できます。
**新しいスコープ時間について特定の開始時刻と終了時刻を設定するには**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Amazon Detective コンソールを開きます。
1. エンティティプロファイルで、スコープ時間を選択します。
1. [**Edit scope time**] (スコープ時間を編集) パネルの [**Start**] (開始) で、スコープ時間の新しい開始日時を選択します。新しい開始時刻については、時間のみを選択します。
1. [**End**] (終了) で、スコープ時間の新しい終了日時を選択します。新しい終了時刻については、時間のみを選択します。終了時刻は、開始時刻より 1 時間以上後である必要があります。
1. 編集が終了したら、変更を保存して表示されたデータを更新するには、[**Update scope time**] (スコープ時間を更新) を選択します。
## 時間範囲の長さを編集する
スコープ時間の長さを設定すると、Detective は、現在の時刻を開始時刻として、その長さの時間をスコープ時間として設定します。
**時間範囲の長さを編集するには**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Amazon Detective コンソールを開きます。
1. エンティティプロファイルで、スコープ時間を選択します。
1. [**Edit scope time**] (スコープ時間を編集) パネルの [**Historical**] (履歴) の横で、スコープ時間の時間の長さを選択します。
時間範囲を指定すると、[**Start**] (開始) および [**End**] (終了) の設定が更新されます。
1. 編集が終了したら、変更を保存して表示されたデータを更新するには、[**Update scope time**] (スコープ時間を更新) を選択します。
## スコープ時間の検出結果の時間枠としての設定
各検出結果には時間枠が関連付けられています。これは、検出結果が観察された最初と最後の時刻を反映するものです。検出結果の概要を表示すると、時間範囲が検出結果の時間枠に変わります。
エンティティプロファイルから、スコープ時間を関連する検出結果の時間枠に合わせて調整できます。これにより、その時間に発生したアクティビティを調査できます。
スコープ時間を検出結果の時間枠に合わせて調整するには、[**Associated findings**] (関連する検出結果) パネルで、使用する検出結果を選択します。
Detective は、検出結果の詳細情報を入力し、スコープ時間を検出結果の時間枠に設定します。
## 概要ページでの時間範囲の設定
**[概要]** ページを確認しながら、過去 365 日間の任意の 24 時間枠のアクティビティを表示する [時間範囲] の値を調整できます。
概要ページで時間範囲を設定するには
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Amazon Detective コンソールを開きます。
1. Detective のナビゲーションペインで **[概要]** を選択します。
1. **[概要]** の横にある **[時間範囲]** パネルで、**[開始日時]** の値を変更できます。開始日時は過去 365 日以内の日時である必要があります。
**[開始日時]** を変更すると、**[終了日時]** が、選択した開始時刻から 24 時間後の日時に自動的に更新されます。
**注記**
Detective を使用すると、最長 1 年間の履歴イベントデータにアクセスできるようになりました。Detective のソースデータの詳細については、[「動作グラフで使用されるソースデータ](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html)」を参照してください。
1. 編集が終了したら、変更を保存して表示されたデータを更新するには、[**Update scope time**] (スコープ時間を更新) を選択します。
# Detective での関連する検出結果の詳細の表示
各エンティティプロファイルには、関連する検出結果のパネルが含まれています。このパネルは、現在のスコープ時間中にエンティティが関係した検出結果を一覧表示します。エンティティが侵害されたことを示す兆候の 1 つに、そのエンティティが複数の検出結果に関係していることが挙げられます。検出結果のタイプは、関心のあるアクティビティのタイプについてのインサイトを提供することもできます。
関連付けられた検出結果のパネルは、エンティティの詳細のプロファイルパネルのすぐ下に表示されます。
この表には、各検出結果について以下の情報が含まれています。
+ 検出結果のタイトル。検出結果の概要へのリンクでもあります。
+ 検出結果に関連付けられた AWS アカウント。アカウントプロファイルへのリンクでもあります。
+ 検出結果のタイプ
+ 最初に検出結果が観察された時刻
+ 最後に検出結果が観察された時刻
+ 検出結果の重要度
ある検出結果について、検出結果の詳細を表示するには、その検出結果のラジオボタンを選択します。Detective は、ページの右側にある検出結果の詳細パネルにデータを自動的に入力します。また、Detective は、スコープ時間を検出結果の時間枠に変更します。これにより、その時間内に発生したアクティビティに注力できます。
検出結果の概要からエンティティプロファイルに移動した場合、その検出結果が自動的に選択され、その検出結果の詳細が表示されます。
検出結果の詳細から検出結果の概要に戻るには、[**See all related entities**] (関連するすべてのエンティティを表示) を選択します。
検出結果をアーカイブすることもできます。詳細については、[Amazon GuardDutyの検出結果のアーカイブ](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html)」を参照してください。
# Detective での大量のエンティティの詳細の表示
[[behavior graph](behavior-graph-data-about.md)] (動作グラフ) で、Amazon Detective はエンティティ間の関係を追跡します。たとえば、各動作グラフは、 AWS ユーザーが AWS ロールを作成するタイミングと、EC2 インスタンスが IP アドレスに接続するタイミングを追跡します。
ある期間中にエンティティの関係が過多である場合、Detective はすべての関係を保存できません。これが現在のスコープ時間中に発生すると、Detective はその旨を通知します。Detective は、大量のエンティティの発生リストも提供します。
## 大量のエンティティとは
特定の時間間隔において、エンティティは、非常に多数の接続の発信元または発信先になる場合があります。例えば、EC2 インスタンスには、数百万の IP アドレスからの接続がある場合があります。
Detective は、各時間間隔で対応できる接続数の制限を維持しています。エンティティがその制限を超えると、Detective はその時間間隔の接続を破棄します。
例えば、制限が時間間隔あたり 100,000,000 接続であると仮定します。EC2 インスタンスが 1 つの時間間隔で 100,000,000 を超える IP アドレスによって接続されている場合、Detective はその時間間隔からの接続を破棄します。
ただし、関係のもう一方の端にあるエンティティに基づいて、そのアクティビティを分析できる場合があります。この例を続行するため、EC2 インスタンスは数百万の IP アドレスによって接続されている場合がありますが、単一の IP アドレスははるかに少ない EC2 インスタンスに接続されます。各 IP アドレスのプロファイルは、IP アドレスの接続先である EC2 インスタンスに関する詳細を提供します。
## プロファイルにおける大量のエンティティ通知の表示
エンティティが大量である時間間隔がスコープ時間に含まれている場合、Detective は、検出結果またはエンティティプロファイルの先頭に通知を表示します。検出結果プロファイルについては、この通知は関係するエンティティに関するものです。
この通知には、大量の時間間隔を持つ関係のリストが含まれます。各リストエントリには、関係の説明と、大量の時間間隔の開始が含まれます。
大量の時間間隔は、疑わしいアクティビティを示唆している可能性があります。同時に発生した他のアクティビティを理解するために、大量の時間間隔を重点的に調査できます。大量のエンティティ通知には、スコープ時間をその時間間隔に設定するオプションが含まれています。
**スコープ時間を大量の時間間隔に設定するには**
1. 大量のエンティティ通知で、時間間隔を選択します。
1. ポップアップメニューで、[**Apply scope time**] (スコープ時間を適用) を選択します。
## 現在のスコープ時間についての大量エンティティのリストの表示
[**High-volume entities**] (大量のエンティティ) ページには、現在のスコープ時間中の大量の時間間隔とエンティティのリストが含まれています。
**[High-volume entities] (大量のエンティティ) ページを表示するには**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Amazon Detective コンソールを開きます。
1. Detective ナビゲーションペインで、[**High-volume entities**] (大量のエンティティ) を選択します。
リストの各エントリには、次の情報が含まれています。
+ 大量の時間間隔の開始
+ エンティティの識別子とタイプ
+ 関係の説明 (「IP アドレスから接続された EC2 インスタンス」など)
任意の列でリストをフィルタリングしたり、ソートしたりできます。関係するエンティティのエンティティプロファイルに移動することもできます。
**エンティティのプロファイルに移動するには**
1. [**High-volume entities**] (大量のエンティティ) リストで、移動元の行を選択します。
1. [**View profile with high-volume scope time**] (大量のスコープ時間でプロファイルを表示) を選択します。
このオプションを使用してエンティティプロファイルに移動すると、スコープ時間は次のように設定されます。
+ スコープ時間は、大量の時間間隔の 30 日前に開始されます。
+ スコープ時間は、大量の時間間隔の終了時に終了します。