翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 検出調査
<a name="investigations-about"></a>

Amazon Detective Investigation を使用して、侵害の兆候を使用して IAM ユーザーと IAM ロールを調査できます。これにより、リソースがセキュリティインシデントに関与しているかどうかを判断できます。侵害のインジケータ (IOC) とは、ネットワーク、システム、または環境内で観察され、悪意のあるアクティビティまたはセキュリティインシデントを (高い信頼性レベルで) 特定できるアーティファクトです。Detective Investigations を使用すると、効率を最大化し、セキュリティの脅威に集中し、インシデント対応機能を強化できます。

Detective Investigation は、機械学習モデルと脅威インテリジェンスを使用して環境内のリソースを自動的に分析 AWS し、潜在的なセキュリティインシデントを特定します。これにより、Detective の動作グラフの上に構築されたオートメーションを積極的、効果的、効率的に使用して、セキュリティ運用を改善できます。Detective Investigation を使用すると、攻撃戦術、不可能な移動、フラグ付き IP アドレス、検出結果グループを調査できます。セキュリティ調査の初期段階が実行されて、Detective によって特定されたリスクを強調したレポートが生成され、セキュリティイベントの把握と潜在的なインシデントへの対応に役立てることができます。

**Topics**
+ [Detective 調査の実行](run-investigations.md)
+ [Detective Investigations レポートの確認](investigations-report.md)
+ [Detective Investigations レポートについて](investigations-report-understand.md)
+ [Detective Investigations レポートの概要](investigations-summary.md)
+ [Detective Investigations レポートのダウンロード](download-investigation.md)
+ [Detective Investigations レポートのアーカイブ](archive-investigation.md)

# Detective 調査の実行
<a name="run-investigations"></a>

**[調査を実行]** を使用して IAM ユーザーや IAM ロールなどのリソースを分析し、調査レポートを生成します。生成されたレポートには、侵害の可能性を示す異常な動作が詳述されています。

------
#### [ Console ]

Amazon Detective コンソールを使用して調査**ページから Detective 調査**を実行するには、次の手順に従います。

1.  AWS マネジメントコンソールにサインインします。その後、[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションペインで、**[調査]** を選択します。

1. **調査**ページで、右上隅にある**調査の実行**を選択します。

1. **リソースの選択**セクションには、調査を実行する 3 つの方法があります。Detective が推奨するリソースの調査を実行することを選択できます。特定のリソースに対して調査を実行できます。リソースは、Detective の [検索] ページからも調査できます。

   1. `Choose a recommended resource` – Detective は、検出結果と検出結果グループでのアクティビティに基づいてリソースを推奨します。Detective が推奨するリソースの調査を実行するには、**推奨リソース**テーブルで、調査するリソースを選択します。

      推奨リソーステーブルには、以下の詳細が示されます。
      + **リソース ARN** – AWS リソースの Amazon リソースネーム (ARN)。
      + **調査する理由** — リソースを調査する主な理由が表示されます。Detective がリソースの調査を推奨する理由は次のとおりです。
        + 過去 24 時間の重要度の高い検出結果にリソースが関与した場合。
        + 過去 7 日間に観察された検出結果グループにリソースが関与した場合。Detective の検出結果グループを使用すると、セキュリティイベントを引き起こす可能性がある複数のアクティビティを調査することができます。詳細については、[検出結果グループを分析する](groups-about.md)を参照してください。
        + 過去 7 日間の検出結果にリソースが関与した場合。
      + **最新の検出結果** — 最新の検出結果が優先的にリストの上位に表示されます。
      + **リソースタイプ** — リソースのタイプを識別します。例えば、 AWS ユーザーや AWS ロールなどです。

   1. `Specify an AWS role or user with an ARN` – AWS ロールまたは AWS ユーザーを選択し、特定のリソースの調査を実行できます。

      特定のリソースタイプを調査するには、次の手順に従います。

      1. **リソースタイプの選択**ドロップダウンリストから、 AWS ロールまたは AWS ユーザーを選択します。

      1. IAM **リソースのリソース ARN** を入力します。リソース ARNs、IAM ユーザーガイドの[「Amazon リソースネーム (ARNs](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html)」を参照してください。

   1. `Find a resource to investigate from the Search page` – Detective **Search** ページからすべての IAM リソースを検索できます。

      検索ページからリソースを調査するには、次の手順に従います。

      1. ナビゲーションペインで、**[検索]** を選択します。

      1. 検索ページで、IAM リソースを検索します。

      1. リソースのプロファイルページに移動し、そこから調査を実行します。

1. **調査スコープ時間**セクションで、調査の範囲**時間**を選択して、選択したリソースのアクティビティを評価します。**[開始日]** と **[開始時刻]**、**[終了日]** と **[終了時刻]** を UTC 形式で選択します。選択した [時間範囲] ウィンドウは、最小 3 時間から最大 30 日の間で指定できます。

1. **[調査を実行]** を選択します。

------
#### [ API ]

調査をプログラムで実行するには、Detective API の [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用して調査を実行するには、[start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html) コマンドを実行します。

リクエストで、以下のパラメーターを使用して Detective で調査を実行します。
+ `GraphArn` — 動作グラフの Amazon リソースネーム (ARN) を指定します。
+ `EntityArn` — IAM ユーザーと IAM ロールの一意の Amazon リソースネーム (ARN) を指定します。
+ `ScopeStartTime` — オプションで、調査を開始するデータと時刻を指定します。値は UTC ISO8601 形式の文字列です。たとえば、 などです` 2021-08-18T16:35:56.284Z`。
+ `ScopeEndTime` — オプションで、調査を終了するデータと時刻を指定します。値は UTC ISO8601 形式の文字列です。たとえば、 です` 2021-08-18T16:35:56.284Z`。

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。

```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z
```

------

Detective の以下のページからも調査を実行できます。
+ Detective の IAM ユーザーまたは IAM ロールのプロフィールページ。
+ 検出結果グループのグラフ可視化ペイン。
+ 関係するリソースのアクション列。
+ 検出結果ページの IAM ユーザーまたは IAM ロール。

Detective がリソースの調査を実行すると、調査レポートが生成されます。レポートにアクセスするには、ナビゲーションペインから **[調査]** に移動します。

# Detective Investigations レポートの確認
<a name="investigations-report"></a>

調査レポートでは、Detective で以前に実行した調査について生成された**レポート**を確認できます。

調査レポートを確認するには

1.  AWS マネジメントコンソールにサインインします。その後、[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションペインで、**[調査]** を選択します。

調査レポートの次の属性を記録します。
+ **ID** — 生成された調査レポートの識別子。この **ID** を選択すると、調査の詳細が記載された調査レポートの概要を読むことができます。
+ **ステータス** — 各調査は、調査の完了ステータスに基づいて**ステータス**に関連付けられます。ステータス値は、**[進行中]**、**[成功]**、または **[失敗]** のいずれかになります。
+ **重要度** — 各調査には**重要度**が割り当てられます。Detective では、自動的に重要度が検出結果に割り当てられます。

  重要度は、特定のスコープ時間における単一のリソースの調査で分析された際のディスポジションを表します。調査によって報告される重要度は、影響を受けたリソースが組織に対する緊急性または重要性を意味する、または示すものではありません。

  調査の重要度値は、重要度が高いものから低いものへと順に、**[重要]**、**[高]**、**[中]**」、**[低]**、または **[情報]** となります。

  調査の重要度値が [重要] または [高] の場合は、Detective によって特定された影響度の高いセキュリティ問題があることを示している可能性が高いため、今後の検査でその調査を優先的に検討する必要があります。
+ **エンティティ** — **[エンティティ]** 列には、調査で検出された特定のエンティティの詳細が表示されます。一部のエンティティは、ユーザーやロールなどの AWS アカウントです。
+ **ステータス** — **[作成日]** 列には、調査レポートが最初に作成された日時に関する詳細が表示されます。

# Detective Investigations レポートについて
<a name="investigations-report-understand"></a>

Detective Investigations レポートには、侵害を示すまれな動作や悪意のあるアクティビティの概要が一覧表示されます。また、セキュリティリスクを軽減するために Detective が提案する推奨事項も記載されています。

特定の調査 ID の調査レポートを表示するには、次の手順に従います。

1.  AWS マネジメントコンソールにサインインします。その後、[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションペインで、**[調査]** を選択します。

1. **[レポート]** テーブルで、調査 **ID** を選択します。

![\[調査レポートでは、Detective で以前に実行した調査について生成されたレポートを確認できます。\]](http://docs.aws.amazon.com/ja_jp/detective/latest/userguide/images/detective-investigations-report.png)


Detective では、選択した**スコープ**時間と**ユーザー**のレポートを生成します。レポートには、以下に示す 1 つ以上の侵害のインジケータに関する詳細を含む **[侵害のインジケータ]** セクションが含まれています。各侵害のインジケータを確認しながら、必要に応じて項目を選択して掘り下げ、詳細を確認します。
+ **[戦術]、[テクニック]、および[手順]** — 潜在的なセキュリティイベントで使用される戦術、テクニック、手順 (TTP) を特定します。MITRE ATT&CK フレームワークを使用して、TTP を把握します。戦術は、「[MITRE ATT&CK matrix for Enterprise](https://attack.mitre.org/matrices/enterprise/)」に基づいています。
+ **脅威インテリジェンスフラグ付き IP アドレス** — 疑わしい IP アドレスには、Detective 脅威インテリジェンスに基づいてフラグが付けられ、重大または重要な脅威として識別されます。
+ **不可能な移動** — アカウントの通常とは異なるか、または不可能なユーザーアクティビティを検出して識別します。例えば、このインジケータには、短期間にユーザーの移動元と移動先の間で急激な変化があったことが示されます。
+ **関連する検出結果グループ** — 潜在的なセキュリティイベントに関連する複数のアクティビティを表示します。Detective では、検出結果とエンティティの関係を推測して、検出結果とエンティティを検出結果グループとしてグループ化するグラフ分析手法を使用しています。
+ **関連検出結果** — 潜在的なセキュリティイベントに関連付けられた関連アクティビティ。リソースまたは検出結果グループに関連付けられた証拠を明確に分類して、それらのすべてを一覧表示します。
+ **新しい位置情報** — リソースレベルまたはアカウントレベルで使用される新しい位置情報を識別します。例えば、このインジケータには、観測された位置情報のうち、以前のユーザーアクティビティに基づいて使用頻度が低いか、未使用の位置情報が一覧表示されます。
+ **新規ユーザーエージェント** — リソースレベルまたはアカウントレベルで使用される新しいユーザーエージェントを識別します。
+ **新しい ASO** — リソースレベルまたはアカウントレベルで使用される新しい自律システム組織 (ASO) を識別します。例えば、この指標には ASO として割り当てられた新しい組織が表示されます。

# Detective Investigations レポートの概要
<a name="investigations-summary"></a>

調査の概要では、選択したスコープ時間で注意が必要な異常インジケータが強調表示されます。この概要を使用すると、潜在的なセキュリティ問題の根本原因をより迅速に特定し、パターンを特定して、セキュリティイベントの影響を受けるリソースを把握できます。

詳細調査レポートの概要では、次の詳細が表示されます。

**調査の概要**

**[概要]** パネルでは、重要度の高いアクティビティがある IP が視覚化され、攻撃者の経路に関するより多くのコンテキストを入手できます。

Detective では、IAM ユーザーによる移動元から遠くの移動先への不可能な移動など、**異常なアクティビティ**が調査内で強調表示されます。

Detective は、潜在的なセキュリティイベントで使用される戦術、テクニック、手順 (TTP) に調査を関連付けます。MITRE ATT&CK フレームワークを使用して、TTP を把握します。戦術は、「[MITRE ATT&CK matrix for Enterprise](https://attack.mitre.org/matrices/enterprise/)」に基づいています。

**調査インジケータ**

**[インジケータ]** ペインの情報を使用して、悪意のある動作とその影響を示すような異常なアクティビティに AWS リソースが関与しているかどうかを判断できます。侵害のインジケータ (IOC) とは、ネットワーク、システム、または環境内で観察され、悪意のあるアクティビティまたはセキュリティインシデントを (高い信頼性レベルで) 特定できるアーティファクトです。

# Detective Investigations レポートのダウンロード
<a name="download-investigation"></a>

Detective Investigations レポートを JSON 形式でダウンロードしてさらに分析したり、Amazon S3 バケットなどの任意のストレージソリューションに保存したりできます。

**[レポート] テーブルから調査レポートをダウンロードするには、次の手順に従います。**

1.  AWS マネジメントコンソールにサインインします。その後、[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションペインで、**[調査]** を選択します。

1. **[レポート]** テーブルから調査を選択し、**[ダウンロード]** を選択します。

**[概要] ページから調査レポートをダウンロードするには、次の手順に従います。**

1.  AWS マネジメントコンソールにサインインします。その後、[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションペインで、**[調査]** を選択します。

1. **[レポート]** テーブルから調査を選択します。

1. [調査の概要] ページで、**[ダウンロード]** を選択します。

# Detective Investigations レポートのアーカイブ
<a name="archive-investigation"></a>

Amazon Detective で調査を完了すると、調査レポートを**アーカイブ**できます。調査がアーカイブされると、調査のレビューが完了したことを示します。

調査をアーカイブまたはアーカイブ解除できるのは、Detective 管理者のみです。Detective では、アーカイブされた調査を 90 日間保存します。

**[レポート] テーブルから調査レポートをアーカイブするには、次の手順に従います。**

1.  AWS マネジメントコンソールにサインインします。その後、[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションペインで、**[調査]** を選択します。

1. **[レポート]** テーブルから調査を選択し、**[アーカイブ]** を選択します。

**[概要] ページから調査レポートをアーカイブするには、次の手順に従います。**

1.  AWS マネジメントコンソールにサインインします。その後、[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) で Detective コンソールを開きます。

1. ナビゲーションペインで、**[調査]** を選択します。

1. **[レポート]** テーブルから調査を選択します。

1. [調査の概要] ページで、**[アーカイブ]** を選択します。