翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# エンティティプロファイルまたは検出結果の概要への直接移動
<a name="navigate-to-profile"></a>

次のいずれかのオプションを使用して、Amazon Detective のエンティティプロファイルまたは検出結果の概要に直接移動できます。
+ Amazon GuardDuty または から AWS Security Hub CSPM、GuardDuty の検出結果から対応する Detective の検出結果プロファイルにピボットできます。
+ 検出結果またはエンティティを識別し、使用するスコープ時間を設定する Detective URL をアセンブルできます。

## Amazon GuardDuty または からエンティティプロファイルまたは検出結果の概要にピボットする AWS Security Hub CSPM
<a name="profile-pivot-from-service"></a>

Amazon GuardDuty コンソールから、検出結果に関連するエンティティのエンティティプロファイルに移動できます。

GuardDuty および AWS Security Hub CSPM コンソールから、検出結果の概要に移動することもできます。検出結果の概要には、関係するエンティティのエンティティプロファイルへのリンクも表示されます。

これらのリンクは、調査プロセスを合理化するのに役立ちます。Detective を迅速に使用して、関連するエンティティのアクティビティを表示したり、次のステップを決定したりできます。その後、検出情報が偽陽性である場合にはその検出結果をアーカイブしたり、さらに調査して問題の範囲を特定したりできます。

### Amazon Detective コンソールにピボットする方法
<a name="profile-pivot-how-to"></a>

GuardDuty のすべての検出結果について、調査リンクを使用できます。GuardDuty では、エンティティプロファイルに移動するか、検出結果の概要に移動するかを選択できます。

**GuardDuty コンソールから Detective にピボットするには**

1. GuardDuty コンソール ([https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)) を開きます。

1. 必要に応じて、左側のナビゲーションペインで [**Findings**] (検出結果) を選択します。

1. GuardDuty の [**Findings**] (検出結果) のページで、検出結果を選択します。

   検出結果のリストの右側に検索結果の詳細のペインが表示されます。

1. 検出結果の詳細のペインで、[**Investigate in Detective**] (Detective で調査) を選択します。

   GuardDuty は、Detective で調査できる項目のリストを表示します。

   リストには、IP アドレスや EC2 インスタンスなどの関連エンティティと検出結果の両方が含まれます。

1. エンティティまたは検出結果を選択します。

   新しいタブで Detective コンソールが開きます。コンソールが開き、エンティティまたは検出結果プロファイルが表示されます。

   Detective を有効にしていない場合、コンソールが開き、Detective の概要を示すランディングページが表示されます。そこから、Detective を有効にすることができます。

**Security Hub CSPM コンソールから Detective にピボットするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. 必要に応じて、左側のナビゲーションペインで [**Findings**] (検出結果) を選択します。

1. Security Hub の CSPM **の検出結果**ページで、GuardDuty の検出結果を選択します。

1. 詳細のペインで、[**Investigate in Detective**] (Detective で調査) を選択してから、[**Investigate finding**] (検出結果を調査) を選択します。

   [**Investigate finding**] (検出結果を調査) を選択すると、Detective コンソールが新しいタブで開きます。コンソールが開き、検出結果の概要が表示されます。

   Detective コンソールは、集約リージョンからピボットした場合でも、常に検出結果が派生したリージョンに開きます。集計の検索の詳細については、*AWS Security Hub ユーザーガイド*の [Aggregating findings across Regions](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) を参照してください。

   Detective を有効にしていない場合、コンソールを開くと Detective のランディングページが表示されます。そこから、Detective を有効にすることができます。

### ピボットのトラブルシューティング
<a name="profile-pivot-troubleshooting"></a>

ピボットを使用するには、次のいずれかが当てはまる必要があります。
+ アカウントは、Detective とピボット元のサービスの両方の管理者アカウントである必要があります。
+ 動作グラフへのアクセス権を管理者アカウントに付与するクロスアカウントロールを引き受けました。

管理者アカウントを調整するためのレコメンデーションの詳細については、[Amazon GuardDutyとの推奨アライン AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations)メント」を参照してください。

ピボットが機能しない場合は、次の点を確認してください。
+ **検出結果は、動作グラフで有効になっているメンバーアカウントに属していますか?** 関連付けられたアカウントがメンバーアカウントとして動作グラフに招待されていない場合、動作グラフにはそのアカウントのデータは含まれません。

  招待されたメンバーアカウントが招待を承諾しなかった場合、動作グラフにはそのアカウントのデータは含まれません。
+ **検出結果はアーカイブされていますか?** Detective は、アーカイブされた検出結果を GuardDuty から受け取りません。
+ **検出結果は、Detective が動作グラフにデータを取り込み始める前に発生したものですか?** Detective が取り込むデータに検出結果が存在しない場合、動作グラフにはそのデータが含まれません。
+ **その検出結果は正しいリージョンからのものですか?** 各動作グラフは、リージョンに固有のものです。動作グラフには、他のリージョンのデータは含まれません。

## URL を使用したエンティティプロファイルまたは検出結果の概要への移動
<a name="profile-navigate-url"></a>

Amazon Detective でエンティティプロファイルまたは検出結果の概要に移動するには、そのプロファイルへの直接リンクを提供する URL を使用できます。URL は、検出結果またはエンティティを識別します。また、プロファイルで使用するスコープ時間を指定することもできます。Detective は、最長 1 年間の履歴イベントデータを保持します。

### プロファイル URL の形式
<a name="profile-url-format"></a>

**注記**  
古い形式の URL を使用した場合でも、Detective によって新しい URL に自動的にリダイレクトされます。古い形式の URL は次のとおりです。  
https://console.aws.amazon.com/detective/home?region=*Region*\$1*type*/*namespace*/*instanceID*?*parameters*

新しい形式のプロファイル URL は次のとおりです。
+ エンティティの場合 - https://console.aws.amazon.com/detective/home?region=*Region*\$1*entities*/*namespace*/*instanceID*?*parameters*
+ 検出結果の場合 - https://console.aws.amazon.com/detective/home?region=*Region*\$1*findings*/*instanceID*?*parameters*

URL には、次の値が必要です。

***Region***  
使用するリージョン。

***type***  
ナビゲート先のプロファイルの項目のタイプ。  
+ `entities` - エンティティプロファイルに移動していることを示します
+ `findings` - 検出結果の概要に移動していることを示します

***名前空間***  
エンティティについては、名前空間はエンティティタイプの名前です。  
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`

***instanceID***  
検出結果またはエンティティのインスタンス識別子。  
+ GuardDuty の検出結果については、GuardDuty の検出結果の識別子です。
+  AWS アカウントの場合、アカウント ID。
+  AWS ロールとユーザーの場合、ロールまたはユーザーのプリンシパル ID。
+ フェデレーティッドユーザーについては、フェデレーティッドユーザーのプリンシパル ID です。プリンシパル ID は `<identityProvider>:<username>` または `<identityProvider>:<audience>:<username>` のいずれかです。
+ IP アドレスについては、IP アドレスです。
+ ユーザーエージェントについては、ユーザーエージェント名。
+ EC2 インスタンスについては、インスタンス ID です。
+ ロールセッションについては、セッション識別子です。セッション識別子は、` <rolePrincipalID>:<sessionName>` の形式を使用します。
+ S3 バケットについては、バケット名です。
+ 検出結果グループの場合: UUID。例: `ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ EKS リソースの場合: 次の形式を使用します。
  + EKS クラスター: *<clusterName>\$1<accountId>\$1EKS*
  + Kubernetes ポッド: *<podUid>\$1<clusterName>\$1<accountId>\$1EKS*
  + Kubernetes サブジェクト: *<subjectName>\$1<clusterName>\$1<accountId>*
  + コンテナイメージ: *<registry>/<repository>:<tag>@<digest>*
検出結果またはエンティティは、動作グラフで有効になっているアカウントに関連付けられている必要があります。

URL には、スコープ時間を設定するために使用される次のオプションのパラメータを含めることもできます。スコープ時間とプロファイルでのその使用方法の詳細については、[スコープ時間の管理](scope-time-managing.md) を参照してください。

**`scopeStart`**  
プロファイルで使用するスコープ時間の開始時刻。開始日時は過去 365 日以内の日時である必要があります。  
値はエポックタイムスタンプです。  
開始時刻を指定したが、終了時刻を指定しない場合、スコープ時間は現在の時刻で終了します。

**`scopeEnd`**  
プロファイルで使用するスコープ時間の終了時刻。  
値はエポックタイムスタンプです。  
終了時刻を指定したが、開始時刻を指定しない場合、スコープ時間には終了時刻より前のすべての時間が含まれます。

スコープ時間を指定しない場合は、デフォルトのスコープ時間が使用されます。
+ 検出結果については、デフォルトのスコープ時間は、検出結果のアクティビティが観察された最初の時刻と最後の時刻を使用します。
+ エンティティについては、デフォルトのスコープ時間は直近 24 時間です。

Detective の URL の例を次に示します。

`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`

この URL の例では、次の手順について説明します。
+ IP アドレス 192.168.1 のエンティティプロファイルを表示します。
+ 2019 年 3 月 18 日 (月) 午前 0 時 (GMT) に開始し、2019 年 3 月 18 日 (月) 正午 (GMT) に終了するスコープ時間を使用します。

### URL のトラブルシューティング
<a name="profile-url-troubleshooting"></a>

URL が想定されるプロファイルを表示しない場合は、まず URL が正しい形式を使用していること、および正しい値を入力したことを確認します。
+ URL の前半に正しい `findings` または `entities` を指定しましたか?
+ 正しい名前空間を指定しましたか?
+ 正しい識別子を入力しましたか?

値が正しい場合は、以下を確認することもできます。
+ **検出結果またはエンティティは、動作グラフで有効になっているメンバーアカウントに属していますか?** 関連付けられたアカウントがメンバーアカウントとして動作グラフに招待されていない場合、動作グラフにはそのアカウントのデータは含まれません。

  招待されたメンバーアカウントが招待を承諾しなかった場合、動作グラフにはそのアカウントのデータは含まれません。
+ **検出結果については、その検出結果はアーカイブされていますか?** Detective は、アーカイブされた検出結果を Amazon GuardDuty から受け取りません。
+ **検出結果またはエンティティは、Detective が動作グラフにデータを取り込み始める前に発生したものですか?** Detective が取り込むデータに検出結果またはエンティティが存在しない場合、動作グラフにはそのデータが含まれません。
+ **その検出結果またはエンティティは正しいリージョンからのものですか?** 各動作グラフは、リージョンに固有のものです。動作グラフには、他のリージョンのデータは含まれません。

## Splunk に対する検出結果の Detective URL の追加
<a name="profile-splunk-integration-url"></a>

Splunk Trumpet プロジェクトでは、 AWS サービスから Splunk にデータを送信できます。

Amazon GuardDuty の検出結果の Detective URL を生成するように Trumpet プロジェクトを設定できます。その後、これらの URL を使用して、対応する Detective 検出結果プロファイルに Splunk から直接ピボットできます。

Trumpet プロジェクトは、GitHub ([https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)) から入手できます。

Trumpet プロジェクトの設定のページで、**AWS CloudWatch Events** から [**Detective GuardDuty URLs**] (Detective GuardDuty URL) を選択します。