【AWS】CloudTrail Insightsの有効化

CloudTrail Insights とは

CloudTrail Insights とは、AWS CloudTrail の強力な付帯機能です。
誤解を恐れずに言うと、普段とは違う操作が起こったとき、通常とは異なる動作があったときなどに、異常と判断して検知してくれる機能です。
つまり、怪しい操作や危ない挙動など日常ではあまり見られない事象を早期発見してくれるのです。

初心者の方にも分かりやすく説明するため、3つの特徴にしてポイント解説いたします。

3つの特徴

1.機械学習による異常検知
2.イベント確認とログ保管
3.アラート発報

1.機械学習による異常検知
CloudTrail Insightsは、機械学習アルゴリズムを活用して、異常なアクティビティを検出します。異常なAPIコール、不正なアクセス試行、またはリソースの変更など、潜在的なリスクを特定します。

例えば、「誰かが急に認証なしで重要なデータベースにアクセスしようとしている」といった場合、
CloudTrail Insightsは異常な挙動として検出し、イベントとして記録します。

2.イベント確認とログ保管
検知したイベントはマネージメントコンソール上で確認ができます。イベントの詳細を確認してトラブルシューティングなどで役立てることが可能です。また、S3上にログとしても保管します。
マネージメントコンソール上の閲覧は、直近90日間のイベントに限られるので、古いイベントを確認する場合は、S3上のログを確認します。

3.アラート発報
SNSと連携させることでアラート通知し、迅速な対応ができるようになります。CloudTrailInsights > CloudWatchLogs > SNSの連携が可能です。
また、メールだけではなく、Slackなどのコミュニケーションツールにアラートを送信するように設定もできます。これにより、潜在的なセキュリティの問題に迅速に通知されることができるようになります。

設定方法

「CloudTrail」>「証跡の作成」から下記画像のように「Insightsイベント」にチェックを入れるだけです。

設定が完了すると、証跡一覧画面にて有効になっているか確認ができます。
下記、画像のように「有効」になっていればOKです。

「CloudTrail」> 左メニュー「Insights」をクリックすると、
直近90日間のイベントが表示されます。検知したイベントをドリルダウンしていくとトラブルシューティングが可能になります。

最後に

CloudTrail Insightsは、AWSセキュリティ戦略の重要な要素となります。このツールを活用し、セキュリティを強化し脅威の早期発見に努めましょう。

しかし、CloudTrail Insightsだけではすべてのセキュリティ対処は難しいということも理解しておくとよいでしょう。AWSのセキュリティを向上させるためには他のツールとの連携も考慮すべきです。

GuardDutyを例に挙げると、これはマルチレイヤーの脅威検出サービスで、インテリジェントなセキュリティ監視を提供します。CloudTrail Insightsの検出結果に加え、GuardDutyがリアルタイムで不正アクティビティを監視し、異常な挙動を特定します。これにより、AWS環境内のさまざまなセキュリティレベルで保護が強化されます。

このようにセキュリティサービスを連携させることで、セキュリティリスクに迅速に対応できるようになります。AWSの多層セキュリティ戦略を検討し、信頼性の高いAWS環境を構築しましょう。

参考

Logging Insights events for trails - AWS CloudTrail

関連

【初めてのAWS】CloudTrailの紹介
【AWS】CloudTrail証跡の作成
【AWS】CloudTrail Insightsの有効化
【AWSのログ管理】CloudTrailのログをAthenaを使って調査してみる