Investigator

概要

セキュリティシグナルがユーザーやリソースによる不審なアクティビティをアラートした場合、調査時によく聞かれる質問に次のようなものがあります。

  • ユーザーが他のアカウントにアクセスしていないか?
  • その特定の時間帯に、ユーザーは他にどのようなアクションを起こしたのか?
  • ユーザーがリソースに対して行うすべてのアクションは何か?
  • どのようなユーザーがこのリソースと交流しているのか?

例えば、誰かが Amazon S3 バケットの構成を変更し、誰でもアクセスできるようにしたが、そのアクションは引き受けられたロール (assumed role) によって行われたというセキュリティシグナルを受け取ったとします。調査するには、誰がアクションを起こしたか、そして彼らが最近行った他のアクティビティを調べます。それは侵害された資格情報を示す可能性があるからです。

Cloud SIEM Investigator は、影響を受けるエンティティから別のエンティティにピボットするためのグラフィカルインターフェイスを提供し、ユーザーの行動とそれが環境に与える影響を確認することができます。

アクティビティを視覚化し、調査する

    1. Security > Cloud SIEM に移動し、Investigator タブをクリックします。

    2. In フィールドのドロップダウンメニューで、エンティティタイプを選択します。

    3. エンティティを選択するか、Investigate フィールドに特定のエンティティ名を入力すると、そのエンティティに関連するアクティビティの図が表示されます。

    4. ノードをクリックし、View related logs または View in Log Explorer を選択すると、関連するログを見ることができます。アクションでフィルターをかけるには、and filter by ドロップダウンメニューを使用します。

    1. Security > Cloud SIEM に移動し、Investigator タブ、そして GCP タブをクリックします。

    2. In フィールドのドロップダウンメニューで、エンティティタイプを選択します。

    3. エンティティを選択するか、Investigate フィールドに特定のエンティティ名を入力すると、そのエンティティに関連するアクティビティの図が表示されます。

    4. ノードをクリックし、View related logs または View in Log Explorer を選択すると、関連するログを見ることができます。アクションでフィルターをかけるには、and filter by ドロップダウンメニューを使用します。

    1. Security > Cloud SIEM に移動し、Investigator タブ、そして Azure タブをクリックします。

    2. In フィールドのドロップダウンメニューで、エンティティタイプを選択します。

    3. エンティティを選択するか、Investigate フィールドに特定のエンティティ名を入力すると、そのエンティティに関連するアクティビティの図が表示されます。

    4. ノードをクリックし、View related logs または View in Log Explorer を選択すると、関連するログを見ることができます。アクションでフィルターをかけるには、and filter by ドロップダウンメニューを使用します。

    また、セキュリティシグナルから直接 Cloud SIEM Investigator に移動することができます。セキュリティシグナルパネルで、Investigate user activity (ここで user は問題のユーザー ID) をクリックすると、特定のユーザー ID にフィルターがかかった Investigator ビューが表示されます。

    参考資料

    お役に立つドキュメント、リンクや記事:

    Cloud SIEM のための AWS の構成ドキュメント more more セキュリティシグナルエクスプローラーについて学ぶDOCUMENTATION more more Datadog Cloud SIEM Investigator でクラウド環境のアクティビティを視覚化するブログ more more