- 重要な情報
- はじめに
- 用語集
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
セキュリティシグナルがユーザーやリソースによる不審なアクティビティをアラートした場合、調査時によく聞かれる質問に次のようなものがあります。
例えば、誰かが AWS S3 バケットの構成を変更し、誰でもアクセスできるようにしたが、そのアクションは想定された役割によって行われたというセキュリティシグナルを受け取ったとします。調査するには、誰がアクションを起こしたか、そして彼らが最近行った他のアクティビティを調べます。それは侵害された資格情報を示す可能性があるからです。
Cloud SIEM Investigator は、影響を受けるエンティティから別のエンティティにピボットするためのグラフィカルインターフェイスを提供し、ユーザーの行動とそれが環境に与える影響を確認することができます。
Security > Cloud SIEM に移動し、Investigator タブをクリックします。
In フィールドのドロップダウンメニューで、エンティティタイプを選択します。
エンティティを選択するか、Investigate フィールドに特定のエンティティ名を入力すると、そのエンティティに関連するアクティビティのグラフが表示されます。Assumed Role エンティティの場合、AccessKeyID を選択するか、AccessKeyID を for フィールドに入力します。
ノードをクリックし、Show list of logs または View in Log Explorer を選択すると、関連するログを見ることができます。サービスノードをクリックした場合、Investigate service をクリックすると、そのサービスの Investigator ビューにピボットします。アクションでフィルタリングするには、and filter by ドロップダウンメニューを使用します。
また、セキュリティシグナルから直接 Cloud SIEM Investigator に移動することができます。セキュリティシグナルパネルで、Investigate user activity (ここで user は問題のユーザー ID) をクリックすると、特定のユーザー ID にフィルターがかかった Investigator ビューが表示されます。
お役に立つドキュメント、リンクや記事:
