AWS CloudTrail を調べていると、CloudTrail Insightsのワードが目につきました。
Insightsって何!?と気になったので、まとめてみました。同じように「ん??」と思った方のお役に立てれば幸いです。
CloudTrail Insightsの主な特徴
CloudTrail Insightsは、AWSアカウント内のAPI使用状況を継続的に分析し、通常とは異なるanomalyな動作や潜在的なセキュリティリスクを自動的に検出してくれるサービスです。Insightsの名前の通りですね。
以下が主な特徴となります。
- 機械学習による異常検知
CloudTrail Insightsは機械学習を活用して、APIコールの量やエラー率の通常のパターンを分析します。そして、この通常パターン(ベースライン)から外れる動作を検出した場合にInsightsイベントとして記録します。 - 単一リージョンでの分析
分析対象は、グローバルではなく単一のリージョンで発生する管理イベントになります。 - イベントの記録と保管
検知したイベントはAWSマネジメントコンソール上で確認することができ、S3バケットにログとして保管されます。 - アラート機能
異常を検知した際にアラートを発報させることが可能です。
CloudTrail Insightsの活用シーン
CloudTrail Insightsはどんなときに有効にすれば良いのでしょうか?いくつか活用シーンをまとめてみました。
- セキュリティ監視
不正アクセスや異常なAPIコールを早期に発見し、セキュリティインシデントを防止します。 - 運用効率の向上
リソースの急激な変更や設定ミスを検出し、大きな問題になる前に早期解決できます。 - コンプライアンス対応
異常な動作を記録・監視することで、各種コンプライアンスへの対応が可能です。
CloudTrailとCloudTrail Insightsの主な違い
それでは、そもそもCloudTrailとCloudTrail Insightsはどう違うのでしょうか?
- 機能のスコープ
- CloudTrail
AWSアカウント内のユーザーアクティビティやAPIコールを記録し、監査やセキュリティモニタリングなど。 - CloudTrail Insights
CloudTrailの管理イベントを分析し、異常なアクティビティパターンを検出できます。
- CloudTrail
- イベントの種類
- CloudTrail
管理イベント、データイベント、CloudTrail Insightsイベントを記録します。 - CloudTrail Insights
APIコール量やエラー率の異常を検出し、Insightsイベントとして記録します。
- CloudTrail
- 分析方法
- CloudTrail
イベントを記録してくれます。 - CloudTrail Insights
機械学習モデルを使用してベースラインからの逸脱を分析します。
- CloudTrail
- 適用範囲
- CloudTrail
すべてのリージョンまたは特定のリージョンに適用可能です。 - CloudTrail Insights
単一のリージョンで発生する管理イベントのみを分析します。
- CloudTrail
- 主な用途
- CloudTrail
監査、セキュリティ監視、運用トラブルシューティングなど。 - CloudTrail Insights
異常なアクティビティの検出、運用効率の向上、潜在的な問題の早期発見が可能です。
- CloudTrail
CloudTrail Insightsは、CloudTrailの拡張機能と考えるとわかりやすいですね。CloudTrailだけでも十分な機能がありますが、さらに高度な分析をする際に強力なツールになりそうです。
まとめ
AWSは本当に分析ツールの種類が豊富ですね。AWS CloudTrail Insightsもその一つで、クラウド環境の異常を早期に発見し、セキュリティリスクを軽減してくれます。機械学習を活用した高度な分析能力により、運用効率の向上とセキュリティ強化を同時に実現が可能です。ただ、もちろんこういったツールのお約束として、誤検知の可能性はありますので、適切な設定と運用で利用していきましょう。
