ActionTrail:Insights 機能のベストプラクティス

安定性

ケース 1：書き込みイベントの総数の急激な増加に関するインサイト

A 社の従業員が退職する前に、クラウド リソースに対する権限を持ち、特定のリソースを削除します。A 社は定期的にリソースを削除しているため、O&M 担当者は削除操作を検出できないと考えています。削除操作の呼び出し率が異常な場合、API 呼び出し率 (ApiCallRateInsight) に関する Insights イベントが生成されます。

ケース 2：読み取りイベントと書き込みイベントのエラー率の急激な増加に関するインサイト

A 社の従業員は、Object Storage Service（OSS）や Simple Log Service リソースなどのリソースが不要になったと考えて、O&M 中にリソースを削除します。ただし、いくつかのサービスは暗黙的にリソースに依存しています。これらのリソースが削除されると、サービスは影響を受けます。たとえば、サービス B はリソース A に依存しています。リソース A が削除されると、サービス B は影響を受けます。その結果、サービス B への API 呼び出し中に多数のエラーが発生し、API エラー率 (ApiErrorRateInsight) に関する Insights イベントが生成されます。

ケース 3：書き込みイベントへの異常な呼び出しに関するインサイト

ActionTrail は、書き込みタイプの管理イベントを自動的に分析し、書き込みイベントで例外が発生した場合に Insights イベントを生成します。たとえば、DeleteInstance イベントの呼び出し率が通常のパターンから外れると、Insights イベントが生成されます。Insights イベントを使用すると、異常な API アクティビティを把握できます。

セキュリティ

ケース 1：IP アドレスの異常なリージョンに基づく AccessKey ペアの漏洩に関するインサイト

攻撃者は A 社の従業員から AccessKey ペアを盗み、会社のクラウドにアクセスして不正な操作を実行します。この場合、IP アドレス (IpInsight) に関する Insights イベントが生成される可能性があります。Insights 機能が有効になると、ActionTrail は、サポートされているすべてのリージョンに記録されているすべての IP アドレスを学習し、数理モデルを使用して、IP アドレスに異常なリージョンが検出されたかどうかを確認します。IP アドレスに異常なリージョンが検出されると、IP アドレス (IpInsight) に関する Insights イベントが生成されます。

ケース 2：リクエスト数の異常な変化に基づく AccessKey ペアの漏洩に関するインサイト

攻撃者は A 社の従業員から AccessKey ペアを盗み、会社のクラウド リソースを使用します。アカウント内で生成されるイベントの総数が増加し、特に Elastic Compute Service（ECS）と Simple Log Service リソースのイベントが増加します。この場合、API 呼び出し率 (ApiCallRateInsight) に関する Insights イベントが生成されます。

ケース 3：不正な権限の変更とパスワードの変更に関するインサイト

クラウドで権限またはパスワードの変更が必要であり、専用の O&M 担当者に高リスクの操作を処理させたいと考えています。不正な権限の変更やパスワードの変更を検出するには、権限の変更に関する Insights イベントとパスワードの変更に関する Insights イベントを使用できます。これらのイベントは、オペレーター ID、オペレーターに関連付けられた IP アドレス、User-Agent などの情報を提供します。

従業員 A は会社の O&M 担当者であり、AccessKey ID と AccessKey シークレットを開示しています。不正ユーザーが AccessKey ペアを利用した場合、IP アドレス (IpInsight) に関する Insights イベントが生成され、不正アクセスに関連付けられた IP アドレスに関する情報が提供されます。不正ユーザーが権限またはパスワードを変更した場合、権限の変更に関する Insights イベントまたはパスワードの変更に関する Insights イベントが生成されます。Insights イベントは、アカウントの漏洩、不正な権限の変更、不正なパスワードの変更を迅速に検出するのに役立ちます。