Amazon Quickのフロー機能でAIにCloudTrailログを分析させる

Amazon Quickには「フロー」と呼ばれるGUIで簡単にAIエージェントを作成する機能があります。本ブログではフローを利用してCloudTrailログを分析し、レポートまで出力するようなエージェントを作成する方法を解説します。

まずは分析させたいCloudTrailのログをCSVファイルとしてダウンロードします。CSVファイルとしてダウンロードするためにAthena テーブルを作成します。

1.Cloud Trailの画面で[イベント履歴]をクリックします。

2.[Athena テーブルを作成]をクリックします。

3.対象のCloudTrail証跡のS3バケットを指定して[テーブルを作成]をクリックします。

4.画面上部の「Athena テーブルが正常に作成されました...」に続くテーブルのリンクをクリックします。

5.任意のクエリを入力して[実行]をクリックします。

今回は以下のクエリを実行しました。

SELECT
  eventTime,
  userIdentity.principalId,
  eventName,
  awsRegion,
  sourceIpAddress
FROM
  テーブル名 -- 手順3で作成したテーブル名を指定
WHERE
  eventTime LIKE 'YYYY-MM-DD%' -- 分析したい日を指定
ORDER BY
  eventTime DESC;

6.画面を下にスクロールし[結果の CSV をダウンロード]をクリックして、ローカルにCSVファイルとして保存します。

以上で事前準備は完了です！

いよいよAmazon Quickでフローを作成していきます。

1. Amazon Quickにログインして、画面左メニューの[フロー]をクリックします。

3.自然言語でやりたいことを記述することでAmazon Quickにフロー自体を作成してもらうこともできますが、今回は作成結果にブレがないように手動で作成していきます。手動で作成するには[空白のフローを作成する]をクリックします。

5.[ステップを追加]をクリックすると、フローに追加したいステップを選択することができます。Amazon Quickのフローにはエージェント作成に便利な様々なステップが事前に用意されています。今回は最初のステップとして、先ほど作成したCSVファイルをアップロードするステップを追加します。そのため[ファイル]をクリックします。

6.デフォルトで用意されているステップは今回は使用しないので削除しておきます。「Enter your input」をクリックして[削除]をクリックして削除します。
※同様に「Generate output」もクリックして削除しておいてください。

7.アップロードしたファイルからAIを使ってデータを抽出するステップを追加するために[ステップを追加]-[一般知識]をクリックします。

8.ステップの編集をします。「タイトル」に「CloudTrailデータを分析」と入力します。「プロンプト」にAIへの指示を入力して[保存]をクリックします。今回はセキュリティに着目してデータを抽出してほしいので以下の指示をしました。なお「ファイルのアップロード」についてはキーボードで半角の「@」を入力することで選択ができます。

9.次に抽出した結果をAIで分析するステップを追加するために[ステップを追加]-[一般知識]をクリックします。

10.ステップの編集をします。「タイトル」に「セキュリティリスク評価」と入力します。「プロンプト」にAIへの指示を入力して[保存]をクリックします。今回はセキュリティに着目して分析してほしいので以下の指示をしました。なお「CloudTrailデータを分析」についてはキーボードで半角の「@」を入力することで選択ができます。

11.次に分析した結果をAIでレポートにするステップを追加するために[ステップを追加]-[一般知識]をクリックします。

12.ステップの編集をします。「タイトル」に「サマリーレポートを生成」と入力します。「プロンプト」にAIへの指示を入力して[保存]をクリックします。今回はセキュリティに着目したレポートにしてほしいので以下の指示をしました。なお「セキュリティリスク評価」についてはキーボードで半角の「@」を入力することで選択ができます。

以上で、Amazon Quickの設定は完了です。続いて動作テストをしてみましょう！

1.画面右上の[実行モード]をクリックします。

2.「ファイルのアップロード」ステップで事前にダウンロードしておいたCloudTrailのCSVファイルをアップロードします。

3.[開始]ボタンをクリックしてフローを開始します。

4.各ステップが順番に実行されていきます。CSVファイルのサイズにもよりますが、しばらく時間がかかるのでそのまま待ちます。

5.レポートの出力まで完了したら実際の出力内容を確認してみましょう。一番下の「サマリーレポートを生成」を見てみます。私の環境では事前にrsaekiユーザーでアクセスキーの作成→削除→作成といった、いかにも怪しい操作を実施しておきました。レポートを確認すると見事にこの操作がピックアップされていることが確認できます。

6.さらに詳細を確認するために一つ上の「セキュリティリスクを評価」を確認してみます。rsaekiユーザーが実施したアクセスキーに関する操作の詳細を確認することができます。

以上でフローを活用したエージェント作成は完了です！


なお、作成したフローは[共有して公開]から他のメンバーに共有することも可能です。

自然言語を用いたCloudTrailログの分析はCloudTrail LakeやCloudTrail MCP Serverでも可能ですが、Quickでも比較的簡単に実装をすることができます。

今回はCSVを手動でアップロードして実行しましたが、これを応用すれば、VPCフローログなど、他のログ分析にも同じ仕組みを横展開することが可能です。プロンプト（AIへの指示）を自社のセキュリティ基準に合わせて微調整すれば、さらに精度の高いオリジナルエージェントに育てることもできます。是非みなさんもトライしてみてください。

執筆者・シリーズ情報

• 佐伯 竜輔

2008年新卒入社。eラーニング製品、MySQL、Verticaなどのエンジニアを経て、 2019年から2年間限定で採用活動を担当。2021年に技術職に戻り、AWSに関する支援や研修の提案に従事している。...show more