Cómo usar Detective con fines de investigación - Amazon Detective
Fases de una investigaciónPuntos de partida para una investigación de DetectivesFlujo de investigación de Detectives

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo usar Detective con fines de investigación

Amazon Detective ayuda a analizar, investigar e identificar rápidamente la causa raíz de un resultado de seguridad o actividad sospechosa. Detective proporciona herramientas para apoyar el proceso general de investigación. En Detective, una investigación puede comenzar a partir de un resultado, un grupo de resultados o una entidad.

Fases de investigación en Detective

Cualquier proceso de investigación de un Detective implica las siguientes fases:

Triaje

El proceso de investigación comienza cuando se le informe de una instancia sospechosa de actividad malintencionada o de alto riesgo. Por ejemplo, se le asigna la tarea de analizar los hallazgos o alertas descubiertos por servicios como Amazon GuardDuty y Amazon Inspector.

En la fase de triaje, debe determinar si la actividad es un positivo real (actividad realmente malintencionada) o un falso positivo (no es una actividad malintencionada ni de alto riesgo). Los perfiles de Detective respaldan el proceso de triaje al proporcionar información sobre la actividad de la entidad implicada.

En el caso de los positivos reales, se avanza a la siguiente fase.

Determinación del alcance

Durante la fase de determinación del alcance, los analistas determinan el alcance de la actividad malintencionada o de alto riesgo y la causa subyacente.

La determinación del alcance responde a los siguientes tipos de preguntas:

  • ¿Qué sistemas y usuarios se han visto comprometidos?

  • ¿Dónde se originó el ataque?

  • ¿Cuánto tiempo ha durado el ataque?

  • ¿Hay alguna otra actividad relacionada que descubrir? Por ejemplo, si un atacante está extrayendo datos del sistema, ¿cómo los obtuvo?

Las visualizaciones de Detective pueden ayudarle a identificar otras entidades que han estado implicadas o afectadas.

Respuesta

El último paso consiste en responder al ataque para detenerlo, minimizar el daño y evitar que se repitan ataques similares.

Puntos de partida para una investigación de Detectives

Cada investigación en Detective tiene un punto de partida esencial. Por ejemplo, es posible que se te asigne un Amazon GuardDuty o un AWS Security Hub hallazgo para investigar. O puede que le preocupe cierta actividad inusual en una determinada dirección IP.

Los puntos de partida típicos de una investigación incluyen los hallazgos detectados GuardDuty y las entidades extraídas de los datos de origen del Detective.

Los hallazgos detectados por GuardDuty

GuardDuty utiliza sus datos de registro para descubrir posibles casos de actividad maliciosa o de alto riesgo. Detective proporciona recursos que ayudan a investigar estos resultados.

Para cada resultado, Detective proporciona los detalles relacionados. El Detective también muestra las entidades, como las direcciones IP y AWS las cuentas, que están conectadas al hallazgo.

A continuación, puede examinar la actividad de las entidades implicadas para determinar si la actividad detectada a partir del resultado es realmente motivo de preocupación.

Para obtener más información, consulte Análisis de una visión general de los hallazgos en Detective.

AWS hallazgos de seguridad agregados por Security Hub

AWS Security Hub agrupa los hallazgos de seguridad de varios proveedores de hallazgos en un solo lugar y le proporciona una visión completa del estado de su seguridad. AWS Security Hub elimina la complejidad que supone abordar grandes volúmenes de resultados de varios proveedores. Reduce el esfuerzo necesario para administrar y mejorar la seguridad de todas sus AWS cuentas, recursos y cargas de trabajo. Detective proporciona recursos que ayudan a investigar estos resultados.

Para cada resultado, Detective proporciona los detalles relacionados. El Detective también muestra las entidades, como las direcciones IP y AWS las cuentas, que están conectadas al hallazgo.

Para obtener más información, consulte Análisis de una visión general de los hallazgos en Detective.

Entidades extraídas de los datos de origen de Detective

A partir de la ingesta de datos de origen de Detective, el servicio extrae entidades tales como direcciones IP y usuarios de AWS . Puede usar una de ellas como punto de partida de la investigación.

Detective proporciona detalles generales sobre la entidad, como la dirección IP o el nombre de usuario. También proporciona detalles sobre el historial de actividad. Por ejemplo, Detective puede informar qué otras direcciones IP ha utilizado o con qué otras direcciones IP ha establecido (recibido o enviado) conexiones una entidad.

Para obtener más información, consulte Análisis de entidades en Amazon Detective.

Flujo de investigación de Detectives

Puedes usar Amazon Detective para investigar una entidad, como una EC2 instancia o un AWS usuario. También puede investigar los resultados de seguridad.

En un nivel alto, la siguiente imagen muestra el proceso de una Investigación de Detectives.

Diagrama que muestra el proceso de Investigación de los Detectives.
Paso 1: selección de la entidad que se va a investigar

Al analizar un hallazgo GuardDuty, los analistas pueden optar por investigar una entidad asociada en Detective. Consulte Pasar al perfil de una entidad o buscar información general en Amazon GuardDuty o AWS Security Hub.

Al seleccionar la entidad, se accede al perfil de la entidad en Detective.

Paso 2: análisis de las visualizaciones de los perfiles

Cada perfil de entidad contiene un conjunto de visualizaciones que se generan a partir del gráfico de comportamiento. El gráfico de comportamiento se crea a partir de los archivos de registro y otros datos introducidos en Detective.

Las visualizaciones muestran la actividad relativa a una entidad. Estas visualizaciones se utilizan para responder preguntas con el fin de determinar si la actividad de la entidad es inusual. Consulte Análisis de entidades en Amazon Detective.

Para ayudar a orientar la investigación, puede usar las directrices de Detective que se proporcionan con cada visualización. La guía describe la información que se muestra, sugiere preguntas que se pueden formular y propone los próximos pasos en función de las respuestas. Consulte Usar las directrices de los paneles de perfil durante una investigación.

Cada perfil contiene una lista de los resultados asociados. Puede ver los detalles y la descripción general de un resultado. Consulte Visualización de los detalles de los hallazgos asociados en Detective.

Desde un perfil de una entidad, puede pasar a otros perfiles de entidad y de resultados para investigar más a fondo la actividad de los recursos relacionados.

Paso 3: Tomar medidas

Tome las medidas oportunas en función de los resultados de su investigación.

Si se trata de un resultado falso positivo, puede archivar el resultado. Desde Detective, puede archivar GuardDuty los hallazgos. Para obtener más información, consulta Archivar un GuardDuty hallazgo de Amazon.

De lo contrario, tome las medidas oportunas para abordar la vulnerabilidad y mitigar los daños. Por ejemplo, quizás necesite actualizar la configuración de un recurso.