Comment Amazon Detective est utilisé pour les enquêtes - Amazon Detective
Phases de l’enquêtePoints de départ d'une enquête DetectiveFlux Detective Investigation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Amazon Detective est utilisé pour les enquêtes

Amazon Detective vous permet d’analyser, d’enquêter et d’identifier rapidement la cause racine des résultats de sécurité ou des activités suspectes. Detective fournit des outils pour soutenir l'ensemble du processus d'enquête. Dans Detective, une enquête peut commencer à partir d’un résultat, d’un groupe de résultats ou d’une entité.

Phases de l’enquête

Tout processus d'enquête Detective comprend les phases suivantes :

Tri

Le processus d’enquête commence lorsque vous êtes informé d’une instance suspecte d’activité malveillante ou à haut risque. Par exemple, vous êtes chargé d'examiner les résultats ou les alertes découverts par des services tels qu'Amazon GuardDuty et Amazon Inspector.

Au cours de la phase de tri, vous déterminez si vous pensez que l’activité est vraiment positive (activité véritablement malveillante) ou s’il s’agit d’un faux positif (activité non malveillante ou à haut risque). Les profils de Detective prennent en charge le processus de tri en fournissant un aperçu de l’activité de l’entité concernée.

Pour les vrais positifs, passez à la phase suivante.

Champ d’application

Au cours de la phase de cadrage, les analystes déterminent l’étendue de l’activité malveillante ou à haut risque et la cause sous-jacente.

Le cadrage répond aux types de questions suivants :

  • Quels systèmes et utilisateurs ont été compromis ?

  • D’où vient l’attaque ?

  • Depuis combien de temps dure l’attaque ?

  • Y a-t-il une autre activité connexe à découvrir ? Par exemple, si un attaquant extrait des données de votre système, comment les a-t-il obtenues ?

Les visualisations Detective peuvent vous aider à identifier les autres entités impliquées ou affectées.

Réponse

La dernière étape consiste à répondre à l’attaque afin de l’arrêter, de minimiser les dégâts et d’empêcher qu’une attaque similaire ne se reproduise.

Points de départ d'une enquête Detective

Chaque enquête dans Detective a un point de départ essentiel. Par exemple, il se peut qu'on vous attribue un Amazon GuardDuty ou une AWS Security Hub découverte à examiner. Il se peut également que vous soyez préoccupé par une activité inhabituelle associée à une adresse IP spécifique.

Les points de départ habituels d'une enquête incluent les résultats détectés par les données sources de Detective GuardDuty et les entités extraites de ces données.

Résultats détectés par GuardDuty

GuardDuty utilise les données de votre journal pour détecter les cas suspects d'activités malveillantes ou à haut risque. Detective fournit des ressources qui vous aideront à étudier ces résultats.

Pour chaque résultat, Detective fournit les détails de résultat associés. Detective affiche également les entités, telles que les adresses IP et AWS les comptes, qui sont connectées à la découverte.

Vous pouvez ensuite explorer l’activité des entités impliquées afin de déterminer si l’activité détectée à partir du résultat constitue une véritable source de préoccupation.

Pour de plus amples informations, veuillez consulter Analyse d'une vue d'ensemble des résultats.

AWS résultats de sécurité agrégés par Security Hub

AWS Security Hub regroupe les résultats de sécurité provenant de différents fournisseurs de résultats en un seul endroit et vous fournit une vue complète de l'état de votre sécurité dans AWS. Security Hub élimine la complexité liée au traitement de grands volumes de résultats provenant de plusieurs fournisseurs. Cela réduit les efforts nécessaires pour gérer et améliorer la sécurité de tous vos AWS comptes, ressources et charges de travail. Detective fournit des ressources qui vous aideront à étudier ces résultats.

Pour chaque résultat, Detective fournit les détails de résultat associés. Detective affiche également les entités, telles que les adresses IP et AWS les comptes, qui sont connectées à la découverte.

Pour de plus amples informations, veuillez consulter Analyse d'une vue d'ensemble des résultats.

Entités extraites des données source de Detective

À partir des données source de Detective ingérées, Detective extrait des entités telles que les adresses IP et les utilisateurs AWS . Vous pouvez utiliser l’un d’entre eux comme point de départ d’une enquête.

Detective fournit des informations générales sur l’entité, telles que l’adresse IP ou le nom d’utilisateur. Il fournit également des détails sur l’historique des activités. Par exemple, Detective peut signaler les autres adresses IP auxquelles une entité s’est connectée, a été connectée ou qu’elle a utilisées.

Pour plus d’informations, consultez Analyse des entités dans Amazon Detective.

Flux Amazon Detective Investigation

Vous pouvez utiliser Amazon Detective pour étudier une entité telle qu'une EC2 instance ou un AWS utilisateur. Vous pouvez également examiner les résultats de sécurité.

À un niveau élevé, l'image suivante montre le processus d'une Detective Investigation.

Schéma illustrant le processus de Detective Investigation.
Étape 1 : sélectionnez l’entité à étudier

Lorsqu'ils examinent un résultat GuardDuty, les analystes peuvent choisir d'étudier une entité associée dans Detective. Consultez En passant au profil d'une entité ou en trouvant une vue d'ensemble sur Amazon GuardDuty ou AWS Security Hub.

La sélection de l’entité vous amène au profil de l’entité dans Detective.

Étape 2 : analyser les visualisations sur les profils

Chaque profil d’entité contient un ensemble de visualisations générées à partir du graphe de comportement. Le graphe de comportement est créé à partir des fichiers journaux et d’autres données introduites dans Detective.

Les visualisations montrent l’activité liée à une entité. Vous utilisez ces visualisations pour répondre à des questions afin de déterminer si l’activité de l’entité est inhabituelle. Consultez Analyse des entités dans Amazon Detective.

Pour vous aider à orienter l’enquête, vous pouvez utiliser le guide Detective fourni pour chaque visualisation. Le guide décrit les informations affichées, suggère des questions à poser et propose les prochaines étapes en fonction des réponses. Consultez Utilisation des instructions du volet de profil lors d’une enquête.

Chaque profil contient une liste de résultats associés. Vous pouvez consulter les détails d’un résultat ainsi que sa vue d’ensemble. Consultez Affichage des détails des résultats associés.

À partir d’un profil d’entité, vous pouvez passer à une autre entité et rechercher des profils de résultats, afin d’étudier plus en profondeur l’activité des actifs associés.

Étape 3 : passer à l’action

Sur la base des résultats de votre enquête, prenez les mesures appropriées.

En cas de résultat constituant un faux positif, vous pouvez archiver le résultat. Detective vous permet d'archiver GuardDuty les résultats. Pour plus de détails, consultez Archivage d'une GuardDuty recherche Amazon.

Dans le cas contraire, vous prenez les mesures appropriées pour remédier à la vulnérabilité et atténuer les dommages. Par exemple, vous devrez peut-être mettre à jour la configuration d’une ressource.