Alignement recommandé avec GuardDuty et AWS Security Hub Mise à jour recommandée de la fréquence des GuardDuty CloudWatch notifications

Recommandations pour activer Detective

Pensez à suivre ces recommandations avant d'activer Detective

Alignement recommandé avec GuardDuty et AWS Security Hub

Si vous êtes inscrit à GuardDuty et AWS Security Hub, nous recommandons que votre compte soit un compte administrateur pour ces services. Si les comptes d‘administrateur sont les mêmes pour les trois services, les points d‘intégration suivants fonctionnent parfaitement.

Dans GuardDuty notre Security Hub, lorsque vous consultez les détails d'une GuardDuty découverte, vous pouvez passer des détails de la recherche au profil de recherche du Detective.
Dans Detective, lorsque vous étudiez une GuardDuty découverte, vous pouvez choisir l'option d'archiver cette découverte.

Si vous possédez différents comptes d'administrateur pour GuardDuty Security Hub, nous vous recommandons d'aligner les comptes d'administrateur en fonction du service que vous utilisez le plus fréquemment.

Si vous l'utilisez GuardDuty plus fréquemment, activez Detective à l'aide du compte GuardDuty administrateur.

Si vous utilisez AWS Organizations pour gérer des comptes, désignez le compte GuardDuty administrateur comme compte d'administrateur Detective pour l'organisation.
Si vous utilisez Security Hub plus fréquemment, activez Detective à l‘aide du compte administrateur du Security Hub.

Si vous utilisez Organizations pour gérer des comptes, désignez le compte administrateur Security Hub comme compte administrateur Detective de l‘organisation.

Si vous ne pouvez pas utiliser les mêmes comptes d‘administrateur pour tous les services, vous pouvez éventuellement créer un rôle multicompte après avoir activé Detective. Ce rôle permet à un compte administrateur d‘accéder à d‘autres comptes.

Pour plus d'informations sur la manière dont ce type de rôle est pris en IAM charge, voir Fournir l'accès à un IAM utilisateur dans un autre AWS compte que vous possédez dans le Guide de IAM l'utilisateur.

Mise à jour recommandée de la fréquence des GuardDuty CloudWatch notifications

Dans GuardDuty, les détecteurs sont configurés avec une fréquence de CloudWatch notification Amazon pour signaler les occurrences ultérieures d'une découverte. Cela inclut l‘envoi de notifications à Detective.

Par défaut, la fréquence est de six heures. Cela signifie que même si un résultat se reproduit à de nombreuses reprises, les nouvelles occurrences n’apparaissent dans Detective que six heures plus tard.

Pour réduire le temps nécessaire à la réception de ces mises à jour par Detective, nous recommandons que le compte GuardDuty administrateur modifie le réglage de ses détecteurs à 15 minutes. Notez que la modification de la configuration n'a aucun effet sur le coût d'utilisation GuardDuty.

Pour plus d'informations sur la définition de la fréquence des notifications, consultez la section GuardDuty Monitoring Findings with Amazon CloudWatch Events dans le guide de GuardDuty l'utilisateur Amazon.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Prérequis

Activation de Detective