Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Présentation d’Amazon Detective
Amazon Detective vous permet d’analyser, d’enquêter et d’identifier rapidement la cause à l’origine des résultats de sécurité ou des activités suspectes. Detective collecte automatiquement les données des journaux à partir de vos ressources AWS . Detective utilise ensuite le machine learning, l’analyse statistique et la théorie des graphes pour générer des visualisations qui vous aideront à mener des investigations de sécurité plus rapides et plus efficaces. Les agrégations de données, les résumés et le contexte prédéfinis de Detective vous aident à analyser et à déterminer rapidement la nature et l’étendue des éventuels problèmes de sécurité.
Avec Detective, vous pouvez accéder à un an de données historiques sur les événements. Ces données sont disponibles via un ensemble de visualisations qui montrent l’évolution du type et du volume d’activité au cours d’une période sélectionnée. Detective associe ces changements aux GuardDuty découvertes. Pour plus d’informations sur les sources de données, consultez Données source utilisées dans un graphe de comportement de Detective.
En agrégeant automatiquement les données et en fournissant des outils visuels, Amazon Detective vous permet de mener des enquêtes de sécurité plus rapides et plus efficaces. Vous pouvez rapidement analyser les problèmes potentiels et déterminer l'ampleur des menaces de sécurité.
Rubriques
Caractéristiques d'Amazon Detective
Voici quelques-unes des principales fonctionnalités d'Amazon Detective pour enquêter sur les activités suspectes dans votre AWS environnement et analyser les ressources afin d'identifier la cause première des problèmes de sécurité.
- Detective trouve des groupes
-
Les groupes Detective Finding vous permettent d'examiner plusieurs activités liées à un événement de sécurité potentiel. Vous pouvez analyser la cause première des GuardDuty résultats très graves à l'aide de groupes de recherche. Si un auteur de menaces tente de compromettre votre AWS environnement, il exécute généralement une séquence d'actions qui génèrent de multiples résultats de sécurité et des comportements inhabituels.
La page des groupes de recherche de Detective affiche tous les groupes de recherche associés extraits de votre graphe de comportement. Pour plus d'informations sur la manière dont vous pouvez tirer parti des groupes de recherche pour analyser la cause première des résultats de sécurité, consultez la section Analyse des groupes de recherche dans Detective.
Detective fournit une visualisation interactive de chaque groupe de recherche pour vous aider à étudier les problèmes de sécurité plus rapidement et de manière plus approfondie. La visualisation est conçue pour afficher les entités et les résultats impliqués dans un incident de sécurité, ce qui facilite la compréhension des connexions et des causes profondes. Elle vous aide à étudier les problèmes plus rapidement et de manière plus approfondie avec moins d'efforts. Le panneau de visualisation du groupe de recherche affiche les résultats et les entités impliquées dans un groupe de recherche.
- Detective Investigation pour trier les résultats
-
Avec Detective Investigation, vous pouvez enquêter sur IAM les utilisateurs et les IAM rôles à l'aide d'indicateurs de compromission, qui peuvent vous aider à déterminer si une ressource est impliquée dans un incident de sécurité. Un indicateur de compromission (IOC) est un artefact observé dans ou sur un réseau, un système ou un environnement qui peut (avec un niveau de confiance élevé) identifier une activité malveillante ou un incident de sécurité. Avec Detective investigations, vous pouvez optimiser l'efficacité, vous concentrer sur les menaces de sécurité et renforcer les capacités de réponse aux incidents.
Detective Investigation utilise des modèles d'apprentissage automatique et des informations sur les menaces pour détecter uniquement les problèmes les plus critiques et les plus suspects, vous permettant ainsi de vous concentrer sur des enquêtes de haut niveau. Il analyse automatiquement les ressources de votre AWS environnement afin d'identifier les indicateurs potentiels de compromission ou d'activité suspecte. Cela vous permet d'identifier les modèles et de comprendre quelles ressources sont affectées par les événements de sécurité, offrant ainsi une approche proactive de l'identification et de l'atténuation des menaces.
Vous pouvez utiliser Start a Detective Investigation depuis la console Detective en exécutant une enquête Detective. Pour exécuter une enquête par programmation, utilisez le StartInvestigationDetective. API Pour exécuter une enquête à l'aide de la AWS Command Line Interface (AWS CLI), exécutez la commande start-investigation
. - Intégration de Detective à Amazon Security Lake
-
Detective s'intègre à Amazon Security Lake, ce qui signifie que vous pouvez interroger et récupérer les données de journal brutes stockées par Security Lake. Grâce à cette intégration, vous pouvez collecter des journaux et des événements à partir des sources suivantes, prises en charge de manière native par Security Lake.
-
AWS CloudTrail événements de gestion version 1.0 et versions ultérieures
-
Amazon Virtual Private Cloud (AmazonVPC) Flow Logs version 1.0 et ultérieure
-
Journal d'audit Amazon Elastic Kubernetes Service (EKSAmazon) version 2.0
Après avoir intégré Detective à Security Lake, Detective commence à extraire les logs bruts de Security Lake relatifs aux événements AWS CloudTrail de gestion et à Amazon VPC Flow Logs. Vous pouvez interroger les journaux bruts pour consulter les journaux et les événements dans Detective.
-
- Étudier VPC le volume de débit
-
Avec Detective, vous pouvez examiner de manière interactive les détails de l'activité des flux réseau de cloud privé virtuel (VPC) de vos instances Amazon Elastic Compute Cloud (AmazonEC2) et de vos pods Kubernetes. Detective collecte automatiquement les journaux de VPC flux de vos comptes surveillés, les agrège par EC2 instance et présente des résumés visuels et des analyses sur ces flux réseau.
Pour une EC2 instance, les détails de l'activité pour le volume de VPC flux global indiquent les interactions entre l'EC2instance et les adresses IP pendant une période sélectionnée.
Pour un pod Kubernetes, le volume de VPC flux global affiche le volume global d'octets entrant et sortant de l'adresse IP attribuée au pod Kubernetes pour toutes les adresses IP de destination.
Accès à Amazon Detective
Amazon Detective est disponible dans la plupart des cas Régions AWS. Pour obtenir la liste des régions dans lesquelles Detective est actuellement disponible, consultez la section Points de terminaison et quotas Amazon Detective dans le Références générales AWS. Pour plus d'informations sur la gestion Régions AWS de votre compte Compte AWS, voir Spécifier les comptes que Régions AWS votre compte peut utiliser dans le Guide de AWS Account Management référence.
Dans chaque région, vous pouvez travailler avec Detective de l'une des manières suivantes.
- AWS Management Console
-
AWS Management Console Il s'agit d'une interface basée sur un navigateur que vous pouvez utiliser pour créer et gérer AWS des ressources. Dans le cadre de cette console, la console Amazon Detective permet d'accéder à votre compte Detective, à vos données et à vos ressources. Vous pouvez effectuer n'importe quelle tâche de Detective à l'aide de la console Detective : passez en revue les menaces de sécurité potentielles et analysez, étudiez et identifiez la cause première des découvertes de sécurité.
- AWS outils de ligne de commande
-
Grâce aux outils de ligne de AWS commande, vous pouvez émettre des commandes sur la ligne de commande de votre système pour exécuter des tâches et AWS des tâches de Detective. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que celle de la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts exécutant des tâches .
AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interface (AWS CLI) et le AWS Tools for PowerShell. Pour plus d'informations sur l'installation et l'utilisation du AWS CLI, consultez le guide de AWS Command Line Interface l'utilisateur. Pour plus d'informations sur l'installation et l'utilisation des outils pour PowerShell, consultez le guide de AWS Tools for PowerShell l'utilisateur.
- AWS SDKs
-
AWS fournit SDKs des bibliothèques et des exemples de code pour divers langages de programmation et plateformes, par exemple Java, Go, Python, C++ et. NET. Ils SDKs fournissent un accès pratique et programmatique à Detective et à d'autres Services AWS. Ils gèrent également des tâches telles que la signature cryptographique des demandes, la gestion des erreurs et le renouvellement automatique des demandes. Pour plus d'informations sur l'installation et l'utilisation du AWS SDKs, voir Outils sur lesquels s'appuyer AWS
. - Amazon Detective REST API
-
Amazon Detective vous REST API donne un accès complet et programmatique à votre compte Detective, à vos données et à vos ressources. Vous pouvez API ainsi envoyer des HTTPS demandes directement à Detective. Cependant, contrairement aux outils de ligne de AWS commandeSDKs, leur utilisation API nécessite que votre application gère des détails de bas niveau tels que la génération d'un hachage pour signer une demande. Pour plus d'informations à ce sujetAPI, consultez le Detective API Reference.
Tarification d'Amazon Detective
Comme pour les autres AWS produits, il n'existe aucun contrat ou engagement minimum pour utiliser Amazon Detective.
La tarification de Detective repose sur plusieurs critères et facture un tarif forfaitaire échelonné par Go pour toutes les données, quelle que soit leur source. Pour plus d'informations, consultez les tarifs d'Amazon Detective
Pour vous aider à comprendre et à prévoir le coût d'utilisation de Detective, Detective fournit une estimation des coûts d'utilisation de votre compte. Vous pouvez consulter ces estimations sur la console Amazon Detective et y accéder avec Amazon DetectiveAPI. Selon la manière dont vous utilisez le service, l'utilisation d'autres Services AWS fonctionnalités associées à certaines fonctionnalités de Detective, telles que l'intégration de Security Lake et Detective Investigations, peut entraîner des coûts supplémentaires.
Lorsque vous activez Detective pour la première fois, vous êtes automatiquement Compte AWS inscrit à l'essai gratuit de 30 jours de Detective. Cela inclut les comptes individuels activés dans le cadre d'une organisation dans AWS Organizations. Pendant l'essai gratuit, l'utilisation de Detective dans la version applicable est gratuite Région AWS.
Pour vous aider à comprendre et à prévoir le coût d'utilisation de Detective après la fin de l'essai gratuit, Detective vous fournit une estimation des coûts d'utilisation en fonction de votre utilisation de Detective pendant la période d'essai. Vos données d'utilisation indiquent également le temps qu'il reste avant la fin de votre essai gratuit. Vous pouvez consulter les données relatives à l'utilisation de votre compte Detective sur la console Amazon Detective et y accéder avec Amazon DetectiveAPI.
Fonctionnement de Detective
Detective extrait automatiquement les événements temporels tels que les tentatives de connexion, API les appels et le trafic réseau depuis les journaux de VPC flux Amazon AWS CloudTrail et Amazon. Il ingère également les résultats détectés par GuardDuty.
À partir de ces événements, Detective utilise le machine learning et la visualisation pour créer une vue unifiée et interactive du comportement de vos ressources et de leurs interactions au fil du temps. Vous pouvez explorer ce graphique de comportement pour examiner des actions disparates telles que des tentatives d'ouverture de session infructueuses ou des appels suspectsAPI. Vous pouvez également voir comment ces actions affectent les ressources telles que les AWS comptes et les EC2 instances Amazon. Vous pouvez ajuster la validité et la chronologie du graphe de comportement pour diverses tâches :
-
Étudier rapidement toute activité qui sort de la norme.
-
Identifier les modèles susceptibles d’indiquer un problème de sécurité.
-
Comprendre toutes les ressources affectées par un résultat.
Les visualisations personnalisées de Detective fournissent une base de référence et résument les informations du compte. Ces résultats peuvent aider à répondre à des questions telles que « Est-ce un API appel inhabituel pour ce rôle ? » Ou « Ce pic de trafic provenant de cette instance est-il attendu ? »
Avec Detective, il n’est plus nécessaire d’organiser les données ni de développer, de configurer ou d’ajuster les requêtes et les algorithmes. Il n’y a pas de frais initiaux et vous ne payez que les événements analysés, sans logiciel supplémentaire à déployer ou à d’autres flux auxquels s’abonner.
Qui utilise Detective ?
Lorsqu’un compte active Detective, il devient le compte administrateur d’un graphe de comportement. Un graphe de comportement est un ensemble lié de données extraites et analysées à partir d'un ou de plusieurs AWS comptes. Les comptes administrateurs peuvent ensuite inviter d‘autres comptes membres à fournir leurs données au graphe de comportement.
Detective est également intégré à AWS Organizations. Le compte de gestion de votre organisation désigne un compte administrateur Detective pour l’organisation. Le compte administrateur Detective active les comptes d’organisation en tant que comptes membres dans le graphe de comportement de l’organisation.
Pour plus d’informations sur la manière dont Detective utilise les données source des comptes de graphes comportementaux, consultez Données source utilisées dans un graphe de comportement de Detective.
Pour plus d’informations sur la manière dont les comptes administrateurs gèrent les graphes de comportement, consultez Gestion des comptes dans Detective. Pour plus d’informations sur la manière dont les comptes membres gèrent leur comportement, les invitations graphes et les adhésions, consultez Pour les comptes membres : gestion des invitations des graphes de comportement et des appartenances.
Le compte administrateur utilise les analyses et les visualisations générées à partir du graphe de comportement pour étudier les AWS ressources et GuardDuty les résultats. Grâce aux intégrations de Detective avec GuardDuty et AWS Security Hub, vous pouvez passer d'une GuardDuty recherche dans ces services directement à la console Detective.
Une enquête Detective se concentre sur l’activité liée aux ressources AWS impliquées. Pour une présentation du processus d’investigation dans Detective, consultez Utilisation d’Amazon Detective à des fins d’investigation dans le Guide de l’utilisateur Amazon Detective.
Services connexes
Pour renforcer la sécurité de vos données, de vos charges de travail et de vos applications AWS, pensez à utiliser les solutions suivantes Services AWS en combinaison avec Amazon Detective.
- AWS Security Hub
-
AWS Security Hub vous donne une vue complète de l'état de sécurité de vos AWS ressources et vous aide à vérifier que votre AWS environnement est conforme aux normes du secteur de la sécurité et aux meilleures pratiques. Pour ce faire, il utilise, agrège, organise et hiérarchise vos résultats de sécurité provenant de plusieurs produits Services AWS (y compris Detective) et de AWS Partner Network (APN) pris en charge. Security Hub vous aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires dans votre AWS environnement.
Pour en savoir plus sur Security Hub, consultez le guide de AWS Security Hub l'utilisateur.
- Amazon GuardDuty
-
Amazon GuardDuty est un service de surveillance de la sécurité qui analyse et traite certains types de AWS journaux, tels que les journaux d'événements de AWS CloudTrail données pour Amazon S3 et les journaux d'événements CloudTrail de gestion. Il utilise des flux de renseignements sur les menaces, tels que des listes d'adresses IP et de domaines malveillants, et l'apprentissage automatique pour identifier les activités inattendues, potentiellement non autorisées et malveillantes au sein de votre AWS environnement.
Pour en savoir plus GuardDuty, consultez le guide de GuardDuty l'utilisateur Amazon.
- Amazon Security Lake
-
Amazon Security Lake est un service de lac de données de sécurité entièrement géré. Vous pouvez utiliser Security Lake pour centraliser automatiquement les données de sécurité provenant des AWS environnements, des fournisseurs SaaS, des sources sur site, des sources cloud et des sources tierces dans un lac de données spécialement conçu et stocké dans votre compte. AWS Security Lake vous aide à analyser les données de sécurité, afin que vous puissiez mieux comprendre votre posture de sécurité dans l’ensemble de votre organisation. Avec Security Lake, vous pouvez également améliorer la protection des charges de travail, des applications et des données.
Pour en savoir plus sur Security Lake, consultez le guide de l'utilisateur d'Amazon Security Lake. Pour en savoir plus sur l'utilisation conjointe de Detective et Security Lake, consultezIntégration d'Amazon Detective à Amazon Security Lake.
Pour en savoir plus sur les services AWS de sécurité supplémentaires, consultez la section Sécurité, identité et conformité sur AWS