Recomendações para habilitar o Detective - Amazon Detective
Alinhamento recomendado com e GuardDuty AWS Security HubAtualização recomendada da frequência GuardDuty CloudWatch de notificação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recomendações para habilitar o Detective

Considere seguir estas recomendações antes de ativar o Detective

Se você estiver inscrito em GuardDuty e AWS Security Hub, recomendamos que sua conta seja uma conta de administrador para esses serviços. Se as contas de administrador forem as mesmas para os três serviços, os seguintes pontos de integração funcionarão perfeitamente.

  • No Security Hub GuardDuty ou no Security Hub, ao visualizar os detalhes de uma GuardDuty descoberta, você pode passar dos detalhes da descoberta para o perfil de descoberta do Detective.

  • Em Detective, ao investigar uma GuardDuty descoberta, você pode escolher a opção de arquivar essa descoberta.

Se você tiver contas de administrador diferentes no Security Hub GuardDuty e no Security Hub, recomendamos que você alinhe as contas de administrador com base no serviço que você usa com mais frequência.

  • Se você usa com GuardDuty mais frequência, habilite Detective usando a conta de GuardDuty administrador.

    Se você usa AWS Organizations para gerenciar contas, designe a conta do GuardDuty administrador como a conta do administrador Detective da organização.

  • Se você usa o Security Hub com mais frequência, habilite o Detective usando a conta de administrador do Security Hub.

    Se você usa o Organizations para gerenciar as contas, designe a conta de administrador do Security Hub como a conta de administrador do Detective para a organização.

Se não puder usar as mesmas contas de administrador em todos os serviços, depois de habilitar o Detective, você poderá optar por criar uma função entre contas. Essa função concede a uma conta de administrador acesso a outras contas.

Para obter informações sobre como IAM oferece suporte a esse tipo de função, consulte Fornecer acesso a um IAM usuário em outra AWS conta que você possui no Guia IAM do usuário.

Em GuardDuty, os detectores são configurados com uma frequência de CloudWatch notificação da Amazon para relatar ocorrências subsequentes de uma descoberta. Isso inclui o envio de notificações ao Detective.

Por padrão, a frequência é de seis horas. Isso significa que, mesmo que uma descoberta se repita muitas vezes, as novas ocorrências não são refletidas no Detective até seis horas depois.

Para reduzir o tempo necessário para o Detective receber essas atualizações, recomendamos que a conta do GuardDuty administrador altere a configuração de seus detectores para 15 minutos. Observe que a alteração da configuração não afeta o custo de uso GuardDuty.

Para obter informações sobre como definir a frequência de notificação, consulte Monitoring GuardDuty Findings with Amazon CloudWatch Events no Guia GuardDuty do usuário da Amazon.