O que é o Amazon Detective? - Amazon Detective
Características do Amazon DetectiveAcessando o Amazon DetectivePreços do Amazon DetectiveComo o Detective funciona?Quem usa o Detective?Serviços relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é o Amazon Detective?

O Amazon Detective ajuda a analisar, investigar e identificar rapidamente a causa raiz de descobertas de segurança ou atividades suspeitas. O Detective coleta automaticamente dados de log dos seus recursos da AWS . Em seguida, ele usa machine learning, análises estatísticas e a teoria de grafos para gerar visualizações que ajudam a realizar investigações de segurança eficazes com maior rapidez. O Detective faz a pré-construção de agregações de dados, resumos e contexto predefinidos que podem ajudar você a analisar e determinar a natureza e a extensão de possíveis problemas de segurança.

Com o Detective, você pode acessar até um ano de dados do histórico de eventos. Esses dados estão disponíveis por meio de um conjunto de visualizações que mostram mudanças no tipo e volume de atividade em uma janela de tempo selecionada. Detective vincula essas mudanças às GuardDuty descobertas. Para obter mais informações sobre os dados de origem no Detective, consulte Dados de origem usados em um gráfico de comportamento de Detective.

Ao agregar dados automaticamente e fornecer ferramentas visuais, o Amazon Detective permite que você conduza investigações de segurança mais rápidas e eficientes. Você pode analisar rapidamente possíveis problemas e determinar o escopo das ameaças à segurança.

Características do Amazon Detective

Aqui estão algumas das principais maneiras pelas quais o Amazon Detective é útil para investigar atividades suspeitas em seu AWS ambiente e analisar recursos para identificar a causa raiz dos problemas de segurança.

Detective procurando grupos

Detectives que buscam grupos permitem que você examine várias atividades relacionadas a um possível evento de segurança. Você pode analisar a causa raiz das GuardDuty descobertas de alta severidade usando grupos de localização. Se um agente de ameaças está tentando comprometer seu AWS ambiente, ele normalmente executa uma sequência de ações que geram várias descobertas de segurança e comportamentos incomuns.

A página de busca de grupos no Detective exibe todos os grupos de descoberta relacionados extraídos do seu gráfico de comportamento. Para obter mais informações sobre como você pode aproveitar a localização de grupos para analisar a causa raiz das descobertas de segurança, consulte Analisando grupos de localização no Detective.

Detective fornece uma visualização interativa de cada grupo de descoberta para ajudá-lo a investigar problemas de segurança com mais rapidez e profundidade. A visualização foi projetada para exibir entidades e descobertas envolvidas em um incidente de segurança, facilitando a compreensão das conexões e das causas-raiz. Ajuda você a investigar problemas de forma mais rápida e completa com menos esforço. O painel Visualização do grupo de descoberta exibe as descobertas e as entidades envolvidas em um grupo de descoberta.

Detective Investigation para fazer a triagem dos resultados

Com o Detective Investigation, você pode investigar IAM usuários e IAM funções usando indicadores de comprometimento, que podem ajudá-lo a determinar se um recurso está envolvido em um incidente de segurança. Um indicador de comprometimento (IOC) é um artefato observado em ou em uma rede, sistema ou ambiente que pode (com um alto nível de confiança) identificar atividades maliciosas ou um incidente de segurança. Com as investigações de Detective, você pode maximizar a eficiência, focar nas ameaças à segurança e fortalecer as capacidades de resposta a incidentes.

O Detective Investigation usa modelos de aprendizado de máquina e inteligência de ameaças para identificar apenas os problemas mais críticos e suspeitos, permitindo que você se concentre em investigações de alto nível. Ele analisa automaticamente os recursos em seu AWS ambiente para identificar possíveis indicadores de comprometimento ou atividade suspeita. Isso permite identificar padrões e compreender quais recursos são afetados por eventos de segurança, oferecendo uma abordagem proativa para identificação e mitigação de ameaças.

Você pode iniciar uma investigação de detetive no console de detetives executando uma investigação de detetive. Para executar uma investigação programaticamente, use a StartInvestigationoperação do Detetive. API Para executar uma investigação usando o AWS Command Line Interface (AWS CLI), execute o comando start-investigation.

Detective a integração com o Amazon Security Lake

O Detective se integra ao Amazon Security Lake, o que significa que você pode consultar e recuperar os dados de log brutos armazenados pelo Security Lake. Com essa integração, você pode coletar registros e eventos das seguintes fontes, às quais o Security Lake oferece suporte nativo.

  • AWS CloudTrail eventos de gerenciamento versão 1.0 e posteriores

  • Logs de fluxo da Amazon Virtual Private Cloud (AmazonVPC) versão 1.0 e posterior

  • Log de auditoria do Amazon Elastic Kubernetes Service (EKSAmazon) versão 2.0

Depois de integrar o Detective com o Security Lake, o Detective começa a extrair registros brutos do Security Lake relacionados a AWS CloudTrail eventos de gerenciamento e Amazon Flow Logs. VPC Você pode consultar registros brutos para ver os registros e eventos no Detective.

Investigue VPC o volume do fluxo

Com o Detective, você pode examinar interativamente os detalhes da atividade dos fluxos de rede da nuvem privada virtual (VPC) de suas instâncias do Amazon Elastic Compute Cloud (AmazonEC2) e pods do Kubernetes. Detective coleta automaticamente os registros de VPC fluxo de suas contas monitoradas, os agrega por EC2 instância e apresenta resumos visuais e análises sobre esses fluxos de rede.

EC2Por exemplo, os detalhes da atividade do Volume geral de VPC fluxo mostram as interações entre a EC2 instância e os endereços IP durante um intervalo de tempo selecionado.

Para um pod do Kubernetes, o volume geral de VPC fluxo exibe o volume geral de bytes que entram e saem do endereço IP atribuído ao pod do Kubernetes para todos os endereços IP de destino.

Acessando o Amazon Detective

O Amazon Detective está disponível na maioria. Regiões da AWS Para obter uma lista das regiões em que o Detective está disponível atualmente, consulte os endpoints e cotas do Amazon Detective no. Referência geral da AWS Para obter informações sobre como gerenciar Regiões da AWS seu Conta da AWS, consulte Especificação de qual Regiões da AWS conta pode ser usada no Guia de AWS Account Management referência.

Em cada região, você pode trabalhar com o Detective de qualquer uma das seguintes formas.

AWS Management Console

AWS Management Console É uma interface baseada em navegador que você pode usar para criar e gerenciar AWS recursos. Como parte desse console, o console do Amazon Detective fornece acesso à sua conta, dados e recursos de Detective. Você pode realizar qualquer tarefa de Detective usando o console do Detective — analise possíveis ameaças à segurança e analise, investigue e identifique a causa raiz das descobertas de segurança.

AWS ferramentas de linha de comando

Com as ferramentas de linha de AWS comando, você pode emitir comandos na linha de comando do seu sistema para realizar tarefas e AWS tarefas de Detective. Usar a linha de comando pode ser mais rápido e mais conveniente do que usar o console. As ferramentas da linha de comando também são úteis se você quiser criar scripts que realizem tarefas.

AWS fornece dois conjuntos de ferramentas de linha de comando: o AWS Command Line Interface (AWS CLI) e AWS Tools for PowerShell o. Para obter informações sobre como instalar e usar o AWS CLI, consulte o Guia AWS Command Line Interface do usuário. Para obter informações sobre como instalar e usar as Ferramentas para PowerShell, consulte o Guia AWS Tools for PowerShell do usuário.

AWS SDKs

AWS SDKsfornecimentos que consistem em bibliotecas e exemplos de código para várias linguagens e plataformas de programação — por exemplo, Java, Go, Python, C++ e. NET. Eles SDKs fornecem acesso conveniente e programático a Detective e outros. Serviços da AWS Eles também incluem tarefas como assinatura criptográfica de solicitações, gerenciamento de erros e novas tentativas automáticas de solicitações. Para obter informações sobre como instalar e usar o AWS SDKs, consulte Ferramentas para construir AWS.

Detective da Amazon REST API

O Amazon Detective REST API oferece acesso abrangente e programático à sua conta, dados e recursos de Detective. Com issoAPI, você pode enviar HTTPS solicitações diretamente para o Detective. No entanto, diferentemente das ferramentas de linha de AWS comandoSDKs, o uso delas API exige que seu aplicativo manipule detalhes de baixo nível, como gerar um hash para assinar uma solicitação. Para obter informações sobre issoAPI, consulte a Referência de Detectives. API

Preços do Amazon Detective

Assim como em outros AWS produtos, não há contratos ou compromissos mínimos para usar o Amazon Detective.

O preço do Detective é baseado em várias dimensões — e cobra uma taxa fixa escalonada por GB para todos os dados, independentemente da fonte. Para obter mais informações, consulte os preços do Amazon Detective.

Para ajudar você a entender e prever o custo do uso do Detective, o Detective fornece uma estimativa dos custos de uso da sua conta. Você pode revisar essas estimativas no console do Amazon Detective e acessá-las com o Amazon Detective. API Dependendo de como você usa o serviço, você pode incorrer em custos adicionais pelo uso de outros Serviços da AWS em combinação com determinados recursos do Detective, como a integração com o Security Lake e o Detective Investigations.

Quando você ativa o Detective pela primeira vez, você Conta da AWS é automaticamente inscrito no teste gratuito de 30 dias do Detective. Isso inclui contas individuais habilitadas como parte de uma organização no AWS Organizations. Durante o teste gratuito, não há cobrança pelo uso do Detective na versão aplicável. Região da AWS

Para ajudá-lo a entender e prever o custo do uso do Detective após o término do teste gratuito, o Detective fornece custos de uso estimados com base no uso do Detective durante o teste. Seus dados de uso também indicam o tempo que resta até o término do teste gratuito. Você pode revisar os dados relacionados ao uso da sua conta de Detective no console do Amazon Detective e acessá-los com o Amazon Detective. API

Como o Detective funciona?

Detective extrai automaticamente eventos baseados em tempo, como tentativas de login, API chamadas e tráfego de rede, dos registros de fluxo da AWS CloudTrail Amazon. VPC Ele também ingere descobertas detectadas por GuardDuty.

A partir desses eventos, o Detective usa machine learning e visualizações para criar uma visão unificada e interativa dos comportamentos dos recursos e das interações entre eles ao longo do tempo. Você pode explorar esse gráfico de comportamento para examinar ações diferentes, como tentativas de login malsucedidas ou chamadas suspeitasAPI. Você também pode ver como essas ações afetam recursos como AWS contas e EC2 instâncias da Amazon. Você pode ajustar o escopo e o cronograma do gráfico de comportamento para várias tarefas:

  • Investigar rapidamente qualquer atividade fora do normal.

  • Identificar padrões que possam indicar um problema de segurança.

  • Entender todos os recursos afetados por uma descoberta.

As visualizações personalizadas do Detective fornecem uma linha de base e resumem as informações da conta. Essas descobertas podem ajudar a responder perguntas como “Essa é uma API chamada incomum para essa função?” Ou “Esse aumento no tráfego dessa instância é esperado?”

Com o Detective, você não tem que organizar nenhum dado ou desenvolver, configurar ou ajustar suas próprias consultas e algoritmos. Não há nenhum custo inicial e você paga apenas pelos eventos analisados, sem nenhum software adicional para implantar ou outros feeds para assinar.

Quem usa o Detective?

Quando uma conta habilita o Detective, ela se torna a conta de administrador de um gráfico de comportamento. Um gráfico de comportamento é um conjunto vinculado de dados extraídos e analisados de uma ou mais AWS contas. Uma conta de administrador convida contas-membro para contribuírem com seus dados no gráfico de comportamento da conta de administrador.

Detective também está integrado com. AWS Organizations A conta de gerenciamento da organização designa uma conta de administrador do Detective para a organização. A conta de administrador do Detective habilita as contas da organização como contas-membro no gráfico de comportamento da organização.

Para obter informações sobre como o Detective usa os dados de origem das contas em um gráfico de comportamento, consulte Dados de origem usados em um gráfico de comportamento de Detective.

Para obter informações sobre como as contas de administrador gerenciam gráficos de comportamento, consulte Gerenciando contas no Detective. Para obter informações sobre como as contas-membro gerenciam seus convites e associações a gráficos de comportamento, consulte Para contas-membro: gerenciar convites e associações a gráficos de comportamento.

A conta do administrador usa as análises e visualizações geradas a partir do gráfico de comportamento para investigar AWS recursos e GuardDuty descobertas. Usando as integrações do Detective com GuardDuty e AWS Security Hub, você pode passar de uma GuardDuty descoberta nesses serviços diretamente para o console do Detective.

Uma investigação do Detective se concentra na atividade conectada aos recursos da AWS envolvidos. Para obter uma visão geral do processo de investigação no Detective, consulte Como o Amazon Detective é usado para investigações no Guia do usuário do Detective.

Para proteger ainda mais seus dados, cargas de trabalho e aplicativos AWS, considere usar o seguinte Serviços da AWS em combinação com o Amazon Detective.

AWS Security Hub

AWS Security Hub oferece uma visão abrangente do estado de segurança de seus AWS recursos e ajuda a verificar seu AWS ambiente em relação aos padrões e às melhores práticas de segurança do setor. Ele faz isso em parte consumindo, agregando, organizando e priorizando suas descobertas de segurança de vários produtos ( Serviços da AWS incluindo Detective) e compatíveis da AWS Partner Network (). APN O Security Hub ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade em seu AWS ambiente.

Para saber mais sobre o Security Hub, consulte o Guia do usuário da AWS Security Hub.

Amazon GuardDuty

GuardDuty A Amazon é um serviço de monitoramento de segurança que analisa e processa certos tipos de AWS registros, como registros de eventos de AWS CloudTrail dados para o Amazon S3 CloudTrail e registros de eventos de gerenciamento. Ele usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos, e aprendizado de máquina para identificar atividades inesperadas, potencialmente não autorizadas e maliciosas em seu ambiente. AWS

Para saber mais sobre isso GuardDuty, consulte o Guia GuardDuty do usuário da Amazon.

Amazon Security Lake

O Amazon Security Lake é um serviço de data lake de segurança totalmente gerenciado. Você pode usar o Security Lake para centralizar automaticamente os dados de segurança de AWS ambientes, provedores de SaaS, fontes locais, fontes de nuvem e fontes de terceiros em um data lake específico que é armazenado em sua conta. AWS O Security Lake ajuda você a analisar dados de segurança, para que você tenha uma compreensão mais integral das posturas de segurança de toda a organização. Com o Security Lake, você também pode melhorar a proteção das suas workloads, aplicações e dados.

Para saber mais sobre o Security Lake, consulte o Guia do usuário do Amazon Security Lake. Para saber mais sobre como usar Detective e Security Lake juntos, consulte. Integração do Amazon Detective com o Amazon Security Lake

Para saber mais sobre serviços AWS de segurança adicionais, consulte Segurança, identidade e conformidade em AWS.