Was ist Amazon Detective?

Amazon Detective hilft Ihnen, die Ursache von Sicherheitserkenntnissen oder verdächtigen Aktivitäten zu analysieren, zu untersuchen und schnell zu identifizieren. Detective sammelt automatisch Protokolldaten aus Ihren AWS -Ressourcen. Es verwendet dann Machine Learning, statistische Analysen und die Diagrammtheorie, um Visualisierungen zu erstellen, mit denen Sie effektive Sicherheitsuntersuchungen schneller und effizienter durchführen können. Detective bietet vordefinierte Datenaggregationen, Übersichten und Kontexte, mit denen Sie Art und Ausmaß möglicher Sicherheitsprobleme schnell analysieren und feststellen können.

Mit Detective können Sie auf historische Ereignisdaten von bis zu einem Jahr zugreifen. Diese Daten sind über eine Reihe von Visualisierungen verfügbar, die Veränderungen in Art und Umfang der Aktivitäten in einem ausgewählten Zeitfenster zeigen. Detective verknüpft diese Änderungen mit GuardDuty Ergebnissen. Weitere Informationen zu Quelldaten in Detective finden Sie unter In einem Verhaltensdiagramm verwendete Quelldaten.

Durch die automatische Aggregation von Daten und die Bereitstellung visueller Tools können Sie mit Amazon Detective schnellere und effizientere Sicherheitsuntersuchungen durchführen. Sie können potenzielle Probleme schnell analysieren und den Umfang der Sicherheitsbedrohungen ermitteln.

Funktionen von Amazon Detective

Im Folgenden finden Sie einige der wichtigsten Möglichkeiten, wie Amazon Detective bei der Untersuchung verdächtiger Aktivitäten in Ihrer AWS Umgebung und bei der Analyse von Ressourcen hilfreich ist, um die Hauptursache von Sicherheitsproblemen zu ermitteln.

Detective finden Gruppen

Mithilfe von Detective Finding Groups können Sie mehrere Aktivitäten untersuchen, die sich auf ein potenzielles Sicherheitsereignis beziehen. Mithilfe von Suchgruppen können Sie die Grundursache für GuardDuty Ergebnisse mit hohem Schweregrad analysieren. Wenn ein Bedrohungsakteur versucht, Ihre AWS Umgebung zu kompromittieren, führt er in der Regel eine Abfolge von Aktionen durch, die zu mehreren Sicherheitsergebnissen und ungewöhnlichem Verhalten führen.

Auf der Seite „Suchgruppen“ in Detective werden alle zugehörigen Findungsgruppen angezeigt, die aus Ihrem Verhaltensdiagramm auf der Seite „Suchgruppen“ extrahiert wurden. Sie können Beweise für verschiedene Prinzipaltypen (wie IAM-Benutzer oder IAM-Rolle) beobachten. Bei einigen Arten von Nachweisen können Sie Beweise für alle Konten beobachten.

Detective bietet eine interaktive Visualisierung jeder Findungsgruppe, damit Sie Sicherheitsprobleme schneller und gründlicher untersuchen können. Die Visualisierung ist so konzipiert, dass Entitäten und Ergebnisse angezeigt werden, die an einem Sicherheitsvorfall beteiligt waren, sodass Zusammenhänge und Ursachen leichter zu verstehen sind. Sie können Probleme schneller und gründlicher mit weniger Aufwand untersuchen. Im Bereich Visualisierung von Erkenntnisgruppen werden die Erkenntnisse und Entitäten angezeigt, die an einer Erkenntnisgruppe beteiligt sind.

Detective Investigation zur Triage der Ergebnisse

Mit Detective Investigation können Sie IAM-Benutzer und IAM-Rollen anhand von Bedrohungsindikatoren untersuchen, anhand derer Sie feststellen können, ob eine Ressource an einem Sicherheitsvorfall beteiligt ist. Ein Indikator für eine Gefährdung (IOC) ist ein Artefakt, das in oder auf einem Netzwerk, System oder einer Umgebung beobachtet wird und das (mit einem hohen Maß an Sicherheit) böswillige Aktivitäten oder einen Sicherheitsvorfall identifizieren kann. Mit Detective Investigations können Sie die Effizienz maximieren, sich auf Sicherheitsbedrohungen konzentrieren und die Reaktionsfähigkeit auf Vorfälle verbessern.

Detective Investigation verwendet Modelle für maschinelles Lernen und Bedrohungsinformationen, um nur die kritischsten, verdächtigsten Probleme aufzudecken, sodass Sie sich auf hochrangige Untersuchungen konzentrieren können. Es analysiert automatisch die Ressourcen in Ihrer AWS Umgebung, um potenzielle Anzeichen für kompromittierte oder verdächtige Aktivitäten zu identifizieren. Auf diese Weise können Sie Muster erkennen und nachvollziehen, welche Ressourcen von Sicherheitsereignissen betroffen sind, was einen proaktiven Ansatz zur Identifizierung und Abwehr von Bedrohungen bietet.

Sie können „Detective Investigation“ von der Detective-Konsole aus starten verwenden, indem Sie „Detective Investigation“ ausführen. Verwenden Sie den StartInvestigationBetrieb der Detective-API, um eine Untersuchung programmgesteuert durchzuführen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl start-investigation aus.

Detective-Integration mit Amazon Security Lake

Detective ist in Amazon Security Lake integriert, was bedeutet, dass Sie die von Security Lake gespeicherten Rohprotokolldaten abfragen und abrufen können. Mit dieser Integration können Sie Protokolle und Ereignisse aus den folgenden Quellen sammeln, die Security Lake nativ unterstützt.

• AWS CloudTrail Verwaltungsereignisse

• Amazon Virtual Private Cloud (Amazon VPC)-Datendurchflussprotokolle

Nachdem Sie Detective in Security Lake integriert haben, beginnt Detective mit dem Abrufen von Rohprotokollen aus Security Lake, die sich auf AWS CloudTrail Verwaltungsereignisse und Amazon VPC Flow Logs beziehen. Sie können Rohprotokolle abfragen, um die Protokolle und Ereignisse in Detective anzuzeigen.

Untersuchen Sie das VPC-Durchflussvolumen

Mit Detective können Sie interaktiv die Aktivitätsdetails der Virtual Private Cloud (VPC) -Netzwerkflüsse Ihrer Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Kubernetes-Pods untersuchen. Detective sammelt automatisch VPC-Flow-Logs von Ihren überwachten Konten, aggregiert sie nach EC2-Instances und präsentiert visuelle Zusammenfassungen und Analysen zu diesen Netzwerkflüssen.

Für eine EC2-Instance zeigen die Aktivitätsdetails für das Gesamte VPC-Datendurchflussvolumen die Interaktionen zwischen der EC2-Instance und IP-Adressen während eines ausgewählten Zeitraums.

Für einen Kubernetes-Pod zeigt Gesamtes VPC-Datendurchflussvolumen das Gesamtvolumen der Bytes an, die in die zugewiesene IP-Adresse des Kubernetes-Pods für alle Ziel-IP-Adressen ein- und ausgehen.

Zugreifen auf Amazon Detective

Amazon Detective ist in den meisten Fällen verfügbar AWS-Regionen. Eine Liste der Regionen, in denen Detective derzeit verfügbar ist, finden Sie unter Amazon Detective Endpoints and Quotas in der Allgemeine AWS-Referenz. Informationen zur Verwaltung AWS-Regionen für Sie finden Sie im AWS Account Management Referenzhandbuch unter Spezifizieren AWS-Konto, welche Konten für AWS-Regionen Ihr Konto verwendet werden können.

In jeder Region können Sie auf eine der folgenden Arten mit Detective zusammenarbeiten.

AWS Management Console

Das AWS Management Console ist eine browserbasierte Oberfläche, mit der Sie AWS Ressourcen erstellen und verwalten können. Als Teil dieser Konsole bietet die Amazon Detective-Konsole Zugriff auf Ihr Detective-Konto, Ihre Daten und Ressourcen. Mit der Detective Console können Sie jede Detective-Aufgabe ausführen: Überprüfen Sie potenzielle Sicherheitsbedrohungen und analysieren, untersuchen und identifizieren Sie die Hauptursache von Sicherheitslücken.

AWS Befehlszeilentools

Mit AWS Befehlszeilentools können Sie Befehle an der Befehlszeile Ihres Systems ausgeben, um Detective-Aufgaben und AWS -Aufgaben auszuführen. Die Verwendung der Befehlszeile kann schneller und bequemer sein als die Verwendung der Konsole. Die Befehlszeilen-Tools können auch beim Erstellen von Skripts für -Aufgaben hilfreich sein.

AWS stellt zwei Gruppen von Befehlszeilentools bereit: das AWS Command Line Interface (AWS CLI) und das AWS Tools for PowerShell. Informationen zur Installation und Verwendung von finden Sie im AWS Command Line Interface Benutzerhandbuch. AWS CLI Informationen zur Installation und Verwendung der Tools für PowerShell finden Sie im AWS Tools for PowerShell Benutzerhandbuch.

AWS SDKs

AWS stellt SDKs bereit, die aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen bestehen, z. B. Java, Go, Python, C++ und .NET. Die SDKs bieten bequemen, programmatischen Zugriff auf Detective und andere. AWS-Services Sie übernehmen auch Aufgaben wie das kryptografische Signieren von Anfragen, das Verwalten von Fehlern und das automatische Wiederholen von Anfragen. Informationen zur Installation und Verwendung der AWS SDKs finden Sie unter Tools to Build On. AWS

Amazon Detective REST-API

Die Amazon Detective REST-API bietet Ihnen umfassenden, programmatischen Zugriff auf Ihr Detective-Konto, Ihre Daten und Ressourcen. Mit dieser API können Sie HTTPS-Anfragen direkt an Detective senden. Im Gegensatz zu den AWS Befehlszeilentools und SDKs erfordert die Verwendung dieser API jedoch, dass Ihre Anwendung Details auf niedriger Ebene verarbeitet, z. B. die Generierung eines Hashs zum Signieren einer Anfrage. Informationen zu dieser API finden Sie in der Detective API-Referenz.

Preise für Amazon Detective

Wie bei anderen AWS Produkten gibt es keine Verträge oder Mindestverpflichtungen für die Nutzung von Amazon Detective.

Die Preisgestaltung von Detective basiert auf mehreren Dimensionen — und berechnet eine gestaffelte Flatrate pro GB für alle Daten, unabhängig von der Quelle. Weitere Informationen finden Sie unter Amazon Detective — Preise.

Damit Sie die Kosten für die Nutzung von Detective besser verstehen und prognostizieren können, gibt Detective die geschätzten Nutzungskosten für Ihr Konto an. Sie können diese Schätzungen in der Amazon Detective-Konsole überprüfen und mit der Amazon Detective API darauf zugreifen. Je nachdem, wie Sie den Dienst nutzen, können zusätzliche Kosten für die Nutzung anderer Dienste AWS-Services in Kombination mit bestimmten Detective-Funktionen wie der Security Lake-Integration und Detective Investigations anfallen.

Wenn Sie Detective zum ersten Mal aktivieren, nehmen Sie AWS-Konto automatisch an der kostenlosen 30-Tage-Testversion von Detective teil. Dies schließt einzelne Konten ein, die als Teil einer Organisation in aktiviert wurden. AWS Organizations Während der kostenlosen Testversion fallen für die Nutzung von Detective in den jeweiligen Fällen keine Gebühren an AWS-Region.

Um Ihnen zu helfen, die Kosten für die Nutzung von Detective nach Ablauf der kostenlosen Testversion zu verstehen und zu prognostizieren, gibt Ihnen Detective die geschätzten Nutzungskosten, die auf Ihrer Nutzung von Detective während der Testphase basieren. Ihre Nutzungsdaten geben auch an, wie viel Zeit bis zum Ende Ihrer kostenlosen Testversion noch verbleibt. Sie können diese Daten in der Amazon Detective-Konsole überprüfen und mit der Amazon Detective API darauf zugreifen.

Wie funktioniert Detective?

Detective extrahiert automatisch zeitbasierte Ereignisse wie Anmeldeversuche, API-Aufrufe und Netzwerkverkehr aus AWS CloudTrail den Amazon VPC-Flussprotokollen. Es nimmt auch Ergebnisse auf, die von erkannt wurden. GuardDuty

Detective nutzt Machine Learning und Visualisierung auf Grundlage dieser Ereignisse, um eine einheitliche, interaktive Ansicht des Ressourcenverhaltens und der Interaktionen zwischen ihnen im Zeitverlauf zu erstellen. Sie können dieses Verhaltensdiagramm untersuchen, um verschiedene Aktionen wie fehlgeschlagene Anmeldeversuche oder verdächtige API-Aufrufe zu untersuchen. Sie können auch sehen, wie sich diese Aktionen auf Ressourcen wie AWS Konten und Amazon EC2 EC2-Instances auswirken. Sie können den Umfang und den Zeitplan des Verhaltensdiagramms für eine Vielzahl von Aufgaben anpassen:

• Untersuchen Sie schnell alle Aktivitäten, die nicht der Norm entsprechen.

• Identifizieren Sie Muster, die auf ein Sicherheitsproblem hinweisen könnten.

• Machen Sie sich mit allen Ressourcen vertraut, die von einer Erkenntnis betroffen sind.

Maßgeschneiderte Visualisierungen von Detective bieten eine Grundlage für die Kontoinformationen und fassen sie zusammen. Diese Erkenntnisse können helfen, Fragen wie „Ist das ein ungewöhnlicher API-Aufruf für diese Rolle?“ zu beantworten. Oder „Wird dieser Anstieg des Datenverkehrs von dieser Instance erwartet?“

Mit Detective müssen Sie keine Daten organisieren oder Ihre eigenen Abfragen und Algorithmen entwickeln, konfigurieren oder optimieren. Es fallen keine Vorabkosten an und Sie zahlen nur für die analysierten Ereignisse. Sie müssen keine zusätzliche Software bereitstellen oder andere Feeds abonnieren.

Wer benutzt Detective?

Wenn Detective für ein Konto aktiviert wird, wird es zum Administratorkonto für ein Verhaltensdiagramm. Ein Verhaltensdiagramm ist ein verknüpfter Satz extrahierter und analysierter Daten aus einem oder mehreren AWS Konten. Administratorkonten laden Mitgliedskonten ein, ihre Daten zum Verhaltensdiagramm des Administratorkontos beizutragen.

Detective ist auch in integriert AWS Organizations. Das Verwaltungskonto Ihrer Organisation wird als Detective-Administratorkonto für die Organisation festgelegt. Das Detective-Administratorkonto aktiviert Organisationskonten als Mitgliedskonten im Diagramm zum Organisationsverhalten.

Informationen darüber, wie Detective Quelldaten von Verhaltensdiagrammkonten verwendet, finden Sie unter In einem Verhaltensdiagramm verwendete Quelldaten.

Informationen darüber, wie Administratorkonten Verhaltensdiagramme verwalten, finden Sie unter Verwalten von Konten. Informationen darüber, wie Mitgliedskonten Einladungen und Mitgliedschaften in Verhaltensdiagrammen verwalten, finden Sie unter Für Mitgliedskonten: Einladungen und Mitgliedschaften im Verhaltensdiagramm verwalten.

Das Administratorkonto verwendet die aus dem Verhaltensdiagramm generierten Analysen und Visualisierungen, um AWS Ressourcen und GuardDuty Ergebnisse zu untersuchen. Mithilfe der Detective-Integrationen mit GuardDuty und AWS Security Hub können Sie von einem GuardDuty Ergebnis in diesen Diensten direkt zur Detective-Konsole wechseln.

Eine Untersuchung in Detective konzentriert sich auf die Aktivität, die mit den beteiligten AWS -Ressourcen verbunden ist. Einen Überblick über den Ermittlungsprozess in Detective finden Sie im Detective-Benutzerhandbuch unter Wie Amazon Detective für Ermittlungen verwendet wird.

Zugehörige Services

Um Ihre Daten, Workloads und Anwendungen weiter zu schützen, sollten Sie erwägen AWS, Folgendes AWS-Services in Kombination mit Amazon Detective zu verwenden.

AWS Security Hub

AWS Security Hub bietet Ihnen einen umfassenden Überblick über den Sicherheitsstatus Ihrer AWS Ressourcen und hilft Ihnen dabei, Ihre AWS Umgebung anhand von Industriestandards und Best Practices zu überprüfen. Dies geschieht unter anderem dadurch, dass Ihre Sicherheitsergebnisse aus mehreren AWS-Services (einschließlich Detective) und unterstützten AWS Partner Network (APN) -Produkten (einschließlich Detective) verarbeitet, aggregiert, organisiert und priorisiert werden. Security Hub hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität in Ihrer AWS Umgebung zu identifizieren.

Weitere Informationen zu Security Hub finden Sie im AWS Security Hub Benutzerhandbuch.

Amazon GuardDuty

Amazon GuardDuty ist ein Sicherheitsüberwachungsdienst, der bestimmte Arten von AWS Protokollen analysiert und verarbeitet, z. B. AWS CloudTrail Datenereignisprotokolle für Amazon S3 und CloudTrail Verwaltungsereignisprotokolle. Er verwendet Feeds mit Bedrohungsinformationen wie Listen bösartiger IP-Adressen und Domänen sowie maschinelles Lernen, um unerwartete und potenziell unautorisierte und bösartige Aktivitäten in Ihrer AWS Umgebung zu identifizieren.

Weitere Informationen GuardDuty finden Sie im GuardDuty Amazon-Benutzerhandbuch.

Amazon Security Lake

Amazon Security Lake ist ein vollständig verwalteter Sicherheits-Data-Lake-Dienst. Sie können Security Lake verwenden, um Sicherheitsdaten aus AWS Umgebungen, SaaS-Anbietern, lokalen Quellen, Cloud-Quellen und Quellen von Drittanbietern automatisch in einem speziell entwickelten Data Lake zu zentralisieren, der in Ihrem Konto gespeichert wird. AWS Security Lake hilft Ihnen bei der Analyse von Sicherheitsdaten, sodass Sie sich ein umfassenderes Bild von der Sicherheitslage in Ihrem gesamten Unternehmen machen können. Mit Security Lake können Sie auch den Schutz Ihrer Workloads, Anwendungen und Daten verbessern.

Weitere Informationen zu Security Lake finden Sie im Amazon Security Lake-Benutzerhandbuch. Weitere Informationen zur gemeinsamen Verwendung von Detective und Security Lake finden Sie unterIntegration mit Amazon Security Lake.

Weitere Informationen zu zusätzlichen AWS Sicherheitsservices finden Sie unter Sicherheit, Identität und Compliance auf AWS.