Análisis de grupos de resultados - Amazon Detective
Explicación de la página de grupos de resultadosResultados informativos en grupos de resultadosPerfiles de grupos de resultadosVisualización de grupos de resultados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Análisis de grupos de resultados

Los grupos de resultados de Amazon Detective permiten examinar varias actividades relacionadas con un posible evento de seguridad. Puede analizar la causa raíz de los GuardDuty hallazgos de gravedad alta mediante la búsqueda de grupos. Si un agente de amenazas intenta poner en peligro su AWS entorno, normalmente lleva a cabo una secuencia de acciones que conducen a varios hallazgos de seguridad y a comportamientos inusuales. Estas acciones a menudo están dispersas en el tiempo y entre entidades. Cuando se investigan resultados de seguridad de forma aislada, esto puede dar lugar a una interpretación errónea de su importancia y dificultar la identificación de la causa raíz. Para abordar este problema, Amazon Detective aplica una técnica de análisis gráfico que infiere las relaciones entre los resultados y las entidades, y las agrupa entre sí. Recomendamos tratar los grupos de resultados como punto de partida para investigar las entidades implicadas y los resultados.

Detective analiza los datos de los resultados y los agrupa con otros resultados probablemente relacionados basándose en los recursos que comparten. Por ejemplo, es muy probable que los resultados relacionados con acciones realizadas en las mismas sesiones de rol de IAM o que se originaron en la misma dirección IP formen parte de la misma actividad subyacente. Resulta muy útil investigar los resultados y las pruebas como grupo, incluso aunque las asociaciones realizadas por Detective no estén relacionadas.

Además de los resultados, cada grupo incluye las entidades implicadas en los resultados. Las entidades pueden incluir recursos externos AWS , como direcciones IP o agentes de usuario.

nota

Cuando se produce un GuardDuty hallazgo inicial relacionado con otro hallazgo, el grupo de búsqueda con todos los hallazgos relacionados y todas las entidades implicadas se crea en un plazo de 48 horas.

Explicación de la página de grupos de resultados

La página de grupos de resultados muestra todos los grupos de resultados recopilados por Amazon Detective a partir del gráfico de comportamiento. Tenga en cuenta los siguientes atributos de los grupos de resultados:

Gravedad de un grupo

A cada grupo de hallazgos se le asigna una gravedad en función de la gravedad de los hallazgos asociados con el formato de búsqueda de AWS seguridad (ASFF). Los valores de gravedad del resultado ASFF son, de mayor a menor gravedad, Crítica, Alta, Media, Baja o Informativa. La gravedad de un grupo es igual al resultado de gravedad más alto entre los resultados de ese grupo.

En las investigaciones, se debe conceder prioridad a los grupos compuestos por resultados de gravedad Crítica o Alta que afecten a un gran número de entidades, ya que es más probable que representen problemas de seguridad de alto impacto.

Título del grupo

En la columna Título, cada grupo tiene un identificador único y un título no exclusivo. Se basan en el espacio de nombre de tipo ASFF del grupo y en el número de resultados dentro de ese espacio de nombre en el clúster. Por ejemplo, si una agrupación tiene el título: Grupo con: TTP (2), Efecto (1) y Comportamiento inusual (2), incluye cinco resultados en total que consisten en dos resultados en el espacio de nombre TTP, un resultado en el espacio de nombre Efecto y dos resultados en el espacio de nombre Comportamiento inusual. Para obtener una lista completa de los espacios de nombre, consulte Taxonomía de tipos de ASFF.

Tácticas de un grupo

La columna Tácticas de un grupo detalla la categoría de tácticas a la que pertenece la actividad. Las categorías de tácticas, técnicas y procedimientos (TTP) de la siguiente lista se alinean con la matriz MITRE ATT&CK.

Puedes seleccionar una táctica de la cadena para ver una descripción de la táctica. Debajo de la cadena hay una lista de las tácticas detectadas en el grupo. Estas categorías y las actividades que suelen representar son las siguientes:

  • Acceso inicial: un adversario intenta entrar en la red de otra persona.

  • Ejecución: un adversario intenta entrar en la red de otra persona.

  • Persistencia: un adversario intenta mantener su posición.

  • Aumento de privilegios: un adversario intenta obtener permisos de nivel superior.

  • Evasión de defensa: un adversario intenta evitar ser detectado.

  • Acceso a credenciales: un adversario intenta robar nombres y contraseñas de cuentas.

  • Detección: un adversario intenta comprender y obtener información sobre un entorno.

  • Movimiento lateral: un adversario intenta moverse a través de un entorno.

  • Recopilación: un adversario intenta recopilar datos de interés para su objetivo.

  • Mando y control: un adversario intenta entrar en la red de otra persona.

  • Exfiltración: un adversario intenta robar datos.

  • Impacto: un adversario intenta manipular, interrumpir o destruir sus sistemas y datos.

  • Otro: indica actividad de un resultado que no se ajusta a las tácticas enumeradas en la matriz.

Entidades de un grupo

La columna Entidades contiene detalles sobre las entidades específicas detectadas dentro de esta agrupación. Seleccione este valor para obtener un desglose de las entidades en función de sus categorías: Identidad, Red, Almacenamiento y Computación. Algunos ejemplos de entidades de cada categoría son:

  • Identidad: principios de IAM y Cuentas de AWS, por ejemplo, usuario y rol

  • Red: dirección IP u otras entidades de red y VPC

  • Almacenamiento: buckets o DDB de Amazon S3

  • Computación: instancias de Amazon EC2 o contenedores de Kubernetes

Cuentas de un grupo

La columna Cuentas indica qué AWS cuentas pertenecen a las entidades implicadas en los hallazgos del grupo. Las AWS cuentas se enumeran por nombre e AWS identificación para que pueda priorizar las investigaciones de actividades relacionadas con cuentas críticas.

Resultados de un grupo

La columna Resultados contiene una lista de las entidades de un grupo por gravedad. Los hallazgos incluyen los hallazgos de Amazon, GuardDuty los hallazgos del Inspector de Amazon, los hallazgos de AWS seguridad y las pruebas del Detective. Puede seleccionar el gráfico para ver un recuento exacto de los resultados por gravedad.

GuardDuty los hallazgos forman parte del paquete principal de Detective y se ingieren de forma predeterminada. Todos los demás hallazgos de AWS seguridad agregados por Security Hub se ingieren como una fuente de datos opcional. Consulte Datos de origen utilizados en un gráfico de comportamiento para obtener información más detallada.

Resultados informativos en grupos de resultados

Amazon Detective identifica información adicional relativa a un grupo de resultados basándose en los datos del gráfico de comportamiento recopilados en los últimos 45 días. Detective presenta esta información como resultado de gravedad Informativa. Las evidencias proporcionan información de apoyo que pone de relieve una actividad inusual o un comportamiento desconocido que puedan resultar sospechosos si se observan dentro de un grupo de resultados. Esto puede incluir geolocalizaciones observadas recientemente o llamadas a la API observadas dentro del rango temporal de un resultado. Los hallazgos de evidencia solo se pueden ver en Detective y no se envían a AWS Security Hub.

El Detective determina la ubicación de las solicitudes mediante bases de datos de MaxMind GeoIP. MaxMind informa que sus datos son muy precisos a nivel de país, aunque la precisión varía según factores como el país y el tipo de IP. Para obtener más información MaxMind, consulte Geolocalización MaxMind IP. Si cree que alguno de los datos de GeoIP es incorrecto, puede enviar una solicitud de corrección a Maxmind en MaxMind Correct GeoIP2 Data.

Puede observar las evidencias de diferentes tipos de entidades principales (como un usuario de IAM o un rol de IAM). En el caso de algunos tipos de evidencias, puede observar las evidencias de todas las cuentas. Esto significa que las evidencias afectan a todo el gráfico de comportamiento. Si se observa un resultado de evidencias en todas las cuentas, también verá al menos una evidencia informativa adicional del mismo tipo para un determinado rol de IAM. Por ejemplo, si ve un resultado Nueva geolocalización observada para todas las cuentas, verá otra para el resultado Nueva geolocalización observada para una entidad principal.

Tipos de evidencias en los grupos de resultados

  • Nuevas geolocalizaciones observadas

  • Nueva Organización de Sistema Autónomo (ASO) observada

  • Nuevo agente de usuario observado

  • Nueva llamada a la API emitida

  • Nueva geolocalización observada para todas las cuentas

  • Nueva entidad principal de IAM observada para todas las cuentas

Perfiles de grupos de resultados

Al seleccionar el título de un grupo, se abre un perfil de grupo de resultados con detalles adicionales sobre dicho grupo. El panel de detalles de la página de perfil del grupo de resultados permite mostrar hasta 1000 entidades y resultados de grupos de resultados superiores e inferiores.

La página de perfil del grupo muestra el Rango temporal establecido para el grupo. Esta es la fecha y la hora desde el primer resultado o evidencia incluidos en el grupo, hasta el resultado o evidencia actualizados más recientemente en un grupo. También puede ver la Gravedad del grupo de resultados, que es igual a la categoría de gravedad más alta de los resultados del grupo. Otros detalles de este panel de perfil incluyen:

  • La cadena Tácticas implicadas, que muestra las tácticas que se atribuyen a los resultados del grupo. Las tácticas se basan en la matriz MITRE ATT&CK para Enterprise. Las tácticas se muestran en forma de una cadena de puntos de colores que representan la progresión típica de un ataque desde las fases iniciales hasta las finales. Esto significa que los círculos más a la izquierda de la cadena suelen representar actividades menos graves en las que un adversario intenta obtener o mantener acceso a su entorno. Por el contrario, las actividades hacia la derecha son las más graves y pueden incluir la manipulación o destrucción de datos.

  • Las relaciones de este grupo con otros grupos. Ocasionalmente, uno o más grupos de resultados previamente desconectados pueden fusionarse en un nuevo grupo sobre la base de un vínculo recién descubierto; por ejemplo, un resultado que implique a entidades de los grupos existentes. En este caso, Amazon Detective desactiva los grupos principales y crea un grupo secundario. Puede rastrear el linaje de cualquier grupo hasta sus grupos principales. Los grupos pueden tener las siguientes relaciones:

    • Grupo de resultados secundario: grupo de resultados que se crea cuando un resultado implicado en otros dos grupos de resultados está implicado en un nuevo resultado. Para todos los grupos secundarios se enumeran los grupos principales del resultado.

    • Grupo de resultados principal: un grupo de resultados es principal cuando se crear un grupo secundario a partir de él. Si un grupo de resultados es principal, los grupos secundarios relacionados se enumeran junto a él. El estado de un grupo principal pasa a ser Inactivo cuando se fusiona con un grupo secundario Activo.

Hay dos pestañas de información que abren paneles de perfil. Mediante las pestañas Entidades implicadas y Resultados implicados, puede ver más detalles sobre el grupo.

Utilice Ejecutar investigación para generar un informe de la investigación. El informe generado detalla un comportamiento anómalo que indica un compromiso.

Paneles de perfil en los grupos

Entidades implicadas

Se centra en las entidades del grupo de resultados, incluidos los resultados del grupo a los que está vinculada cada entidad. También se muestran las etiquetas adjuntas a cada entidad para que pueda identificar rápidamente las entidades importantes en función del etiquetado. Seleccione una entidad para ver su perfil de entidad.

Resultados implicados

Contiene detalles sobre cada resultado, incluida la gravedad del resultado, cada entidad implicada y cuándo se detectó ese resultado por primera y por última vez. Seleccione un tipo de resultado en la lista para abrir un panel de detalles del resultado con información adicional sobre ese resultado. Como parte del panel Resultados implicados, puede ver resultados de gravedad Informativa en función de las evidencias de Detective de su gráfico de comportamiento.

Visualización de grupos de resultados

Amazon Detective proporciona una visualización interactiva de los grupos de resultados. Esta visualización está diseñada para ayudarle a investigar los problemas de forma más rápida y exhaustiva con menos esfuerzo. El panel Visualización del grupo de resultados muestra los resultados y las entidades que intervienen en un grupo de resultados. Puede utilizar esta visualización interactiva para analizar, comprender y clasificar el impacto del grupo de resultados. Este panel ayuda a visualizar la información presentada en las tablas Entidades implicadas Resultados implicados. En la presentación visual, puede seleccionar los resultados o entidades para su posterior análisis.

Los grupos de resultados de Detective con resultados agregados son un clúster de resultados que están conectados al mismo tipo de recurso. Con los resultados agregados, puede evaluar rápidamente la composición de un grupo de resultados e interpretar los problemas de seguridad con mayor rapidez. El panel de detalles de los grupos de resultados combina resultados similares, y puede ampliar los resultados para ver juntos resultados relativamente similares. Por ejemplo, un nodo de evidencias, que contiene los resultados agregados de gravedad informativa y media del mismo tipo. Actualmente, puede ver el título, el origen, el tipo y la gravedad de los grupos de resultados con resultados agregados.

Desde este panel interactivo, puede:

  • Utilice Ejecutar investigación para generar un informe de la investigación. El informe generado detalla un comportamiento anómalo que indica un riesgo. Para obtener más información, consulte Investigaciones de Detectives.

  • Vea más detalles sobre grupos de resultados con resultados agregados para analizar las evidencias, las entidades y los resultados implicados.

  • Consulte las etiquetas de las entidades y los resultados para identificar las entidades afectadas con posibles problemas de seguridad. Puede desactivar la Etiqueta.

  • Reorganice las entidades y los resultados para comprender mejor su interconexión. Aísle las entidades y los resultados de un grupo moviendo el elemento seleccionado dentro del grupo de resultados.

  • Seleccione las evidencias, las entidades y los resultados para ver más detalles sobre ellos. Para seleccionar varios elementos, elija command/control y luego elija los elementos, o arrástrelos y suéltelos con el puntero.

  • Ajuste el diseño para que quepan todas las entidades y resultados en la ventana del grupo de resultados. Vea qué tipos de entidades predominan en un grupo de resultados.

nota

El panel Visualización del grupo de resultados permite mostrar grupos de resultados con hasta 100 entidades y resultados.

Puede usar el menú desplegable para ver los hallazgos y las entidades en un diseño radial, circular, dirigido por la fuerza o de cuadrícula. El diseño radial proporciona una visualización mejorada para facilitar la interpretación de los datos. El diseño Por fuerza coloca las entidades y los resultados de manera que los enlaces tengan una longitud uniforme entre los elementos y que los enlaces se distribuyan de manera uniforme. Esto contribuye a evitar los solapamientos. El diseño que seleccione define la posición de los resultados en el panel Visualización.

Un panel de visualización que muestra las interconexiones entre las entidades y los resultados incluidos en un grupo de resultados. El diseño Por fuerza coloca las entidades y los resultados de manera que los enlaces tengan una longitud uniforme entre los elementos y que los enlaces se distribuyan de manera uniforme.

Puede utilizar los siguientes atajos de teclado para interactuar con el panel de visualización del grupo de búsqueda:

  • Hacer clic: selecciona un solo nodo, anula la selección de todos los demás nodos y anula la selección de todos los nodos si se hace clic en un espacio en blanco.

  • Ctrl + Clic: selecciona un solo nodo, no anula la selección de otros nodos.

  • Arrastrar: permite desplazar la vista.

  • Ctrl + Arrastrar: el recuadro selecciona otros nodos, no los deselecciona.

  • Mayús y arrastre: el recuadro selecciona y deselecciona todos los demás nodos.

  • Teclas de flecha: cambia el enfoque entre los nodos.

  • Ctrl + Espacio: selecciona o deselecciona el nodo actualmente enfocado.

  • Mayús + Teclas de flecha: cambia el enfoque entre los nodos y los selecciona.

La Leyenda dinámica cambia en función de las entidades y los resultados del gráfico actual. Le ayuda a identificar lo que representa cada elemento visual.