Phases d’enquête et points de départ - Amazon Detective
Phases de l’enquêtePoints de départ d'une enquête Detective

Le contenu de l'Amazon Detective Administration Guide est désormais consolidé dans le Amazon Detective User Guide. Le support standard d'Amazon Detective Administration Guide arrivera à expiration le 8 mai 2024.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Phases d’enquête et points de départ

Amazon Detective fournit des outils destinés à soutenir l’ensemble du processus d’enquête. Dans Detective, une enquête peut commencer à partir d’un résultat, d’un groupe de résultats ou d’une entité.

Phases de l’enquête

Tout processus d’enquête passe par les phases suivantes :

Tri

Le processus d’enquête commence lorsque vous êtes informé d’une instance suspecte d’activité malveillante ou à haut risque. Par exemple, vous êtes chargé d'examiner les résultats ou les alertes découverts par des services tels qu'Amazon GuardDuty et Amazon Inspector.

Au cours de la phase de tri, vous déterminez si vous pensez que l’activité est vraiment positive (activité véritablement malveillante) ou s’il s’agit d’un faux positif (activité non malveillante ou à haut risque). Les profils de Detective prennent en charge le processus de tri en fournissant un aperçu de l’activité de l’entité concernée.

Pour les vrais positifs, passez à la phase suivante.

Champ d’application

Au cours de la phase de cadrage, les analystes déterminent l’étendue de l’activité malveillante ou à haut risque et la cause sous-jacente.

Le cadrage répond aux types de questions suivants :

  • Quels systèmes et utilisateurs ont été compromis ?

  • D’où vient l’attaque ?

  • Depuis combien de temps dure l’attaque ?

  • Y a-t-il une autre activité connexe à découvrir ? Par exemple, si un attaquant extrait des données de votre système, comment les a-t-il obtenues ?

Les visualisations Detective peuvent vous aider à identifier les autres entités impliquées ou affectées.

Réponse

La dernière étape consiste à répondre à l’attaque afin de l’arrêter, de minimiser les dégâts et d’empêcher qu’une attaque similaire ne se reproduise.

Points de départ d'une enquête Detective

Chaque enquête dans Detective a un point de départ essentiel. Par exemple, il se peut qu'on vous attribue un Amazon GuardDuty ou une AWS Security Hub découverte à examiner. Il se peut également que vous soyez préoccupé par une activité inhabituelle associée à une adresse IP spécifique.

Les points de départ habituels d'une enquête incluent les résultats détectés par GuardDuty les entités extraites des données sources de Detective.

Résultats détectés par GuardDuty

GuardDuty utilise les données de votre journal pour détecter les cas suspects d'activités malveillantes ou à haut risque. Detective fournit des ressources qui vous aideront à étudier ces résultats.

Pour chaque résultat, Detective fournit les détails de résultat associés. Detective affiche également les entités, telles que les adresses IP et AWS les comptes, qui sont connectées à la découverte.

Vous pouvez ensuite explorer l’activité des entités impliquées afin de déterminer si l’activité détectée à partir du résultat constitue une véritable source de préoccupation.

Pour plus d’informations, consultez Analyse d'une vue d'ensemble des résultats.

AWS résultats de sécurité agrégés par Security Hub

AWS Security Hub regroupe les résultats de sécurité provenant de différents fournisseurs de résultats en un seul endroit et vous fournit une vue complète de l'état de votre sécurité dans AWS. Security Hub élimine la complexité liée au traitement de grands volumes de résultats provenant de plusieurs fournisseurs. Cela réduit les efforts nécessaires pour gérer et améliorer la sécurité de tous vos AWS comptes, ressources et charges de travail. Detective fournit des ressources qui vous aideront à étudier ces résultats.

Pour chaque résultat, Detective fournit les détails de résultat associés. Detective affiche également les entités, telles que les adresses IP et AWS les comptes, qui sont connectées à la découverte.

Pour plus d’informations, consultez Analyse d'une vue d'ensemble des résultats.

Entités extraites des données source de Detective

À partir des données source de Detective ingérées, Detective extrait des entités telles que les adresses IP et les utilisateurs AWS . Vous pouvez utiliser l’un d’entre eux comme point de départ d’une enquête.

Detective fournit des informations générales sur l’entité, telles que l’adresse IP ou le nom d’utilisateur. Il fournit également des détails sur l’historique des activités. Par exemple, Detective peut signaler les autres adresses IP auxquelles une entité s’est connectée, a été connectée ou qu’elle a utilisées.

Pour plus d’informations, consultez Analyse des entités dans Amazon Detective.