Apa itu Detektif Amazon?

Amazon Detective membantu Anda menganalisis, menyelidiki, dan mengidentifikasi akar penyebab temuan keamanan atau aktivitas mencurigakan dengan cepat. Detective secara otomatis mengumpulkan data log dari sumber daya Anda. AWS Kemudian menggunakan pembelajaran mesin, analisis statistik, dan teori grafik untuk menghasilkan visualisasi yang membantu Anda melakukan penyelidikan keamanan yang lebih cepat dan lebih efisien. Agregasi data Detective prebuilt, ringkasan, dan konteks membantu Anda menganalisis dan menentukan sifat dan tingkat kemungkinan masalah keamanan dengan cepat.

Dengan Detective, Anda dapat mengakses data peristiwa historis hingga satu tahun. Data ini tersedia melalui serangkaian visualisasi yang menunjukkan perubahan jenis dan volume aktivitas pada jendela waktu yang dipilih. Detektif menghubungkan perubahan ini dengan temuan. GuardDuty Untuk informasi lebih lanjut tentang sumber data di Detektif, lihat. Sumber data yang digunakan dalam grafik perilaku

Dengan menggabungkan data secara otomatis dan menyediakan alat visual, Amazon Detective memungkinkan Anda melakukan investigasi keamanan yang lebih cepat dan efisien. Anda dapat dengan cepat menganalisis potensi masalah dan menentukan ruang lingkup ancaman keamanan.

Fitur Detektif Amazon

Berikut adalah beberapa cara utama Detektif Amazon membantu untuk menyelidiki aktivitas mencurigakan di AWS lingkungan Anda dan menganalisis sumber daya untuk mengidentifikasi akar penyebab masalah keamanan.

Kelompok pencari Detektif

Grup pencarian Detektif memungkinkan Anda memeriksa beberapa aktivitas yang terkait dengan peristiwa keamanan potensial. Anda dapat menganalisis akar penyebab GuardDuty temuan tingkat keparahan tinggi menggunakan kelompok temuan. Jika pelaku ancaman mencoba untuk membahayakan AWS lingkungan Anda, mereka biasanya melakukan serangkaian tindakan yang menghasilkan beberapa temuan keamanan dan perilaku yang tidak biasa.

Halaman grup temuan di Detective menampilkan semua grup temuan terkait yang diekstrak dari grafik perilaku Anda di halaman grup pencarian. Anda dapat mengamati bukti untuk berbagai jenis utama (seperti pengguna IAM atau peran IAM). Untuk beberapa jenis bukti, Anda dapat mengamati bukti untuk semua akun.

Detective menyediakan visualisasi interaktif dari setiap kelompok pencari untuk membantu Anda menyelidiki masalah keamanan lebih cepat dan lebih menyeluruh. Visualisasi dirancang untuk menampilkan entitas dan temuan yang terlibat dalam insiden keamanan, sehingga lebih mudah untuk memahami koneksi dan akar penyebab. membantu Anda menyelidiki masalah lebih cepat dan lebih menyeluruh dengan sedikit usaha. Panel Visualisasi grup temuan menampilkan temuan dan entitas yang terlibat dalam kelompok temuan.

Investigasi Detektif untuk temuan triase

Dengan Detective Investigation Anda dapat menyelidiki pengguna IAM dan peran IAM menggunakan indikator kompromi, yang dapat membantu Anda menentukan apakah sumber daya terlibat dalam insiden keamanan. Indikator penyusupan (IOC) adalah artefak yang diamati di dalam atau pada jaringan, sistem, atau lingkungan yang dapat (dengan tingkat kepercayaan tinggi) mengidentifikasi aktivitas berbahaya atau insiden keamanan. Dengan investigasi Detektif, Anda dapat memaksimalkan efisiensi, fokus pada ancaman keamanan, dan memperkuat kemampuan respons insiden.

Detective Investigation menggunakan model pembelajaran mesin dan intelijen ancaman untuk memunculkan hanya masalah yang paling kritis dan mencurigakan, yang memungkinkan Anda untuk fokus pada investigasi tingkat tinggi. Ini secara otomatis menganalisis sumber daya di AWS lingkungan Anda untuk mengidentifikasi indikator potensial kompromi atau aktivitas yang mencurigakan. Ini memungkinkan Anda mengidentifikasi pola dan memahami sumber daya mana yang dipengaruhi oleh peristiwa keamanan, menawarkan pendekatan proaktif untuk identifikasi dan mitigasi ancaman.

Anda dapat menggunakan memulai Investigasi Detektif dari konsol Detektif dengan Menjalankan Investigasi Detektif. Untuk menjalankan investigasi secara terprogram, gunakan StartInvestigationpengoperasian Detective API. Jika Anda menggunakan AWS Command Line Interface (AWS CLI) jalankan perintah start-investigation.

Integrasi Detektif dengan Amazon Security Lake

Detective terintegrasi dengan Amazon Security Lake, yang berarti Anda dapat melakukan kueri dan mengambil data log mentah yang disimpan oleh Security Lake. Dengan integrasi ini, Anda dapat mengumpulkan log dan peristiwa dari sumber berikut yang didukung oleh Security Lake secara native.

• AWS CloudTrail acara manajemen

• Log Aliran Amazon Virtual Private Cloud (Amazon VPC)

Setelah Anda mengintegrasikan Detective dengan Security Lake, Detective mulai menarik log mentah dari Security Lake yang terkait dengan AWS CloudTrail peristiwa manajemen dan Amazon VPC Flow Logs. Anda dapat meminta log mentah untuk melihat log dan peristiwa di Detective.

Selidiki volume aliran VPC

Dengan Detective, Anda dapat secara interaktif memeriksa detail aktivitas alur jaringan virtual private cloud (VPC) dari instans Amazon Elastic Compute Cloud (Amazon EC2) dan pod Kubernetes. Detective secara otomatis mengumpulkan log aliran VPC dari akun yang dipantau, menggabungkannya dengan instans EC2, dan menyajikan ringkasan visual dan analitik tentang alur jaringan ini.

Untuk instans EC2, detail aktivitas untuk Volume aliran VPC Keseluruhan menunjukkan interaksi antara instans EC2 dan alamat IP selama rentang waktu yang dipilih.

Untuk pod Kubernetes, Volume aliran VPC secara keseluruhan menampilkan keseluruhan volume byte masuk dan keluar dari alamat IP yang ditetapkan pod Kubernetes untuk semua alamat IP tujuan.

Mengakses Detektif Amazon

Amazon Detective tersedia di sebagian besar. Wilayah AWS Untuk daftar Wilayah di mana Detektif saat ini tersedia, lihat titik akhir Detektif Amazon dan kuota di. Referensi Umum AWS Untuk informasi tentang mengelola Wilayah AWS akun Anda Akun AWS, lihat Menentukan Wilayah AWS akun mana yang dapat digunakan dalam Panduan AWS Account Management Referensi.

Di setiap Wilayah, Anda dapat bekerja dengan Detektif dengan salah satu cara berikut.

AWS Management Console

AWS Management Console Ini adalah antarmuka berbasis browser yang dapat Anda gunakan untuk membuat dan mengelola AWS sumber daya. Sebagai bagian dari konsol itu, konsol Detektif Amazon menyediakan akses ke akun Detektif, data, dan sumber daya Anda. Anda dapat melakukan tugas Detektif apa pun dengan menggunakan konsol Detektif — meninjau potensi ancaman keamanan dan menganalisis, menyelidiki, dan mengidentifikasi akar penyebab temuan keamanan.

AWS alat baris perintah

Dengan alat baris AWS perintah, Anda dapat mengeluarkan perintah di baris perintah sistem Anda untuk melakukan tugas dan AWS tugas Detektif. Menggunakan baris perintah dapat lebih cepat dan lebih nyaman dibandingkan konsol. Alat baris perintah juga berguna jika Anda ingin membangun skrip yang melakukan tugas.

AWS menyediakan dua set alat baris perintah: AWS Command Line Interface (AWS CLI) dan AWS Tools for PowerShell. Untuk informasi tentang menginstal dan menggunakan AWS CLI, lihat Panduan AWS Command Line Interface Pengguna. Untuk informasi tentang menginstal dan menggunakan Alat untuk PowerShell, lihat Panduan AWS Tools for PowerShell Pengguna.

AWS SDK

AWS menyediakan SDK yang terdiri dari pustaka dan kode sampel untuk berbagai bahasa dan platform pemrograman — misalnya, Java, Go, Python, C ++, dan .NET. SDK menyediakan akses terprogram yang nyaman ke Detective dan lainnya. Layanan AWS SDK menangani tugas seperti menandatangani permintaan secara kriptografis, mengelola kesalahan, dan mencoba kembali permintaan secara otomatis. Untuk informasi tentang menginstal dan menggunakan AWS SDK, lihat Alat untuk Dibangun AWS.

API REST Detektif Amazon

Amazon Detective REST API memberi Anda akses terprogram yang komprehensif ke akun Detektif, data, dan sumber daya Anda. Dengan API ini, Anda dapat mengirim permintaan HTTPS langsung ke Detective. Namun, tidak seperti alat baris AWS perintah dan SDK, penggunaan API ini mengharuskan aplikasi Anda untuk menangani detail tingkat rendah seperti membuat hash untuk menandatangani permintaan. Untuk informasi tentang API ini, lihat Referensi API Detective.

Harga untuk Amazon Detective

Seperti AWS produk lainnya, tidak ada kontrak atau komitmen minimum untuk menggunakan Amazon Detective.

Detective pricing didasarkan pada beberapa dimensi — dan membebankan tarif flat berjenjang per GB untuk semua data terlepas dari sumbernya. Untuk informasi selengkapnya, lihat harga Detektif Amazon.

Untuk membantu Anda memahami dan memperkirakan biaya penggunaan Detective, Detective memberikan perkiraan biaya penggunaan untuk akun Anda. Anda dapat meninjau perkiraan ini di konsol Detektif Amazon dan mengaksesnya dengan Amazon Detective API. Bergantung pada cara Anda menggunakan layanan, Anda mungkin dikenakan biaya tambahan untuk menggunakan yang lain Layanan AWS dalam kombinasi dengan fitur Detektif tertentu, seperti integrasi Security Lake dan Detective Investigations.

Saat Anda mengaktifkan Detektif untuk pertama kalinya, Anda Akun AWS secara otomatis terdaftar dalam uji coba gratis Detektif 30 hari. Ini termasuk akun individu yang diaktifkan sebagai bagian dari organisasi di AWS Organizations. Selama uji coba gratis, tidak ada biaya untuk menggunakan Detektif dalam hal yang berlaku. Wilayah AWS

Untuk membantu Anda memahami dan memperkirakan biaya penggunaan Detective setelah uji coba gratis berakhir, Detective memberi Anda perkiraan biaya penggunaan berdasarkan penggunaan Detective selama uji coba. Data penggunaan Anda juga menunjukkan jumlah waktu yang tersisa sebelum uji coba gratis berakhir. Anda dapat meninjau data ini di konsol Detektif Amazon dan mengaksesnya dengan Amazon Detective API.

Bagaimana cara kerja Detektif?

Detective secara otomatis mengekstrak peristiwa berbasis waktu seperti upaya login, panggilan API, dan lalu lintas jaringan dari dan log aliran VPC AWS CloudTrail Amazon. Ini juga menelan temuan yang terdeteksi oleh GuardDuty.

Dari peristiwa tersebut, Detective menggunakan pembelajaran mesin dan visualisasi untuk menciptakan pandangan interaktif yang terpadu tentang perilaku sumber daya Anda dan interaksi di antara mereka dari waktu ke waktu. Anda dapat menjelajahi grafik perilaku ini untuk memeriksa tindakan yang berbeda seperti upaya masuk yang gagal atau panggilan API yang mencurigakan. Anda juga dapat melihat bagaimana tindakan ini memengaruhi sumber daya seperti AWS akun dan instans Amazon EC2. Anda dapat menyesuaikan cakupan dan garis waktu grafik perilaku untuk berbagai tugas:

• Selidiki dengan cepat setiap aktivitas yang berada di luar norma.

• Identifikasi pola yang mungkin mengindikasikan masalah keamanan.

• Memahami semua sumber daya yang dipengaruhi oleh temuan.

Visualisasi yang disesuaikan dengan Detektif memberikan dasar untuk dan meringkas informasi akun. Temuan ini dapat membantu menjawab pertanyaan seperti “Apakah ini panggilan API yang tidak biasa untuk peran ini?” Atau “Apakah lonjakan lalu lintas dari contoh ini diharapkan?”

Dengan Detective, Anda tidak perlu mengatur data apa pun atau mengembangkan, mengonfigurasi, atau menyetel kueri dan algoritme Anda sendiri. Tidak ada biaya di muka dan Anda hanya membayar untuk acara yang dianalisis, tanpa perangkat lunak tambahan untuk digunakan atau umpan lain untuk berlangganan.

Siapa yang menggunakan Detektif?

Ketika sebuah akun mengaktifkan Detektif, itu menjadi akun administrator untuk grafik perilaku. Grafik perilaku adalah kumpulan data yang diekstraksi dan dianalisis dari satu atau lebih AWS akun. Akun administrator mengundang akun anggota untuk menyumbangkan datanya ke grafik perilaku akun administrator.

Detective juga terintegrasi dengan. AWS Organizations Akun manajemen organisasi Anda menunjuk akun administrator Detektif untuk organisasi. Akun administrator Detektif memungkinkan akun organisasi sebagai akun anggota dalam grafik perilaku organisasi.

Untuk informasi tentang cara Detektif menggunakan data sumber dari akun grafik perilaku, lihat. Sumber data yang digunakan dalam grafik perilaku

Untuk informasi tentang cara akun administrator mengelola grafik perilaku, lihatMengelola akun. Untuk informasi tentang cara akun anggota mengelola undangan grafik perilaku dan keanggotaan mereka, lihat. Untuk akun anggota: Mengelola undangan grafik perilaku dan keanggotaan

Akun administrator menggunakan analisis dan visualisasi yang dihasilkan dari grafik perilaku untuk menyelidiki AWS sumber daya dan GuardDuty temuan. Menggunakan integrasi Detective dengan GuardDuty dan AWS Security Hub, Anda dapat berputar dari GuardDuty temuan di layanan ini langsung ke konsol Detective.

Investigasi Detektif berfokus pada aktivitas yang terhubung dengan sumber daya yang terlibat AWS . Untuk ikhtisar proses investigasi di Detektif, lihat Bagaimana Detektif Amazon digunakan untuk penyelidikan di Panduan Pengguna Detektif.

Layanan terkait

Untuk lebih mengamankan data, beban kerja, dan aplikasi Anda AWS, pertimbangkan untuk menggunakan yang berikut ini Layanan AWS dalam kombinasi dengan Amazon Detective.

AWS Security Hub

AWS Security Hub memberi Anda pandangan komprehensif tentang keadaan keamanan AWS sumber daya Anda dan membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Hal ini dilakukan sebagian dengan mengkonsumsi, menggabungkan, mengatur, dan memprioritaskan temuan keamanan Anda dari beberapa ( Layanan AWS termasuk Detective) dan produk Partner Network (APN) yang didukung AWS . Security Hub membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi di AWS lingkungan Anda.

Untuk mempelajari selengkapnya tentang Security Hub, lihat Panduan Pengguna AWS Security Hub.

Amazon GuardDuty

Amazon GuardDuty adalah layanan pemantauan keamanan yang menganalisis dan memproses jenis AWS log tertentu, seperti log peristiwa AWS CloudTrail data untuk Amazon S3 CloudTrail dan log peristiwa manajemen. Ini menggunakan umpan intelijen ancaman, seperti daftar alamat IP dan domain berbahaya, dan pembelajaran mesin untuk mengidentifikasi aktivitas yang tidak terduga dan berpotensi tidak sah dan berbahaya di lingkungan Anda. AWS

Untuk mempelajari selengkapnya GuardDuty, lihat Panduan GuardDuty Pengguna Amazon.

Danau Keamanan Amazon

Amazon Security Lake adalah layanan danau data keamanan yang dikelola sepenuhnya. Anda dapat menggunakan Security Lake untuk secara otomatis memusatkan data keamanan dari AWS lingkungan, penyedia SaaS, sumber lokal, sumber cloud, dan sumber pihak ketiga ke dalam data lake yang dibuat khusus yang disimpan di akun Anda. AWS Security Lake membantu Anda menganalisis data keamanan, sehingga Anda bisa mendapatkan pemahaman yang lebih lengkap tentang postur keamanan Anda di seluruh organisasi Anda. Dengan Security Lake, Anda juga dapat meningkatkan perlindungan beban kerja, aplikasi, dan data Anda.

Untuk mempelajari selengkapnya tentang Security Lake, lihat Panduan Pengguna Amazon Security Lake. Untuk mempelajari lebih lanjut tentang menggunakan Detective and Security Lake bersama-sama, lihat. Integrasi dengan Amazon Security Lake

Untuk mempelajari tentang layanan AWS keamanan tambahan, lihat Keamanan, Identitas, dan Kepatuhan di AWS.