Cos'è Amazon Detective?

Amazon Detective consente di analizzare, esaminare e identificare rapidamente la causa principale degli esiti di sicurezza o delle attività sospette. Detective raccoglie automaticamente i dati di log dalle tue risorse AWS . Utilizza quindi il machine learning, l'analisi statistica e la teoria dei grafi per generare visualizzazioni che consentono di condurre indagini sulla sicurezza più rapide ed efficaci. Le aggregazioni di dati, i riepiloghi e il contesto predefiniti di Detective facilitano e velocizzano l'analisi e la determinazione della natura e dell'estensione dei possibili problemi di sicurezza.

Con Detective puoi accedere fino a un anno di dati storici degli eventi. Questi dati sono disponibili attraverso una serie di visualizzazioni che mostrano le variazioni del tipo e del volume di attività in una finestra temporale selezionata. Detective collega queste modifiche ai GuardDuty risultati. Per ulteriori informazioni sui dati di origine in Detective, consulta Dati di origine utilizzati in un grafico di comportamento.

Aggregando automaticamente i dati e fornendo strumenti visivi, Amazon Detective ti consente di condurre indagini di sicurezza più rapide ed efficienti. Puoi analizzare rapidamente i potenziali problemi e determinare la portata delle minacce alla sicurezza.

Caratteristiche di Amazon Detective

Ecco alcuni dei modi principali in cui Amazon Detective è utile per indagare su attività sospette nel tuo AWS ambiente e analizzare le risorse per identificare la causa principale dei problemi di sicurezza.

Detective: gruppi di ricerca

I gruppi di ricerca investigativa consentono di esaminare più attività in relazione a un potenziale evento di sicurezza. È possibile analizzare la causa principale dei GuardDuty risultati di elevata gravità utilizzando i gruppi di ricerca. Se un autore della minaccia sta tentando di compromettere l' AWS ambiente, in genere esegue una sequenza di azioni che generano molteplici risultati di sicurezza e comportamenti insoliti.

La pagina dei gruppi di ricerca in Detective mostra tutti i gruppi di risultati correlati estratti dal grafico del comportamento nella pagina dei gruppi di ricerca. È possibile osservare le prove relative a diversi tipi principali (come l'utente IAM o il ruolo IAM). Per alcuni tipi di prove, puoi osservare le prove per tutti gli account.

Detective offre una visualizzazione interattiva di ogni gruppo di ricerca per aiutarti a indagare sui problemi di sicurezza in modo più rapido e approfondito. La visualizzazione è progettata per visualizzare le entità e i risultati coinvolti in un incidente di sicurezza, facilitando la comprensione delle connessioni e delle cause principali. Consente di analizzare i problemi in modo più rapido e approfondito con meno sforzo. Il pannello Visualizzazione del gruppo di risultati mostra i risultati e le entità coinvolte in un gruppo di risultati.

Investigazione investigativa per valutare i risultati

Con Detective Investigation puoi analizzare gli utenti e i ruoli IAM utilizzando indicatori di compromissione, che possono aiutarti a determinare se una risorsa è coinvolta in un incidente di sicurezza. Un indicatore di compromissione (IOC) è un artefatto osservato all'interno o su una rete, un sistema o un ambiente in grado di identificare (con un elevato livello di sicurezza) attività dannose o incidenti di sicurezza. Con le indagini Detective, puoi massimizzare l'efficienza, concentrarti sulle minacce alla sicurezza e rafforzare le capacità di risposta all'incidenza.

Detective Investigation utilizza modelli di apprendimento automatico e intelligence sulle minacce per far emergere solo i problemi più critici e sospetti, consentendoti di concentrarti su indagini di alto livello. Analizza automaticamente le risorse presenti nell' AWS ambiente per identificare potenziali indicatori di compromissione o attività sospette. Ciò consente di identificare modelli e comprendere quali risorse sono influenzate dagli eventi di sicurezza, offrendo un approccio proattivo all'identificazione e alla mitigazione delle minacce.

Puoi usare Avvia un'indagine investigativa dalla console Detective eseguendo un'indagine investigativa. Per eseguire un'indagine a livello di codice, utilizza il StartInvestigationfunzionamento dell'API Detective. Se stai usando il AWS Command Line Interface (AWS CLI) esegui il comando start-investigation.

Integrazione di Detective con Amazon Security Lake

Detective si integra con Amazon Security Lake, il che significa che puoi interrogare e recuperare i dati di registro non elaborati archiviati da Security Lake. Con questa integrazione, puoi raccogliere log ed eventi dalle seguenti fonti, supportate in modo nativo da Security Lake.

• AWS CloudTrail eventi di gestione

• Log di flusso Amazon Virtual Private Cloud (Amazon VPC)

Dopo aver integrato Detective con Security Lake, Detective inizia a estrarre i log non elaborati da Security Lake relativi agli eventi di AWS CloudTrail gestione e ai log di flusso di Amazon VPC. Puoi interrogare i log non elaborati per visualizzare i log e gli eventi in Detective.

Analizza il volume del flusso del VPC

Con Detective puoi esaminare in modo interattivo i dettagli delle attività dei flussi di rete del cloud privato virtuale (VPC) delle tue istanze Amazon Elastic Compute Cloud (Amazon EC2) e dei pod Kubernetes. Detective raccoglie automaticamente i log di flusso VPC dagli account monitorati, li aggrega per istanza EC2 e presenta riepiloghi visivi e analisi su questi flussi di rete.

Per un'istanza EC2, i dettagli dell'attività per Volume globale dei flussi VPC mostrano le interazioni tra l'istanza EC2 e gli indirizzi IP durante un intervallo di tempo selezionato.

Per un pod Kubernetes, Volume globale dei flussi VPC mostra il volume complessivo di byte in entrata e in uscita dall'indirizzo IP assegnato al pod Kubernetes per tutti gli indirizzi IP di destinazione.

Accesso ad Amazon Detective

Amazon Detective è disponibile nella maggior parte dei casi Regioni AWS. Per un elenco delle regioni in cui Detective è attualmente disponibile, consulta gli endpoint e le quote di Amazon Detective nel. Riferimenti generali di AWS Per informazioni sulla gestione Regioni AWS del tuo account Account AWS, consulta Specificazione delle opzioni che Regioni AWS il tuo account può utilizzare nella AWS Account Management Guida di riferimento.

In ogni Regione, puoi lavorare con Detective in uno dei seguenti modi.

AWS Management Console

AWS Management Console È un'interfaccia basata su browser che puoi utilizzare per creare e gestire AWS risorse. Come parte di tale console, la console Amazon Detective fornisce l'accesso al tuo account, ai dati e alle risorse di Amazon Detective. Puoi eseguire qualsiasi attività investigativa utilizzando la console Detective: esamina le potenziali minacce alla sicurezza e analizza, indaga e identifica la causa principale dei risultati di sicurezza.

AWS strumenti da riga di comando

Con gli strumenti da riga di AWS comando, puoi impartire comandi dalla riga di comando del tuo sistema per eseguire attività e AWS attività da Detective. L'utilizzo della riga di comando può essere più rapido e comodo rispetto all'utilizzo della console. Gli strumenti a riga di comando sono inoltre utili per creare script che eseguono le attività di .

AWS fornisce due set di strumenti da riga di comando: the AWS Command Line Interface (AWS CLI) e the AWS Tools for PowerShell. Per informazioni sull'installazione e l'utilizzo di AWS CLI, consulta la Guida AWS Command Line Interface per l'utente. Per informazioni sull'installazione e l'utilizzo degli strumenti per PowerShell, consultate la Guida per AWS Tools for PowerShell l'utente.

AWS SDK

AWS fornisce SDK costituiti da librerie e codice di esempio per vari linguaggi e piattaforme di programmazione, ad esempio Java, Go, Python, C++ e.NET. Gli SDK forniscono un accesso comodo e programmatico a Detective e ad altri. Servizi AWS Gestiscono anche attività come la firma crittografica delle richieste, la gestione degli errori e il ritentativo automatico delle richieste. Per informazioni sull'installazione e l'utilizzo degli AWS SDK, consulta Tools to Build on. AWS

API REST di Amazon Detective

L'API REST di Amazon Detective ti offre un accesso completo e programmatico al tuo account, ai dati e alle risorse di Amazon Detective. Con questa API, puoi inviare richieste HTTPS direttamente a Detective. Tuttavia, a differenza degli strumenti da riga di AWS comando e degli SDK, l'uso di questa API richiede che l'applicazione gestisca dettagli di basso livello, come la generazione di un hash per firmare una richiesta. Per informazioni su questa API, consulta il Detective API Reference.

Prezzi per Amazon Detective

Come per altri AWS prodotti, non ci sono contratti o impegni minimi per l'utilizzo di Amazon Detective.

I prezzi di Detective si basano su diverse dimensioni e addebita una tariffa fissa a più livelli per GB per tutti i dati indipendentemente dalla fonte. Per ulteriori informazioni, consulta i prezzi di Amazon Detective.

Per aiutarti a comprendere e prevedere i costi di utilizzo di Detective, Detective fornisce una stima dei costi di utilizzo del tuo account. Puoi rivedere queste stime sulla console Amazon Detective e accedervi con l'API Amazon Detective. A seconda di come utilizzi il servizio, potresti incorrere in costi aggiuntivi per l'utilizzo di altri Servizi AWS in combinazione con determinate funzionalità di Detective, come l'integrazione di Security Lake e Detective Investigations.

Quando attivi Detective per la prima volta, vieni Account AWS automaticamente iscritto alla versione di prova gratuita di 30 giorni di Detective. Sono inclusi i singoli account abilitati come parte di un'organizzazione in. AWS Organizations Durante la prova gratuita, non è previsto alcun costo per l'utilizzo di Detective nella versione applicabile Regione AWS.

Per aiutarti a comprendere e prevedere il costo dell'utilizzo di Detective al termine del periodo di prova gratuito, Detective fornisce una stima dei costi di utilizzo in base all'utilizzo di Detective durante il periodo di prova. I dati di utilizzo indicano anche il periodo di tempo che rimane prima della fine della prova gratuita. Puoi esaminare questi dati sulla console Amazon Detective e accedervi con l'API Amazon Detective.

Come funziona Detective?

Detective estrae automaticamente eventi basati sul tempo come tentativi di accesso, chiamate API e traffico di rete dai log di flusso di AWS CloudTrail Amazon VPC. Inoltre, acquisisce i risultati rilevati da. GuardDuty

A partire da questi eventi, Detective utilizza il machine learning e la visualizzazione per creare una vista unificata, interattiva dei comportamenti delle risorse e delle interazioni tra di esse nel tempo. È possibile esplorare questo grafico del comportamento per esaminare possibili azioni, come i tentativi di accesso non riusciti o le chiamate API sospette. Puoi anche vedere come queste azioni influiscono su risorse come AWS account e istanze Amazon EC2. Puoi modificare l'ambito e la tempistica del grafico di comportamento per una serie di attività:

• Esamina rapidamente qualsiasi attività che non rientri nella norma.

• Identifica gli schemi che possono indicare un problema di sicurezza.

• Scopri tutte le risorse interessate da un risultato.

Le visualizzazioni personalizzate di Detective forniscono una base e riepilogano le informazioni sull'account. Questi risultati possono aiutare a rispondere a domande come "È una chiamata API insolita per questo ruolo?" Oppure "È previsto questo picco di traffico da questa istanza?"

Con Detective, non è più necessario organizzare i dati o sviluppare, configurare o ottimizzare le query e i propri algoritmi. Non sono previsti costi anticipati, vengono addebitati solo gli eventi analizzati, senza software aggiuntivo da implementare o altri feed a cui abbonarsi.

Chi usa Detective?

Quando un account abilita Detective, diventa l'account amministratore per un grafico di comportamento. Un grafico comportamentale è un insieme collegato di dati estratti e analizzati da uno o più account. AWS Gli account amministratore invitano gli account membri a contribuire con i propri dati al grafico di comportamento dell'account amministratore.

Detective è anche integrato con AWS Organizations. L'account di gestione dell'organizzazione indica un account amministratore di Detective per l'organizzazione. L'account amministratore di Detective abilita gli account dell'organizzazione come account membri nel grafico di comportamento dell'organizzazione.

Per informazioni su come Detective utilizza i dati di origine degli account del grafico comportamentale, consulta Dati di origine utilizzati in un grafico di comportamento.

Per informazioni su come gli account amministratore gestiscono i grafici del comportamento, consulta Gestione degli account. Per informazioni su come gli account membri gestiscono il grafico di comportamento, gli inviti e le iscrizioni, consulta Per gli account membri: gestione degli inviti e delle iscrizioni al grafico di comportamento.

L'account amministratore utilizza le analisi e le visualizzazioni generate dal grafico comportamentale per esaminare AWS risorse e GuardDuty risultati. Utilizzando le integrazioni di Detective con GuardDuty e AWS Security Hub, puoi passare da una GuardDuty scoperta in questi servizi direttamente alla console Detective.

Un'indagine di Detective si concentra sull'attività connessa alle risorse AWS coinvolte. Per una panoramica del processo di indagine in Detective, consulta Come viene usato Amazon Detective per le indagini nella Guida per l'utente di Detective.

Servizi correlati

Per proteggere ulteriormente dati, carichi di lavoro e applicazioni, prendi in AWS considerazione l'utilizzo di quanto segue Servizi AWS in combinazione con Amazon Detective.

AWS Security Hub

AWS Security Hub ti offre una visione completa dello stato di sicurezza delle tue AWS risorse e ti aiuta a controllare il tuo AWS ambiente rispetto agli standard e alle migliori pratiche del settore della sicurezza. Lo fa in parte consumando, aggregando, organizzando e dando priorità ai risultati di sicurezza provenienti da più prodotti ( Servizi AWS incluso Detective) e supportati da AWS Partner Network (APN). Security Hub ti aiuta ad analizzare le tendenze della sicurezza e a identificare i problemi di sicurezza con la massima priorità in tutto l' AWS ambiente.

Per ulteriori informazioni su Security Hub, consulta la Guida AWS Security Hub per l'utente.

Amazon GuardDuty

Amazon GuardDuty è un servizio di monitoraggio della sicurezza che analizza ed elabora determinati tipi di AWS log, come i registri degli eventi di AWS CloudTrail dati per Amazon S3 e i registri degli eventi di gestione. CloudTrail Utilizza feed di intelligence sulle minacce, come elenchi di indirizzi IP e domini dannosi, e l'apprendimento automatico per identificare attività impreviste, potenzialmente non autorizzate e dannose all'interno dell'ambiente. AWS

Per ulteriori informazioni GuardDuty, consulta la Amazon GuardDuty User Guide.

Amazon Security Lake

Amazon Security Lake è un servizio di data lake di sicurezza completamente gestito. Puoi utilizzare Security Lake per centralizzare automaticamente i dati di sicurezza provenienti da AWS ambienti, provider SaaS, fonti locali, fonti cloud e fonti di terze parti in un data lake creato appositamente e archiviato nel tuo account. AWS Security Lake ti aiuta ad analizzare i dati di sicurezza in modo da ottenere un quadro più completo del tuo livello di sicurezza in tutta l'organizzazione. Con Security Lake, puoi anche migliorare la protezione di carichi di lavoro, applicazioni e dati.

Per ulteriori informazioni su Security Lake, consulta la Guida per l'utente di Amazon Security Lake. Per ulteriori informazioni sull'utilizzo congiunto di Detective e Security Lake, consultaIntegrazione con Amazon Security Lake.

Per ulteriori informazioni sui servizi AWS di sicurezza aggiuntivi, consulta Sicurezza, identità e conformità su AWS.