Como o Amazon Detective é usado para investigações - Amazon Detective
Fases da investigaçãoPontos de partida para uma investigação de DetectiveFluxo de investigação de detetives

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Amazon Detective é usado para investigações

O Amazon Detective facilita a análise, investigação e identificação rápida da causa raiz de descobertas de segurança ou atividades suspeitas. Detective fornece ferramentas para apoiar o processo geral de investigação. Uma investigação no Detective pode começar com uma descoberta, um grupo de descoberta ou uma entidade.

Fases da investigação

Qualquer processo de investigação de Detective envolve as seguintes fases:

Triagem

O processo de investigação começa quando você é notificado sobre uma instância suspeita de atividade maliciosa ou de alto risco. Por exemplo, você está designado para analisar descobertas ou alertas descobertos por serviços como o Amazon GuardDuty e o Amazon Inspector.

Na fase de triagem, você determina se acredita que a atividade é realmente positiva (atividade maliciosa genuína) ou falsamente positiva (atividade não maliciosa ou de alto risco). Os perfis do Detective oferecem suporte ao processo de triagem, fornecendo informações sobre a atividade da entidade envolvida.

Para casos verdadeiramente positivos, você continua na próxima fase.

Definição do escopo

Durante a fase de definição do escopo, os analistas determinam a extensão da atividade maliciosa ou de alto risco e a causa subjacente.

A definição do escopo responde aos seguintes tipos de perguntas:

  • Quais sistemas e usuários foram comprometidos?

  • De onde o ataque se originou?

  • Há quanto tempo o ataque está acontecendo?

  • Há outra atividade relacionada a ser descoberta? Por exemplo, se um invasor estiver extraindo dados do seu sistema, como ele os obteve?

As visualizações do Detective podem ajudar você a identificar outras entidades envolvidas ou afetadas.

Resposta

A etapa final é responder ao ataque para interrompê-lo, minimizar os danos e evitar que um ataque semelhante aconteça novamente.

Pontos de partida para uma investigação de Detective

Cada investigação no Detective tem um ponto de partida essencial. Por exemplo, você pode receber uma Amazon GuardDuty ou uma AWS Security Hub descoberta para investigar. Ou você pode se preocupar com atividades incomuns em um endereço IP específico.

Os pontos de partida típicos de uma investigação incluem descobertas detectadas GuardDuty e entidades extraídas dos dados de origem do Detective.

Descobertas detectadas por GuardDuty

GuardDuty usa seus dados de registro para descobrir casos suspeitos de atividades maliciosas ou de alto risco. O Detective fornece recursos que ajudam você a investigar essas descobertas.

Para cada descoberta, o Detective fornece os detalhes da descoberta associada. Detective também mostra as entidades, como endereços IP e AWS contas, que estão conectadas à descoberta.

Em seguida, você pode explorar a atividade das entidades envolvidas para determinar se a atividade detectada na descoberta é um motivo genuíno de preocupação.

Para obter mais informações, consulte Visão geral da análise de uma descoberta.

AWS descobertas de segurança agregadas pelo Security Hub

AWS Security Hub agrega descobertas de segurança de vários provedores de descobertas em um único local e fornece uma visão abrangente do seu estado de segurança em AWS. O Security Hub elimina a complexidade de abordar grandes volumes de descobertas de vários provedores. Isso reduz o esforço necessário para gerenciar e melhorar a segurança de todas as suas AWS contas, recursos e cargas de trabalho. O Detective fornece recursos que ajudam você a investigar essas descobertas.

Para cada descoberta, o Detective fornece os detalhes da descoberta associada. Detective também mostra as entidades, como endereços IP e AWS contas, que estão conectadas à descoberta.

Para obter mais informações, consulte Visão geral da análise de uma descoberta.

Entidades extraídas dos dados de origem do Detective

Dos dados de origem do Detective ingeridos, o Detective extrai entidades como endereços IP e usuários da AWS . Você pode usar um deles como ponto de partida da investigação.

O Detective fornece detalhes gerais sobre a entidade, tais como endereço IP ou nome de usuário. Ele também fornece detalhes sobre o histórico de atividades. Por exemplo, o Detective pode relatar a quais outros endereços IP uma entidade se conectou, foi conectada ou usou.

Para obter mais informações, consulte Análise de entidades no Amazon Detective.

Fluxo de investigação do Amazon Detective

Você pode usar o Amazon Detective para investigar uma entidade, como uma EC2 instância ou um AWS usuário. Você também pode investigar as descobertas de segurança.

Em um alto nível, a imagem a seguir mostra o processo de uma Investigação de Detetive.

Diagrama que mostra o processo de Investigação de Detetives.
Etapa 1: selecione a entidade a ser investigada

Ao analisar uma descoberta GuardDuty, os analistas podem optar por investigar uma entidade associada em Detective. Consulte Navegando para um perfil de entidade ou encontrando uma visão geral da Amazon GuardDuty ou AWS Security Hub.

Selecionar a entidade leva você ao perfil da entidade no Detective.

Etapa 2: analise as visualizações nos perfis

Cada perfil de entidade contém um conjunto de visualizações que são geradas a partir do gráfico de comportamento. O gráfico de comportamento é criado a partir dos arquivos de log e outros dados que são inseridos no Detective.

As visualizações mostram atividades relacionadas a uma entidade. Você usa essas visualizações para responder perguntas e determinar se a atividade da entidade é incomum. Consulte Análise de entidades no Amazon Detective.

Para ajudar a orientar a investigação, você pode usar a orientação do Detective fornecida para cada visualização. A orientação descreve as informações exibidas, sugere perguntas para você fazer e propõe as próximas etapas com base nas respostas. Consulte Usar a orientação do painel de perfil durante uma investigação.

Cada perfil contém uma lista de descobertas associadas. Você pode visualizar os detalhes e a visão geral de uma descoberta. Consulte Visualizar detalhes das descobertas associadas.

A partir de um perfil de entidade, você pode ir para outro perfil de entidade e de descobertas para investigar mais sobre a atividade dos ativos relacionados.

Etapa 3: tome uma medida

Com base nos resultados da sua investigação, tome as medidas apropriadas.

Para uma descoberta que seja um falso positivo, será possível arquivá-la. No Detective, você pode arquivar GuardDuty as descobertas. Para obter mais detalhes, consulte Arquivamento de uma GuardDuty descoberta da Amazon.

Caso contrário, tome as medidas apropriadas para resolver a vulnerabilidade e mitigar os danos. Por exemplo, talvez seja necessário atualizar a configuração de um recurso.