发布于: Sep 17, 2020
Amazon Detective 现在可以分析 IAM 角色会话,以便您能够可视化并了解用户和应用程序使用所代入角色执行的操作。通过此新功能,Detective 使您能够在完全无需手动分析 CloudTrail 日志的情况下解答以下问题:“哪个联合身份用户调用了与安全发现相关的 API?”,“用户在一系列角色代入中调用了哪些 API?”,“EC2 实例执行了哪项 API 活动?”,以及“我的哪些使用使用此跨账户角色?”。通过提供这些问题的答案,Detective 可帮助安全分析师诊断问题并了解问题的根本原因。
启用此功能后,Detective 可自动并且成本高效地处理来自客户启用的账户的所有 VPC 流量记录和 CloudTrail 管理事件,并整理关于 IAM 角色在角色会话中所执行的活动的数据。每个角色会话都会将代入该角色的主体、所代入的角色、关于会话的元数据,以及所执行的 API 活动联系在一起。跟踪其角色会话活动的角色代入主体包括 EC2 实例、其他角色、IAM 用户以及联合身份用户。联合身份用户包括使用 AWS Single Sign-on (SSO)、AWS IAM、AWS Directory Service 或 Amazon Cognito 访问 AWS 的那些用户,Amazon Cognito 是一种可帮助通过社交身份提供程序和其他 SAML 2.0 身份提供程序进行访问的服务。分析师可以检索角色会话的详细信息,并查看、筛选和了解与之相关的 API 活动。Detective 还可以直观地展示每个角色会话中角色的主体使用情况偏差,从而允许分析师快速识别新的访问地理位置或 API 调用模式的变化。Detective 可以跟踪角色链,即,将角色用于代入第二个角色时,允许分析师跟踪一系列代入角色,并将代入角色与所涉及的主体对应起来。Detective 会将数据保留 12 个月,允许您轻松调查历史活动。
Detective 的新角色会话分析功能将帮助您在安全调查期间确定 API 调用来自于哪个特定主体,并帮助您了解 IAM 角色在启用的账户中的使用情况。Amazon Detective 可帮助您完成一些繁重的工作,并直接帮助您快速回答调查问题,从而避免您使用客户或第三方工具导出、存储和分析 CloudTrail 活动的麻烦。现在在所有支持 Detective 的区域都提供 IAM 角色会话分析,并且不收取任何额外费用。
Amazon Detective 使您可以轻松分析、调查和快速确定潜在安全问题的根本原因。要开始使用,只需在 AWS 管理控制台中单击几下即可启免费试用 Amazon Detective 30 天。有关已推出 Detective 的所有区域,请参阅 AWS 区域页面。要了解更多信息,请访问 Amazon Detective 产品页面。