发布于: Sep 7, 2021
Amazon Detective 与 Splunk Sumpet 项目合作,发布了将 Splunk 中的 Amazon GuardDuty 调查结果直接转至 Amazon Detective 实体配置文件的功能,以便客户能够快速识别潜在安全问题或可疑活动的根本原因。
通过从 Splunk 快速转变为 Amazon Detective,这项新功能可帮助安全和运营团队简化安全分析。您不再需要复制和粘贴 URL 或在 Detective 中搜索所需资源。相反,在您专注于快速回答调查问题时,Amazon Detective 可以处理繁重的工作。例如,Amazon Detective 可以帮助您回答问题,例如“我正在 Splunk 中调查的 IP 地址与我 AWS 账户中的资源已交互多长时间”、“此 IP 地址已与我的哪些 EC2 实例通信?”、“此 IP 地址交换了多少数据量”、“通信发生在哪些端口上?”或“哪些用户和角色从此 IP 地址调用了 API 操作?”。
新的 Amazon Detective 集成功能现已作为 Splunk Trumpet 项目的一部分,在支持 Amazon Detective 的所有区域提供。这种集成是 Lambda 预处理器的补充功能,它可将 GuardDuty 调查结果发送到 Splunk。更新后的代码接收 Amazon GuardDuty 调查结果的输入记录,并分析内容以生成适当的 Amazon Detective URL 作为 Splunk 中的其他字段。Splunk 生成的 URL 使用配置文件 URL 的格式,如 Amazon Detective 用户指南的使用 URL 直接导航到配置文件中所述。以下是 EC2 实例的 URL 示例:(https://console.aws.amazon.com/detective/home?region=us-east-1#entities/Ec2Instance/i-0149bf6226265a199?scopeStart=1624674429&scopeEnd=1626473483)。
按照以下说明完成 Splunk 与 AWS 的 初始集成:将 AWS 数据自动提取到 Splunk。在 Splunk Trumpet 项目安装页面,从 AWS CloudWatch Events 下拉菜单中选择 Detective GuardDuty URL。
Amazon Detective 使您可以轻松分析、调查和快速确定潜在安全问题的根本原因。要开始使用,只需在 AWS 管理控制台中单击几下即可开始免费试用 Amazon Detective 30 天。有关已推出 Detective 的所有区域,请参阅 AWS 区域页面。要了解更多信息,请访问 Amazon Detective 产品页面。