亚马逊AWS官方博客
Amazon Detective – 快速安全性调查和分析
接近五年前,我的一篇博文介绍了一个解决方案,该解决方案会自动分析 AWS CloudTrail 数据,以生成有关敏感的 API 使用量的提醒。这是有关安全分析和自动化的一个简单基本解决方案。但高要求的 AWS 客户会拥有多个 AWS 账户,从多个来源采集数据,基于正则表达式的简单搜索无法满足对可疑的安全相关事件开展深入分析的需要。如今,当检测到安全问题(例如凭证泄漏或资源被未经授权访问)时,安全分析师会交叉分析多个数据日志,以了解问题的根本原因及其对环境的影响。深入分析往往需要编写脚本和 ETL 以在多个孤立系统生成的数据之间建立连接。这将需要经验丰富的数据工程师来回答一些基本的问题,例如“这正常吗?”。分析师使用安全信息和事件管理 (SIEM) 工具、第三方库和数据可视化工具来验证、比较和关联数据,从而得出结论。让问题进一步复杂化的是,新 AWS 账户和新应用程序不断推出,导致分析师需要持续重新确定正常行为的基线,每次评估新的安全问题时都需要了解活动的新模式。
Amazon Detective 是一款完全托管的服务,它让用户能够将处理大量 AWS 日志数据的繁重工作自动化,轻松确定安全问题的根源和影响。启用 Detective 后,它会自动开始提取来自 AWS Guard Duty、AWS CloudTrail 和 Amazon Virtual Private Cloud 流日志的数据,然后以图形模型的方式组织这些数据,总结概括在您的整个 AWS 环境中观察到的资源行为和交互。
在 re:invent 2019 大会上,我们宣布推出 Amazon Detective 预览版。今天,我们欣然宣布此服务已对所有 AWS 客户开放。
Amazon Detective 使用机器学习模型来生成代表账户行为的图形,帮助您回答“此 API 调用对于此角色是否异常?”或者“来自此实例的流量突增是否符合预期?”等问题。您不需要编写任何代码,也不要配置或优化自己的查询。
为了开始使用 Amazon Detective,我打开了 AWS 管理控制台,在搜索栏中键入“detective”,然后从提供的结果中选择 Amazon Detective 以启动此服务。启用此服务后,我根据控制台的提示配置了要进行监控的“成员”账户以及要用于聚合数据的“主”账户。完成这些一次性的设置后,Amazon Detective 将立即开始分析 AWS 遥测数据,并且我将在分钟内即可访问一组图形界面,从中可以总览我的 AWS 资源及其相关行为(例如登录、API 调用和网络流量)。我从 Amazon Detective 搜索栏搜索某个检测结果或资源,并且我很快就能以图形方式查看一组指标的基线和当前值。
我选择了资源类型和 ID,然后开始浏览各种图形。
我还可以借助 Guard Duty 和 AWS Security Hub 控制台中的原生集成来调查 AWS Guard Duty 检测结果。我单击任何 AWS Guard Duty 检查结果中的“调查”链接,将直接跳转至 Amazon Detective 控制台,其中将提供相关详细信息、上下文以及有关问题调查和响应的指导意见。在下例中,Guard Duty 报告了一起未经授权的访问,我决定对此开展调查:
我项下翻滚页面以选中有关失败的 API 调用的图形。我单击图中的竖条以获取详细信息,例如发起调用的 IP 地址:
获得源 IP 地址后,我单击新行为: AWS 角色并观察这些调用的来源位置,从而与自动发现的基线进行比较。
Amazon Detective 是一种多账户解决方案,它会跨 AWS 账户进行调查,最高可将 1000 个 AWS 账户的数据和检测结果聚合到单个安全部门拥有的“主”账户中,从而方便查看您的整个 AWS 环境的行为模式和连接。
使用此服务无需部署任何代理、传感器或额外的软件。Amazon Detective 可以检索、聚合和分析来自 AWS Guard Duty、AWS CloudTrail 和 Amazon Virtual Private Cloud 流日志的数据。Amazon Detective 直接从 AWS 采集现有的日志,无需触及您的基础设施,因此对成本或性能无任何影响。
Amazon Detective 可以通过 AWS 管理控制台或 the Amazon Detective 管理 API 进行管理。借助管理 API,您可以将 Amazon Detective 嵌入您的标准账户注册、启用和部署流程。
Amazon Detective 是一项区域性的服务。我在需要分析检测结果的每个 AWS 区域都启用了此服务。所有数据都在生成相关数据的 AWS 区域处理。 Amazon Detective 以行为图的方式保存数据分析和日志摘要,从提取日志之日起滚动保存 1 年,从而方便对长时期的大型数据集进行可视化分析和深入探索。在我禁用此服务时,所有数据都将被删除,以确保不会留下任何数据。
使用 Amazon Detective 服务不会产生额外的费用,也无需预先承诺。我们将根据从 AWS CloudTrail、Amazon Virtual Private Cloud 流日志和 AWS Guard Duty 检测结果中提取的数据量按 GB 收费。Amazon Detective 提供 30 天免费试用。与以往一样,请查看定价页面以了解详细信息。
Amazon Detective 现已在除中国以外的所有 AWS 商业区域开放。您可以立即开始使用。