亚马逊AWS官方博客

新增功能 — 使用 Amazon Detective 简化对 AWS 安全调查发现的调查

通过 Amazon Detective,您可以分析和可视化安全数据,以调查潜在的安全问题。Detective 从 AWS CloudTrail 日志、Amazon Virtual Private Cloud (Amazon VPC)流日志Amazon GuardDuty 调查发现以及自去年以来的 Amazon Elastic Kubernetes Service (EKS) 审计日志中收集和分析用于描述 IP 流量、AWS 管理操作以及恶意或未经授权活动的事件。Detective 使用这些数据构造一个图形模型,该模型使用机器学习、统计分析和图论提炼日志数据,为您的安全调查构建一组关联数据。

从今天开始,除了 GuardDuty 检测到的调查发现外,Detective 还为 AWS Security Hub 中的调查发现提供调查支持。通过 Security Hub 服务可查看 AWS 中的安全状态,并帮助您根据安全行业标准和最佳实践检查您的环境。如果已打开了 Security Hub 和其他集成的 AWS 安全服务,将开始向 Security Hub 发送调查发现。

有了这项新功能,可以更轻松地使用 Detective 来确定 AWS Identity and Access Management (AWS IAM) Access AnalyzerAmazon InspectorAmazon Macie 等新来源提供的调查发现的原因以及这些调查发现带来的影响。现在支持向安全中心发送调查发现的所有 AWS 服务

我们来看看该方法的实际应用。

在 Amazon Detective 控制台中启用 AWS 安全调查发现
首次启用 Detective 时,它可以识别 GuardDuty 和 Security Hub 提供的调查发现,并自动开始将这些调查发现与其他数据来源一起引入。请注意,Detective 无需启用或发布这些日志源即可开始分析,因为这是由 Detective 直接管理。

如果您是 Detective 的现有客户,只需在 Detective 管理控制台中单击一下即可将 AWS 安全调查发现作为数据来源进行调查。已启用 Detective,因此添加了源包。

Detective 控制台导航窗格的“设置”部分中,选择“常规”。在“可选源包”部分中选择“编辑”以启用用于 AWS 安全调查发现的 Detective

控制台屏幕截图。

启用后,Detective 将开始分析所有相关数据,以确定不同事件和活动之间的联系。可以对这些联系进行可视化,包括资源行为和活动,以便开始调查流程。历史基线在两周后建立,您可以使用它与最近的活动进行比较。

在 Amazon Detective 控制台中调查 AWS 安全调查发现
首先从 Security Hub 控制台开始,然后在导航窗格中选择“调查发现”。在此处,对调查发现进行筛选,筛选至只显示产品名称Inspector严重等级标签HIGH 的调查发现。

控制台屏幕截图。

第一个有些可疑,因此我选择了其“标题”(CVE-2020-36223 — openldap)。Security Hub 控制台提供了有关相应的常见漏洞和暴露 (CVE) ID 及其发现地点和发现方式的信息。在底部,可以选择“在 Amazon Detective 中进行调查”。点击调查发现链接,Detective 控制台在另一个浏览器选项卡中打开。

控制台屏幕截图。

在此处,查看到了与 Inspector 的调查发现相关的实体。首先,打开 AWS 账户的配置文件,查看与该资源相关的所有调查发现、该资源发出的 API 整体调用量以及该账户中的容器集群。

例如,查看成功和失败的 API 调用,以便更好地了解这一调查发现带来的影响。

控制台屏幕截图。

然后,打开容器映像的配置文件。在此,查看到与此映像相关的图像(因为它们与该映像具有相同的存储库或注册表)、在作用域(由 Amazon EKS 管理)内从该映像运行的容器以及与该资源相关的调查发现。

根据调查发现,Detective 可关联不同源提供的信息,例如 CloudTrail 日志、VPC 流日志和 EKS 审计日志。这些信息便于更好地了解调查发现带来的影响以及风险是否已成为事件。对于 Security Hub,Detective 仅引入未通过配置检查的调查发现。由于通过的配置检查几乎没有安全价值,因此我们正在筛选掉这些检查。

可用性和定价
现在所有提供 Detective 的 AWS 区域(包括 AWS GovCloud(美国)区域)中的所有现有和新 Detective 客户均可使用
Amazon Detective 对 AWS 安全调查发现的调查支持。有关更多信息,请参阅 AWS 区域服务列表

Amazon Detective 是根据引入的数据量来定价。通过启用对 AWS 安全调查发现的调查,您可以增加引入的数据量。有关更多信息,请参阅 Amazon Detective 定价

GuardDuty 和 Security Hub 提供调查发现的同时,也会提出补救建议。最重要的是,Detective 可帮助调查该漏洞是否已被利用,例如,使用日志和网络流量作为证据。

目前,Security Hub 提供的调查结果不包含在 Detective 控制台的“调查发现群组”部分中。我们的计划是扩大调查发现群组,从而涵盖新集成的 AWS 安全服务。请随时关注!

开始使用 Amazon Detective 调查潜在的安全问题。

Danilo