Amazon Detective

分析和直观呈现安全数据,以快速找到潜在安全问题的根本原因

Amazon Detective 使您可以轻松分析、调查和快速确定潜在安全问题或可疑活动的根本原因。Amazon Detective 会自动从您的 AWS 资源中收集日志数据并使用机器学习、统计分析和图论来构建一组关联的数据,使您能够轻松地进行更快、更有效的安全调查。

可以使用 Amazon GuardDuty、Amazon Macie 和 AWS Security Hub 等 AWS 安全服务以及合作伙伴安全产品来确定潜在的安全问题或检测结果。如果发生问题,这些服务会非常有帮助,可以帮您需要修复的地方。但有些时候,您可能会遇到需要更深入地进行探究并分析更多信息,以隔离根本原因并采取措施的安全检测结果。确定安全检测结果根本原因的过程可能非常复杂,经常需要从许多单独的数据源收集并整合日志,使用提取、转换和加载 (ETL) 工具或自定义脚本来组织数据,然后需要由安全分析人员分析数据并开展漫长的调查。

Amazon Detective 使您的安全团队可以轻松开展调查并快速找到检测结果的根本原因,简化了此过程。Amazon Detective 可以分析来自多个数据源(例如 Virtual Private Cloud [VPC] 流日志、AWS CloudTrail 和 Amazon GuardDuty)的数万亿个事件,并自动创建资源、用户及其不同时间的交互情况的统一交互式视图。使用这种统一视图,您可以集中直观呈现所有详细信息和上下文,确定检测结果的基本原因、深入研究相关的历史活动,并快速确定根本原因。

只需在 AWS 控制台中单击几下,即可开始使用 Amazon Detective。没有要部署的软件,也没有要启用和维护的数据源。

优势

更快速高效的调查

Amazon Detective 提供了用户与资源在不同时间交互情况的统一视图,将所有上下文和详细信息汇集一处,可帮助您快速分析安全检测结果并找出根本原因。例如,可以在 Amazon Detective 中快速调查 Amazon GuardDuty 检测结果(如异常控制台登录 API 调用),详细了解不同时间的 API 调用趋势,以及用户登录尝试在地理位置地图上的分布情况。这些详细信息使您可以快速确定此类行为是合法行为,还是表明 AWS 资源已遭到入侵。 

通过持续的数据更新节省时间和精力

Amazon Detective 会自动处理有关 IP 流量、AWS 管理操作以及恶意或未经授权活动的 TB 级事件数据记录。它将数据整理到一个图形模型中,其中汇总了您的 AWS 上下文中安全方面的所有关系。然后,Amazon Detective 会查询此模型以创建调查中使用的可视化视图。从 AWS 资源获得新数据后,图形模型就会更新,让您可以花更少的时间管理不断变化的数据。

易于使用的可视化内容

Amazon Detective 会生成可视化内容,其中包含您调查和响应安全检测结果所需的信息。它可以帮助您回答诸如“这个角色 API 调用失败了这么多次是否正常?”或“此实例流量激增是否符合预期?”之类的问题,而无需整理任何数据,也不需要开发、配置或调整自己的查询和算法。Amazon Detective 最多可以将聚合数据保留一年,这些数据会指明选定时间范围内的活动类型和数量变化,并将这些变化与安全检测结果联系起来。

工作原理

Amazon Detective 的工作原理

使用案例

分类安全检测结果

分类通常是调查过程的第一阶段,用于确定检测结果是真正的安全问题还是误报。使用 Amazon Detective 直观视图,您可以查看与该检测结果相关的资源、IP 地址和 AWS 账户、相关检测结果以及与该检测结果在时间或位置上较为接近的活动,以快速确定该检测结果是实际的恶意活动还是误报。

事故调查

一些安全检测结果需要深入调查,以确定恶意活动的严重程度、影响和基本原因。当 AWS 安全服务(例如 Amazon GuardDuty)识别检测结果后,您可以转到 Amazon Detective,立即查看与检测结果有关的上下文和活动,深入研究相关历史活动以识别异常模式,并快速确定根本原因的性质和严重程度以及引发检测结果的活动。

威胁搜寻

威胁搜寻是一种主动分析,可以根据某些线索或假设来发现隐藏的威胁。Amazon Detective 使您能够专注于特定资源(例如 IP 地址、AWS 账户、VPC 和 EC2 实例),并提供与这些资源相关联的活动的详细可视化内容,从而帮助您进行威胁搜寻。Amazon Detective 通过提供基于时间的分析和深入研究、查看特定时间段内所有活动以及发现有悖标准情况的功能,来帮助您搜寻威胁。

阅读文档
阅读文档

阅读文档,了解有关 Amazon Detective 功能和实施的更多信息。

阅读文档 
注册 AWS 账户
注册免费账户

立即享受 AWS 免费套餐。 

注册 
注册预览版
开始使用 Amazon Detective

开始使用 Amazon Detective 进行构建。

开始使用