Amazon Detective 使您可以更轻松地分析、调查和快速确定潜在安全问题或可疑活动的根本原因。Amazon Detective 会自动从您的 AWS 资源中收集日志数据并使用机器学习、统计分析和图论来构建一组关联的数据,使您能够轻松地进行更快、更有效的安全调查。
Amazon Detective 可以分析来自多个数据来源的数万亿个事件,例如 Amazon Virtual Private Cloud(Amazon VPC)流日志、AWS CloudTrail 日志、Amazon Elastic Kubernetes Service(Amazon EKS)审计日志,以及来自 Amazon GuardDuty、AWS Security Hub 等多个服务的安全检测结果。Detective 会自动创建一个统一的交互视图,其中显示您的资源、用户及其在一段时间内的交互情况。使用这种统一视图,您可以集中直观呈现所有详细信息和上下文,确定检测结果的基本原因、深入研究相关的历史活动,并快速确定根本原因。
跨您的所有 AWS 账户自动收集数据
Amazon Detective 会自动从所有已启用的账户中提取并处理相关数据。您不必配置或启用任何数据来源。Amazon Detective 可以收集和分析来自诸如 AWS CloudTrail、Amazon VPC 流日志、Amazon EKS 审计日志、Amazon GuardDuty 检测结果、AWS Security Hub 检测结果和其他集成 AWS 安全性服务等数据来源的事件,并可将聚合数据保留长达一年以进行分析。
将不同的事件整合到图形模型中
Amazon Detective 可以分析来自各种数据类型的数万亿个事件,包括 IP 流量、AWS 管理操作以及潜在的恶意或未经授权活动。 Detective 使用机器学习、统计分析和图论构建图形模型,以构建用于安全调查的关联数据集。预先构建的图形模型包含安全相关的关系并提供上下文和行为见解,使您能够快速验证、比较和关联数据以得出结论。Amazon Detective 的可视化内容由图形模型提供支持,使您能够快速回答调查问题,而无需进行复杂的原始日志查询。例如,图形可以提供 IP 地址连接到 EC2 实例时的上下文和关系,也可以提供角色在特定时间段内执行的 API 调用。
通过交互式可视化内容来提高调查效率
Amazon Detective 使用生成式人工智能提供交互式可视化和见解,从而可以更快速、更彻底地调查问题且减少工作量。借助统一视图,您可以集中直观了解所有上下文和自然语言摘要,从而更轻松地识别可以验证或反驳安全问题的模式,同时更轻松地理解受安全检测结果影响的所有资源。使用这些可视化内容和简介,您可以更轻松地根据特定时间范围筛选大型事件数据集,并使用各种详细信息、上下文和指导来帮助您快速进行调查。Amazon Detective 使您可以按地理位置查看登录尝试、深入研究相关历史活动、快速确定根本原因,并在必要时采取措施来解决问题。
图表可视化向您显示单个安全事件的相关 AWS 安全检测结果以及受影响资源,例如 EC2 实例、IAM 角色和用户、S3 存储桶和 IP 地址。这些见解以自然语言描述安全事件期间发生的事件,以帮助您了解事件链。这可以帮助您快速、更轻松地调查异常或可疑活动。
API 调用总量显示特定时间段内成功和失败的调用,并将其与已建立的基准进行比较。这可以帮助您识别异常活动的模式并验证安全检测结果。
无缝集成助力调查安全检测结果
Amazon Detective 集成了 AWS 安全服务(例如 Amazon GuardDuty、AWS Security Hub 和 Amazon Inspector、Amazon Security Lake)以及 AWS 合作伙伴安全产品,有助于快速调查在这些服务中检测到的安全问题。使用这些集成服务中的单个步骤,您可转到 Amazon Detective,立即查看与检测结果相关的事件、深入研究相关的历史活动并调查问题。例如,根据 Amazon GuardDuty 的检测结果,您可以通过单击“在 Detective 中调查”来启动 Amazon Detective,这样可以即时了解所涉及资源的相关活动。在 Detective 中,您可以查询和检索存储在 Amazon Security Lake 中的日志源,而无需编写查询或离开 Detective 控制台。
为 Amazon GuardDuty 运行时系统监控提供安全调查支持
Amazon Detective 支持 GuardDuty ECS 和 EKS 运行时系统监控的安全调查,为新的威胁检测提供增强的可视化效果和其他上下文信息。您可以使用来自 GuardDuty 的运行时环境威胁检测功能和 Detective 的调查功能来改善对容器工作负载潜在威胁的检测和响应。Detective 支持对这些新检测结果进行调查,方法是将它们包括在检测结果组、可视化以及其他摘要中,以加快安全调查。
部署简单,无需提前集成数据来源或维护复杂配置
只需在 AWS 管理控制台中执行几个步骤,即可启用 Amazon Detective。无需部署软件,无需安装代理,无需维护复杂配置。也无需启用数据源,这意味着您不必承担数据源启用、数据传输和数据存储费用。