Amazon Detective 使您可以更轻松地分析、调查和快速确定潜在安全问题或可疑活动的根本原因。Amazon Detective 会自动从您的 AWS 资源中收集日志数据并使用机器学习、统计分析和图论来构建一组关联的数据,使您能够轻松地进行更快、更有效的安全调查。
Amazon Detective 可以分析来自多个数据来源的数万亿个事件,例如 Amazon Virtual Private Cloud(Amazon VPC)流日志、AWS CloudTrail 日志、Amazon Elastic Kubernetes Service(Amazon EKS)审计日志,以及来自 Amazon GuardDuty、AWS Security Hub 等多个服务的安全检测结果。Detective 会自动创建一个统一的交互视图,其中显示您的资源、用户及其在一段时间内的交互情况。使用这种统一视图,您可以集中直观呈现所有详细信息和上下文,确定检测结果的基本原因、深入研究相关的历史活动,并快速确定根本原因。
跨您的所有 AWS 账户自动收集数据
Amazon Detective 会自动从所有已启用的账户中提取并处理相关数据。您不必配置或启用任何数据来源。Amazon Detective 可以收集和分析来自诸如 AWS CloudTrail、Amazon VPC 流日志、Amazon EKS 审计日志、Amazon GuardDuty 检测结果、AWS Security Hub 检测结果和其他集成 AWS 安全性服务等数据来源的事件,并可将聚合数据保留长达一年以进行分析。
将不同的事件整合到图形模型中
Amazon Detective 可以分析来自许多不同数据源的数万亿个事件(这些事件涉及 IP 流量、AWS 管理操作以及恶意或未经授权活动),并构建图形模型,以使用机器学习、统计分析和图论来提炼日志数据来构建一组关联的数据,用于安全调查。图形模型使用与安全相关的关系预先构建并汇总了上下文和行为见解,使您能够快速验证、比较和关联数据以得出结论。Amazon Detective 的可视化内容由图形模型提供支持,使您能够快速回答调查问题,而无需进行复杂的原始日志查询。例如,图形可以提供 IP 地址连接到 EC2 实例时的上下文和关系,也可以提供角色在特定时间段内发出的 API 调用。
通过交互式可视化内容来提高调查效率
Amazon Detective 提供交互式可视化内容,使您可以更轻松快速、更彻底地调查问题。借助统一视图,您可以集中直观了解所有上下文和详细信息,从而更轻松地识别可以验证或反驳安全问题的模式,同时更轻松地理解受安全检测结果影响的所有资源。使用这些可视化内容,您可以轻松根据特定时间范围筛选大型事件数据集,并使用各种详细信息、上下文和指导来帮助您快速进行调查。Amazon Detective 使您可以在地理位置地图上查看登录尝试、深入研究相关历史活动、快速确定根本原因,并在必要时采取措施来解决问题。
图表可视化向您显示单个安全事件的相关 AWS Security 检测结果以及受影响资源,例如 EC2 实例、IAM 角色和用户、S3 存储桶和 IP 地址。这可以帮助您调查异常或可疑的活动。
API 调用总量显示特定时间段内成功和失败的调用,并将其与已建立的基准进行比较。这可以帮助您识别异常活动的模式并验证安全检测结果。
无缝集成助力调查安全检测结果
Amazon Detective 集成了 AWS 安全服务(例如 Amazon GuardDuty、AWS Security Hub 和 Amazon Inspector)以及 AWS 合作伙伴安全产品,有助于快速调查在这些服务中检测到的安全问题。只需在这些集成的服务中单击一下,即可转到 Amazon Detective,立即查看与检测结果相关的事件、深入研究相关的历史活动并调查问题。例如,从 Amazon GuardDuty 检测结果中,您可以通过单击“在 Detective 中调查”来启动 Amazon Detective,获得对所涉及资源的相关活动的即时见解,从而为您提供详细信息和上下文,快速确定检测结果是否反映了实际的可疑活动。
部署简单,无需提前集成数据来源或维护复杂配置
只需在 AWS 管理控制台中单击几下,即可启用 Amazon Detective。无需部署软件,无需安装代理,无需维护复杂配置。也无需启用数据源,这意味着您不必承担数据源启用、数据传输和数据存储费用。
