跳至主要内容

Amazon Detective 文档

Amazon Detective 可以分析、调查和确定潜在安全问题或可疑活动的根本原因。Amazon Detective 会从您的 AWS 资源中收集日志数据,并使用机器学习、统计分析和图论来构建一组关联的数据,以便帮助您执行更快速、更高效的安全调查。Amazon Detective 可以分析来自多个数据来源的事件,这些来源包括 Amazon Virtual Private Cloud(Amazon VPC)流日志、AWS CloudTrail 日志、Amazon Elastic Kubernetes Service(Amazon EKS)审核日志,还能分析来自 Amazon GuardDuty、AWS Security Hub 等多种服务的安全检测结果。Detective 会创建一个统一的交互视图,其中显示您的资源、用户及其在一段时间内的交互情况。使用这种统一视图,您可以集中呈现相关的详细信息和上下文,以便帮助确定检测结果的深层原因、深入研究相关的历史活动,并快速确定根本原因。

在您的所有 AWS 账户中收集数据

Amazon Detective 会从已启用的账户中摄取并处理相关数据。Amazon Detective 可以收集并分析来自 AWS CloudTrail 日志、Amazon VPC 流日志、Amazon EKS 审核日志、Amazon GuardDuty 检测结果、AWS Security Hub 检测结果以及其他集成式 AWS 安全服务等数据来源的事件,并将聚合的数据保留长达一年的时间以供分析。

将不同的事件整合到图形模型中

Amazon Detective 可以分析来自各种数据类型的事件,这些事件包括 IP 流量、AWS 管理操作以及可能恶意或未经授权的活动。Detective 使用机器学习、统计分析和图论构建图形模型,以构建用于安全调查的关联数据集。预先构建的图形模型包含安全相关的关系并提供上下文和行为洞察,可以帮助您快速验证、比较和关联数据以便得出结论。Amazon Detective 的可视化内容由图形模型提供支持,可以帮助您回答调查问题,而无需进行复杂的原始日志查询。例如,图形可以提供 IP 地址连接到 EC2 实例时的上下文和关系,也可以提供角色在特定时间段内进行的 API 调用。

交互式可视化

Amazon Detective 可以分析来自多个独立数据来源的事件,以便构造图形模型。这些事件涉及 IP 流量、AWS 管理操作以及恶意或未经授权的活动。图形模型可以使用机器学习、统计分析和图论来蒸馏日志数据,以便构建一组用于进行安全调查的关联数据。还使用与安全相关的关系预先构建了图形模型,图形模型汇总了上下文和行为洞察,可以帮助您快速验证、比较和关联这些数据以便得出结论。Amazon Detective 的可视化内容由图形模型提供支持,可以帮助您回答调查问题,而无需进行复杂的原始日志查询。例如,图形可以提供 IP 地址连接到 EC2 实例时的上下文和关系,也可以提供角色在特定时间段内发出的 API 调用。

Amazon Detective 地理位置地图可以向您显示来自新观察到(先前未观察到)的位置的活动。这样可以帮助您识别异常活动,并调查它是合法还是可疑的活动。

API 调用总量会显示特定时间段内成功和失败的调用,并将它们与既定的基准进行比较。这样可以帮助您识别异常活动的模式,并验证安全检测结果。

集成助力调查安全检测结果

Amazon Detective 集成了多种 AWS 安全服务(例如 Amazon GuardDuty 和 AWS Security Hub)以及 AWS 合作伙伴安全产品,以便帮助您调查在这些服务中检测到的安全问题。使用这些集成式服务,您可以转到 Amazon Detective,以便查看与检测结果相关的事件、深入研究相关的历史活动并调查问题。例如,从 Amazon GuardDuty 检测结果中,您可以通过单击“在 Detective 中调查”来启动 Amazon Detective,并审查对相关资源的相关活动的洞察,从而为您提供详细信息和上下文,以便帮助您确定检测结果是否反映了实际的可疑活动。

为 Amazon GuardDuty 运行时系统监控提供安全调查支持

Amazon Detective 支持 GuardDuty ECS 和 EKS 运行时系统监控的安全调查,为新的威胁检测提供增强的可视化效果和其他上下文信息。您可以使用来自 GuardDuty 的运行时环境威胁检测功能和 Detective 的调查功能来改善对容器工作负载潜在威胁的检测和响应。Detective 支持对这些新检测结果进行调查,方法是将它们包括在检测结果组、可视化以及其他摘要中,以加快安全调查。

无需提前集成数据来源或维护复杂的配置,即可进行部署

您可以通过 AWS 管理控制台来启用 Amazon Detective。无需部署软件,无需安装代理,无需维护复杂配置。也无需启用任何数据来源。 

其他信息

有关服务控制、安全特征和功能的更多信息,包括有关存储、检索、修改、限制和删除数据的信息(如适用),请参阅 https://docs.aws.amazon.com/index.html。对于 http://aws.amazon.com/agreement 上的《AWS 客户协议》或者您与 AWS 之间签订的用于管理您使用 AWS 服务的其他协议而言,这些其他信息并不构成此文档的一部分。