Veröffentlicht am: Jan 22, 2021
Amazon GuardDuty hat Amazon Detective-Hyperlink-Pivots hinzugefügt, um es noch einfacher zu machen, von einem GuardDuty-Sicherheitsbefund in eine vorausgefüllte Amazon Detective-Untersuchung zu springen.
Amazon GuardDuty überwacht kontinuierlich auf bösartiges oder nicht autorisiertes Verhalten und generiert bei Erkennung eines solchen Verhaltens Sicherheitsergebnisse, die Details über die beteiligten Ressourcen, Benutzer, IPs, Domänen und Akteure enthalten. Amazon Detective ergänzt Amazon GuardDuty, indem es Protokoll- und Ereignisdaten aus Quellen wie AWS CloudTrail und Amazon Virtual Private Cloud (VPC) Flow Logs in einem analytikgesteuerten Graphenmodell organisiert und beibehält, das Ressourcen, Benutzerverhalten und zugehörige Interaktionen zusammenfasst, die über die aktivierten Konten eines Kunden bis zu den letzten 12 Monaten beobachtet wurden. Detective nutzt diese Daten, um maßgeschneiderte Visualisierungen zu erstellen, die die Arbeitslast und das Benutzerverhalten zusammenfassen, um Kunden bei der Beantwortung von Fragen zu helfen, wie z. B. "An welcher Netzwerkaktivität war dieser EC2 beteiligt?" oder "Welcher föderierte Benutzer hat APIs aufgerufen, die mit diesem Sicherheitsbefund in Verbindung stehen?", ohne dass sie irgendwelche Daten organisieren oder eigene Abfragen und Algorithmen entwickeln, konfigurieren oder abstimmen müssen. Diese Visualisierungen liefern die Details, den Kontext und die Anleitungen, mit denen Sicherheitsanalysten schnell die Art und das Ausmaß der von Amazon GuardDuty oder ähnlichen Sicherheitslösungen identifizierten Probleme bestimmen können.
Kunden können von der GuardDuty-Konsole zur Detective-Konsole schwenken, indem sie einen Fund oder eine mit dem Fund verknüpfte Ressource wie eine EC2-Instance, ein AWS-Konto, einen IAM-Benutzer oder eine IP-Adresse als Ausgangspunkt verwenden. Detective liefert dann visuelle Zusammenfassungen und Details der API- und Netzwerkaktivitäten, die zur Erkennung der Bedrohung durch GuardDuty geführt haben. Nach erfolgreicher Lösung kann der Fund in Detective archiviert werden, was dazu führt, dass der Fund auch in GuardDuty archiviert wird. Weitere Informationen finden Sie in der Amazon GuardDuty-Integration mit Amazon Detective User Guide.
Amazon GuardDuty bietet eine 30-tägige kostenlose Testphase an, um den Service ohne Kosten und Verpflichtungen zu testen. Während dieses Zeitraums werden die geschätzten Kosten des Dienstes nach der kostenlosen Nutzung berechnet und in der GuardDuty-Konsole angezeigt, um eine einfache Bewertung der Dienstausgaben über alle aktivierten Konten hinweg zu ermöglichen, bevor der Übergang zur bezahlten Nutzung erfolgt. In ähnlicher Weise bietet Amazon Detective eine 30-tägige kostenlose Testphase mit geschätzten Kosten, die in der Detective-Konsole angezeigt werden. Beide können unabhängig voneinander oder zusammen mit diesen kostenlosen Testangeboten evaluiert werden. Um loszulegen, können Sie eines oder beide mit ein paar Klicks in der AWS Management Console aktivieren. Auf der Seite AWS-Regionen finden Sie alle Regionen, in denen GuardDuty und Detective verfügbar sind.