Veröffentlicht am: Sep 20, 2021
Amazon Detective erweitert die Unterstützung für Sicherheitsuntersuchungen für Amazon Simple Storage Service (S3) und DNS-bezogene Ergebnisse zu Amazon GuardDuty und bietet eine vollständige Abdeckung aller Erkennungen von GuardDuty. Darüber hinaus macht es Detective jetzt für einen Sicherheitsanalysten noch einfacher, Entitäten und Verhaltensweisen mit einer überarbeiteten Benutzererfahrung zu untersuchen.
Jetzt können Sicherheitsanalysten auf einfache Weise ungewöhnliche Aktivitäten in ihren S3-Buckets untersuchen und Fragen beantworten wie „Wer hat den S3-Bucket erstellt?“, „Wann wurde der S3-Bucket erstellt?“, „Wer hat den S3-Bucket veröffentlicht?“ und „Hat der Benutzer sensible APIs ausgeführt, z. B. die Protokollierung auf anderen S3-Buckets deaktiviert?“. Sie können auch Erkenntnisse über Domänennamen mit geringer Reputation (wie solche, die mit Kryptowährungsaktivitäten in Verbindung stehen) und algorithmisch generierte Domänen vertiefen. Auf diese Weise können Sicherheitsanalysten jetzt mit Detective die Ursache aller GuardDuty-Suchtypen einfach analysieren, untersuchen und schnell identifizieren.
Amazon Detective hat auch die vorhandenen Ressourcenprofilseiten verbessert, damit sich Kunden schneller auf die Aktivitäten konzentrieren können, die mit den beteiligten Entitäten für eine Suche verbunden sind. Die neue Ergebnisübersicht bietet umfassendere Details zu jedem Ergebnis und enthält Links zu den Profilen für jede beteiligte Entität. Analysten können dies nutzen, um besser zu verstehen, wie verschiedene Entitäten wie EC2-Instances, IAM-Prinzipale und IP-Adressen mit Ergebnissen verknüpft sind. So fasst Detective beispielsweise Aktivitäten auf S3-Bucket-Ebene und relevanten Untersuchungskontext aus bestehenden Datenquellen in einem S3-Bucket-Profil zusammen, um Untersuchungen zu unterstützen und Analysten die Möglichkeit zu geben, auf andere Ressourcen zuzugreifen, z. B. auf die IAM-Benutzer-/Rollen-Sitzungsressourcen, die auf den Bucket zugegriffen haben, oder auf die Remote-IP-Adresse, die innerhalb des Gültigkeitszeitraums APIs auf S3-Bucket-Ebene aufgerufen hat.
Sicherheitsanalysten, die bereits Detective für ihre Sicherheitsuntersuchungen verwenden, können die neuen Funktionen ohne zusätzliche Schritte aktivieren. Sie können auch die Option „In Detective untersuchen“ in GuardDuty und Security Hub verwenden, um zu Detective zu wechseln, um die neu unterstützten Ergebnisse weiter zu untersuchen. Weitere Informationen zum Wechsel von GuardDuty und Security Hub zu Detective finden Sie im Detective-Benutzerhandbuch.
Amazon Detective vereinfacht das Analysieren, Untersuchen und schnelle Identifizieren der Ursache von potenziellen Sicherheitsgefährdungen. Zum Einstieg können Sie eine kostenlose 30-Tage-Testversion von Amazon Detective mit nur wenigen Klicks in der AWS-Managementkonsole aktivieren. Auf der Seite AWS-Regionen finden Sie einen Überblick über die Regionen, in denen Detective verfügbar ist. Weitere Informationen entnehmen Sie bitte der Amazon Detective-Produktseite.