Veröffentlicht am: Sep 7, 2021
Amazon Detective hat in Abstimmung mit dem Splunk-Trumpet-Projekt die Möglichkeit freigegeben, von einem Amazon-GuardDuty-Ergebnis in Splunk direkt zu einem Amazon-Detective-Entitätsprofil zu wechseln, damit Kunden die Ursache potenzieller Sicherheitsprobleme oder verdächtiger Aktivitäten schnell identifizieren können.
Diese neue Funktion vereinfacht die Sicherheitsanalyse für Ihre Sicherheits- und Betriebsteams, indem sie einen schnellen Richtungswechsel von Splunk zu Amazon Detective ermöglicht. Sie müssen keine URLs mehr kopieren und einfügen oder in Detective nach der gewünschten Ressource suchen. Stattdessen kann Amazon Detective die schwere Arbeit übernehmen, während Sie sich darauf konzentrieren, Ermittlungsfragen schnell zu beantworten. Amazon Detective kann Ihnen beispielsweise bei der Beantwortung von Fragen helfen wie: „Wie lange interagiert diese IP-Adresse, die ich in Splunk untersuche, mit den Ressourcen in meinen AWS-Konten?“, „Mit welcher meiner EC2-Instances hat diese IP-Adresse kommuniziert?“, „Welche Datenmengen wurden mit dieser IP-Adresse ausgetauscht?“, „Über welche Ports erfolgte die Kommunikation?“ oder „Welche Benutzer und Rollen haben API-Operationen von dieser IP-Adresse aus aufgerufen?“
Die neue Amazon-Detective-Integration ist ab sofort als Teil des Splunk-Trumpet-Projekts in allen Regionen verfügbar, in denen Amazon Detective unterstützt wird. Diese Integration ist eine Ergänzung zum Lambda-Vorprozessor, der GuardDuty-Ergebnisse an Splunk sendet. Der aktualisierte Code empfängt die Eingabedatensätze für Amazon-GuardDuty-Ergebnisse und parst den Inhalt, um die entsprechenden Amazon-Detective-URLs als zusätzliche Felder in Splunk zu generieren. Die von Splunk generierten URLs verwenden das Format für Profil-URLs, das unter Direkte Navigation zu einem Profil mithilfe einer URL im Amazon-Detective-Benutzerhandbuch beschrieben wird. Hier ist eine Beispiel-URL für eine EC2-Instance: (https://console.aws.amazon.com/detective/home?region=us-east-1#entities/Ec2Instance/i-0149bf6226265a199?scopeStart=1624674429&scopeEnd=1626473483).
Befolgen Sie die folgenden Anweisungen, um die anfängliche Splunk-Integration mit AWS abzuschließen: Automatisieren der AWS-Datenerfassung in Splunk. Wählen Sie auf der Installationsseite des Splunk-Trumpet-Projekts Detective GuardDuty URLs aus der Dropdown-Liste AWS CloudWatch Events aus.
Amazon Detective vereinfacht das Analysieren, Untersuchen und schnelle Identifizieren der Ursache von potenziellen Sicherheitsgefährdungen. Zum Einstieg können Sie eine kostenlose 30-Tage-Testversion von Amazon Detective mit nur wenigen Klicks in der AWS-Managementkonsole aktivieren. Auf der Seite AWS-Regionen finden Sie einen Überblick über die Regionen, in denen Detective verfügbar ist. Weitere Informationen entnehmen Sie bitte der Amazon Detective-Produktseite.