Amazon Detective

Analysieren und visualisieren Sie Sicherheitsdaten, um die Ursache potenzieller Sicherheitsprobleme schnell zu ermitteln.

Amazon Detective vereinfacht das Analysieren, Untersuchen und schnelle Identifizieren der Ursache von potentiellen Sicherheitsgefährdungen oder verdächtigen Aktivitäten. Amazon Detective erfasst automatisch Protokolldaten aus Ihren AWS-Ressourcen und erstellt mithilfe von maschinellem Lernen, statistischer Analyse und Diagrammtheorie einen verknüpften Datensatz, mit dem Sie schnellere und effizientere Sicherheitsüberprüfungen durchführen können.

AWS-Sicherheitsdienste wie Amazon GuardDuty, Amazon Macie und AWS Security Hub sowie Partner-Sicherheitsprodukte können verwendet werden, um potenzielle Sicherheitsprobleme oder -befunde zu identifizieren. Diese Dienste sind sehr hilfreich, um Sie zu benachrichtigen, wenn etwas nicht in Ordnung ist, und um aufzuzeigen, wo Sie das Problem beheben können. Manchmal gibt es jedoch Sicherheitsbefunde, bei denen Sie einen tieferen Einblick benötigen und mehr Informationen analysieren müssen, um die Ursache zu lokalisieren und Maßnahmen zu ergreifen. Das Ermitteln der Ursache für Sicherheitsbefunde kann ein komplexer Prozess sein, der häufig das Sammeln und Kombinieren von Protokollen aus vielen verschiedenen Datenquellen mit ETL-Tools (Extrahieren, Transformieren und Laden) oder benutzerdefinierten Skripts zum Organisieren der Daten erfordert. Daraufhin müssen Sicherheitsanalysten diese Daten analysieren und langwierige Untersuchungen durchführen.

Amazon Detective vereinfacht diesen Prozess, indem es Ihren Sicherheitsteams ermöglicht, leicht zu ermitteln und schnell die Ursache eines Befundes zu finden. Amazon Detective kann Billionen von Ereignissen aus mehreren Datenquellen analysieren, z. B. aus VPC-Flow-Protokollen (Virtual Private Cloud), AWS CloudTrail und Amazon GuardDuty, und erstellt automatisch eine einheitliche, interaktive Ansicht Ihrer Ressourcen, Benutzer und der Interaktionen zwischen diesen über einen Zeitraum. Mit dieser einheitlichen Ansicht können Sie alle Details und den Kontext an einem Ort visualisieren, um die zugrunde liegenden Gründe für die Befunde zu identifizieren, relevante historische Aktivitäten aufzuspüren und die Ursache schnell zu ermitteln.

Sie können mit nur wenigen Mausklicks in der AWS-Konsole mit Amazon Detective beginnen. Es muss keine Software bereitgestellt oder Datenquellen aktiviert und verwaltet werden.

Vorteile

Schnellere und effektivere Untersuchungen

Amazon Detective bietet im Laufe der Zeit eine einheitliche Ansicht der Benutzer- und Ressourceninteraktionen mit allen Zusammenhängen und Details an einem Ort, damit Sie schnell analysieren und die Ursache eines Sicherheitsbefundes finden können. Beispielsweise kann ein Amazon GuardDuty-Befund wie ein ungewöhnlicher Konsolen-Login-API-Aufruf in Amazon Detective schnell untersucht werden. Dabei werden Details zu den API-Aufruftrends im Zeitverlauf und Anmeldeversuchen von Benutzern auf einer Geolocation-Karte angezeigt. Mithilfe dieser Details können Sie schnell feststellen, ob Sie dies für legitim halten oder ob es auf eine gefährdete AWS-Ressource hinweist. 

Sparen Sie Zeit und Mühe mit kontinuierlichen Datenaktualisierungen

Amazon Detective verarbeitet automatisch Terabytes an Ereignisdatensätzen über IP-Verkehr, AWS-Verwaltungsvorgänge und böswillige oder nicht autorisierte Aktivitäten. Die Daten werden in einem Diagramm-Modell organisiert, in dem alle sicherheitsrelevanten Beziehungen in Ihrer AWS-Umgebung zusammengefasst sind. Anschließend fragt Amazon Detective dieses Modell ab, um Visualisierungen für Untersuchungen zu erstellen. Das Diagramm-Modell wird kontinuierlich aktualisiert, sobald neue Daten aus AWS-Ressourcen verfügbar sind, sodass Sie weniger Zeit für die Verwaltung sich ständig ändernder Daten aufwenden müssen.

Benutzerfreundliche Visualisierungen

Amazon Detective erstellt Visualisierungen mit den Informationen, die Sie benötigen, um Sicherheitsbefunde zu untersuchen und darauf zu reagieren. Sie können Fragen wie „Ist es normal, dass diese Rolle so viele fehlgeschlagene API-Aufrufe hat?“ oder „Wird ein Anstieg des Datenverkehrs von dieser Instanz erwartet?“ beantworten, ohne Daten organisieren oder Ihre eigenen Abfragen und Algorithmen entwickeln, konfigurieren oder optimieren zu müssen. Amazon Detective hält aggregierte Daten von bis zu einem Jahr bereit, die Änderungen in Art und Umfang der Aktivitäten in einem ausgewählten Zeitfenster anzeigen, und verknüpft diese Änderungen mit Sicherheitsbefunden.

Funktionsweise

So funktioniert Amazon Detective

Anwendungsfälle

Triage-Sicherheitsbefunde

Die Triage ist oft die erste Phase des Untersuchungsprozesses, in der entschieden wird, ob es sich um ein echtes Sicherheitsproblem oder um ein falschpositives Ergebnis handelt. Mit den Visualisierungen von Amazon Detective können Sie sehen, welche Ressourcen, IP-Adressen und AWS-Konten mit diesem Befund in Verbindung stehen, welche Befunde und welche Aktivitäten zeitlich oder örtlich nahe an diesem Befund liegen, um schnell festzustellen, ob es sich bei diesem Befund tatsächlich um eine böswillige Aktivität handelt oder um ein falschpositives Ergebniss.

Vorfalluntersuchung

Einige Sicherheitsergebnisse müssen eingehend untersucht werden, um das Ausmaß der böswilligen Aktivitäten, ihre Auswirkungen und die zugrunde liegende Ursache zu bestimmen. Wenn Ergebnisse von AWS Security-Diensten wie Amazon GuardDuty ermittelt wurden, können Sie zu Amazon Detective gehen und sofort den Kontext und die Aktivitäten im Zusammenhang mit dem Befund anzeigen, relevante historische Aktivitäten analysieren, um ungewöhnliche Muster zu identifizieren und die Art und das Ausmaß der Ursache schnell zu bestimmen sowie die Aktivität, die zum Befund beitrug.

Jagd nach Bedrohungen

Die Bedrohungsjagd ist eine proaktive Analyse, um versteckte Bedrohungen anhand bestimmter Anhaltspunkte oder Hypothesen aufzudecken. Amazon Detective hilft bei der Bedrohungssuche, indem Sie sich auf bestimmte Ressourcen wie IP-Adressen, AWS-Konten, VPC- und EC2-Instanzen konzentrieren und detaillierte Visualisierungen der mit diesen Ressourcen verbundenen Aktivitäten bereitstellen können. Amazon Detective hilft bei der Suche, indem es zeitbasierte Analysen und die Möglichkeit bietet, einen Drill-In durchzuführen, alle Aktivitäten während eines bestimmten Zeitraums anzuzeigen und Abweichungen von der Norm zu erkennen.

Lesen Sie die Dokumentation
Lesen Sie die Dokumentation

Weitere Informationen zu den Funktionen und der Implementierung von Amazon Detective finden Sie in der Dokumentation.

Dokumentation lesen 
Registrieren Sie sich für ein AWS-Konto
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Für die Vorversion registrieren
Für die Vorversion registrieren

Beginnen Sie die Entwicklung mit Amazon Detective, indem Sie sich für die Vorversion registrieren.

Registrieren