Amazon Detective FAQs

Allgemeines

Amazon Detective extrahiert zeitbasierte Ereignisse wie Anmeldeversuche, API-Aufrufe und Netzwerkverkehr aus AWS CloudTrail, Amazon Virtual Private Cloud (Amazon VPC)-Flussprotokollen, Amazon-GuardDuty-Erkenntnissen, AWS-Security-Hub-Erkenntnissen und Amazon Elastic Kubernetes Service (Amazon EKS)-Prüfungsprotokollen. Detective erstellt ein Verhaltensdiagramm, das Machine Learning (ML) nutzt, um eine einheitliche, interaktive Ansicht des Verhaltens Ihrer Ressourcen und ihrer Interaktionen über die Zeit zu erstellen, spezifisch für diese zeitbasierten Ereignisse. Mithilfe des Verhaltensdiagramms können Sie Sicherheitsereignisse wie fehlgeschlagene Anmeldeversuche, verdächtige API-Aufrufe oder Erkenntnisgruppen analysieren, die Ihnen bei der Untersuchung der Grundursache Ihrer AWS-Sicherheitserkenntnissen helfen.

Der Preis für Amazon Detective basiert auf dem Daten-Volume, das von AWS-CloudTrail-Protokollen, Amazon-VPC-Flow-Protokollen, Amazon-Elastic-Kubernetes-Service-Prüfungsprotokollen (Amazon EKS), Amazon-GuardDuty-Erkenntnissen und von integrierten AWS-Services an AWS Security Hub gesendeten Erkenntnissen erfasst wird. Sie zahlen pro aufgenommenem Gigabyte (GB) pro Konto/Region/Monat. Amazon Detective hält bis zu ein Jahr aggregierte Daten für seine Analyse bereit. Aktuelle Informationen zur Preisgestaltung finden Sie auf der Seite mit der Preisen zu Amazon Detective. Die Erkenntnisse von Amazon EKS und AWS Security Hub sind optionale Datenquellen, die Sie deaktivieren können, wenn Sie nicht möchten, dass Detective diese Datenquellen aufnimmt.

Ja. Jeder Neukunde von Amazon Detective kann den Service 30 Tage lang kostenlos testen. Während der kostenlosen Testversion haben Sie Zugriff auf alle Funktionen.  

Amazon Detective muss regional aktiviert sein und ermöglicht es Ihnen, Aktivitäten in allen Ihren Konten in jeder Region schnell zu analysieren. Dadurch ist sichergestellt, dass sich alle analysierten Daten nur in ihren Regionen befinden und die regionalen AWS-Grenzen nicht überschreiten.

Erste Schritte mit Amazon Detective

Amazon Detective wird nur mithilfe weniger Mausklicks in der AWS-Managementkonsole aktiviert. Wenn Amazon Detective einmal aktiviert ist, organisiert es automatisch Daten und ordnet sie in einem Graphenmodell an. Dieses Modell wird kontinuierlich aktualisiert und erweitert, je mehr neue Daten erfasst werden. Sie können Amazon Detective kennenlernen und sofort nach potenziellen Sicherheitsproblemen suchen.

Sie können Amazon Detective über die AWS Management Console oder über die Amazon Detective-API aktivieren. Wenn Sie bereits die Amazon GuardDuty- oder AWS Security Hub-Konsolen verwenden, sollten Sie Amazon Detective mit demselben Konto aktivieren, das auch das Administratorkonto in Amazon GuardDuty oder AWS Security Hub ist, um die bestmögliche dienstübergreifende Benutzererfahrung zu erzielen.

Ja, Amazon Detective ist ein Dienst für mehrere Konten, der Daten von überwachten Mitgliedskonten unter einem einzigen administrativen Konto in derselben Region zusammenfasst. Sie können Überwachungsbereitstellungen für mehrere Konten auf dieselbe Weise konfigurieren wie administrativen und Mitgliedskonten in Amazon GuardDuty und AWS Security Hub.

Ja, Sie können Amazon Detective verwenden, wenn Amazon GuardDuty im Konto nicht aktiviert ist. Mit Amazon Detective können Sie detaillierte Zusammenfassungen, Analysen und Visualisierungen der Verhaltensweisen und Interaktionen zwischen Ihren AWS-Konten, EC2-Instances, AWS-Benutzern, Rollen und IP-Adressen erhalten. Diese Informationen können auch sehr nützlich sein, um Sicherheitsprobleme oder die betriebliche Kontoaktivität zu verstehen. Amazon GuardDuty ist ein Service im Rahmen der Prescriptive Guidance – AWS Security Reference Architecture (SRA) als Teil der „Wichtige Implementierungsrichtlinien des AWS SRA“.

Amazon Detective beginnt mit der Erfassung von Logdaten, sobald es aktiviert ist, und bietet visuelle Zusammenfassungen und Analysen der empfangenen Daten. Amazon Detective bietet auch Vergleiche der jüngsten Aktivitäten mit historischen Basisdaten, die nach zweiwöchiger Kontoüberwachung erstellt wurden.

Ja, Sie können AWS-CloudTrail-Protokolle und Amazon VPC Flow Logs mithilfe einer Integration mit Amazon Security Lake exportieren. Sie können im Abschnitt „Amazon Detective für Amazon Security Lake“ nachlesen, wie die Integration funktioniert.

Amazon Detective hat keinen Einfluss auf die Leistung oder Verfügbarkeit Ihrer AWS-Infrastruktur, da Amazon Detective die Protokolldaten und -ergebnisse direkt von den AWS-Diensten abruft.

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads kontinuierlich auf böswilliges und unbefugtes Verhalten überwacht und dadurch schützt. Mit AWS Security Hub können Sie Ihre Sicherheitsmeldungen und Ergebnisse aus mehreren AWS-Services wie Amazon GuardDuty, Amazon Inspector und Amazon Macie sowie von AWS Partner-Lösungen an einem zentralen Ort aggregieren, organisieren und priorisieren. Amazon Detective vereinfacht den Prozess der Untersuchung von Sicherheitserkenntnissen und der Ermittlung der Ursache. Amazon Detective analysiert Billionen von Ereignissen aus mehreren Datenquellen, z. B. aus Amazon-VPC-Flow-Protokollen, AWS-CloudTrail-Protokollen, Amazon-EKS-Prüfungsprotokollen, von integrierten AWS-Services an AWS Security Hub gesendeten Erkenntnissen und Amazon-GuardDuty-Erkenntnissen und erstellt automatisch ein Diagramm-Modell, das Ihnen eine einheitliche, interaktive Ansicht Ihrer Ressourcen, Benutzer und der Interaktionen zwischen diesen über einen Zeitraum bietet.

Mit Amazon Detective können Sie Sicherheitsdaten aus Ihren AWS-CloudTrail-Protokollen, Amazon-VPC-Flow-Protokollen, Amazon-EKS-Prüfungsprotokollen, von integrierten AWS-Services an AWS Security Hub gesendeten Erkenntnissen und Amazon-GuardDuty-Erkenntnissen analysieren und visualisieren. Um zu verhindern, dass Amazon Detective diese Protokolle und Erkenntnisse für Ihre Konten analysiert, deaktivieren Sie den Service mithilfe der API oder im Bereich Einstellungen in der AWS-Konsole für Amazon Detective.

Arbeiten in der Amazon-Detective-Konsole

Amazon Detective unterstützt dienstübergreifende Benutzerworkflows, indem Konsolenintegrationen mit Amazon GuardDuty, AWS Security Hub und Amazon Security Lake unterstützt werden. GuardDuty und Security Hub stellen Links von ihren Konsolen aus bereit, die Sie von einem ausgewählten Befund direkt zu einer Amazon-Detective-Seite weiterleiten, die eine Sammlung von Visualisierungen zur Untersuchung des ausgewählten Befunden enthält. Amazon Detective bietet auf der Grundlage Ihrer Untersuchungen vorgefertigte Abfragen, mit denen Protokolldateien von Amazon Security Lake abgefragt und heruntergeladen werden können. Die Befunddetailseite in Amazon Detective ist bereits auf den Zeitrahmen des Befundes ausgerichtet und zeigt relevante Daten für den Befund an.

Verschiedene Anbieter von Partner-Sicherheitslösungen haben Amazon Detective integriert, um Untersuchungsschritte in ihren automatisierten Playbooks und Orchestrierungen zu ermöglichen. Diese Produkte enthalten Links aus den Antwortworkflows, über die Benutzer zu Amazon-Detective-Seiten mit Visualisierungen weitergeleitet werden, die zur Untersuchung der im Workflow identifizierten Erkenntnissen und Ressourcen erstellt wurden.

Amazon Detective für AWS Security Hub

Nach der Aktivierung analysiert und korreliert Amazon Detective automatisch und kontinuierlich Benutzer-, Netzwerk- und Konfigurationsaktivitäten für AWS-Services, die in AWS Security Hub integriert sind. Amazon Detective erfasst automatisch Sicherheitserkenntnisse, die von den AWS-Sicherheitsservices über die optionale Datenquelle „AWS-Sicherheitserkenntnisse“ an den AWS Security Hub weitergeleitet werden.

Standardmäßig sind AWS-Sicherheitsfeststellungen als Datenquelle für neue Konten aktiviert, die Detective verwenden. Möglicherweise müssen Sie diese Datenquelle aktivieren, wenn Sie Detective verwendet haben, bevor der Support für AWS-Sicherheitsergebnisse veröffentlicht wurde. Sie können die in den AWS-Sicherheitsergebnissen im Administrationshandbuch aufgeführten Schritte befolgen, um die Datenquellen für Detective zu bestätigen. Diese Datenquelle sollte für jede Region aktiviert sein, in der Sie Detective verwenden möchten.

Amazon Detective verbraucht die AWS-Sicherheitserkenntnisse so, dass die Leistung Ihrer AWS-Sicherheitsservices nicht beeinträchtigt wird, da Amazon Detective die Sicherheitserkenntnisse mithilfe unabhängiger und doppelter Protokollstreams verarbeitet. Auf diese Weise erhöht der Verbrauch Ihrer AWS-Sicherheitserkenntnisse durch Amazon Detective Ihre Kosten für die Nutzung von AWS Security Hub oder eines integrierten AWS-Sicherheitsservices nicht.

Der Preis für den Verbrauch von AWS-Sicherheitserkenntnissen durch Amazon Detective basiert auf der Menge der von Amazon Detective verarbeiteten und analysierten Erkenntnisse. Amazon Detective bietet allen Kunden, die AWS-Sicherheitserkenntnisse nutzen, eine kostenlose 30-Tage-Testversion. So können Kunden sicherstellen, dass die Funktionen von Amazon Detective ihren Sicherheitsanforderungen entsprechen, und eine Schätzung der monatlichen Kosten des Services erhalten, bevor sie sich für die kostenpflichtige Nutzung entscheiden.

Nein, Amazon Detective berechnet für die von jedem Service gesendeten Erkenntnisse nur einmal eine Gebühr. 

Amazon Detective für Amazon Security Lake

Nach der Integration der beiden Services kann Amazon Detective AWS-CloudTrail-Protokolle und Amazon Virtual Private Cloud (Amazon VPC) Flow Logs von Amazon Security Lake für Ihre Sicherheitsuntersuchungen abfragen und abrufen. Sie können diese Integration verwenden, um Ihre Untersuchungen in Amazon Detective zu starten und bestimmte AWS-CloudTrail-Protokolle oder Amazon VPC Flow Logs in der Vorschau anzuzeigen oder herunterzuladen, falls Sie zusätzliche Informationen benötigen, die in den Protokollen gespeichert werden. Wenn Sie beispielsweise verdächtige Aktivitäten eines IAM-Benutzers in den letzten 24 Stunden untersuchen, können Sie Amazon Detective verwenden, um im API-Methodenbereich eine Zusammenfassung der Dienste abzurufen, mit denen der IAM-Benutzer interagiert hat. Wenn Sie Interaktionen mit Diensten beobachten, die ein potenzielles Sicherheitsproblem darstellen, wie API-Aufrufe zur Beschreibung von Rollen, können Sie AWS-CloudTrail-Protokolle für diesen IAM-Benutzer herunterladen. Amazon Detective stellt mithilfe von Amazon Athena eine vorgefertigte SQL-Abfrage bereit, die auf die zu untersuchende Zeit und Entität (die letzten 24 Stunden für den IAM-Benutzer) zugeschnitten ist, was Ihre Anfrage und das Abrufen von Protokollen erleichtert. Diese Integration hilft Ihnen, Zeit zu sparen, da Sie die SQL-Abfrage nicht von Grund auf neu erstellen müssen. Sie können die Ergebnisse in der Vorschau anzeigen und herunterladen, ohne die Amazon Detective-Konsole verlassen zu müssen.

Um die Integration zwischen den beiden Services zu aktivieren, müssen Sie eine Amazon-CloudFormation-Vorlage ausführen. Diese Vorlage erstellt ein Abonnentenkonto mit ausreichenden Berechtigungen zum Abfragen und Verwenden von Protokollen von Amazon Security Lake und stellt zusätzliche AWS-Services in Ihrem Konto bereit, die zum Abfragen und Herunterladen von Protokollen verwendet werden. Sie können im Amazon-Detective-Benutzerhandbuch nachlesen, was die Amazon-CloudFormation-Vorlage bereitstellt.

Jeder Service wird Ihnen gemäß den Amazon-Detective-Preisen und Amazon-Security-Lake-Preisen in Rechnung gestellt. Darüber hinaus fallen Gebühren für jede Abfrage über Amazon Athena an, und es fallen Gebühren für die zusätzlichen AWS-Services an, die in Ihrem Konto zur Unterstützung der Integration bereitgestellt werden. Sie können den AWS Pricing Calculator verwenden, um die Gesamtkosten für die Integration der beiden Services abzuschätzen.

Ja. Sie müssen die Amazon-CloudFormation-Vorlage in jeder AWS-Region ausführen, in der Sie Amazon Detective in Amazon Security Lake integrieren möchten. 

Amazon Detective für Amazon Elastic Kubernetes Service (Amazon EKS)

Amazon Detective für Amazon Elastic Kubernetes Service (Amazon EKS)

Nach der Aktivierung analysiert und korreliert Amazon Detective automatisch und kontinuierlich die Benutzer-, Netzwerk- und Konfigurationsaktivitäten in Ihren Amazon-EKS-Workloads. Amazon Detective nimmt automatisch Amazon-EKS-Audit-Protokolle auf und korreliert Benutzeraktivitäten mit AWS-CloudTrail-Management-Ereignissen und Netzwerkaktivitäten mit Amazon-VPC-Flow-Protokollen, ohne dass Sie diese Protokolle manuell aktivieren oder speichern müssen. Der Service extrahiert wichtige Sicherheitsinformationen aus diesen Protokollen und speichert sie in einer Datenbank mit Sicherheitsverhaltensgraphen, die einen schnellen Zugriff auf zwölf Monate Aktivität mit Querverweisen ermöglicht. Amazon Detective bietet eine Datenanalyse- und Visualisierungsebene, die Ihnen bei der Beantwortung gängiger Sicherheitsfragen hilft. Unterstützt wird dies durch eine Verhaltens-Graphdatenbank, mit der Sie potenziell bösartiges Verhalten im Zusammenhang mit Ihren Amazon-EKS-Workloads schneller untersuchen können.

Standardmäßig ist die Amazon-EKS-Auditprotokollierung als Datenquelle für Konten aktiviert, die Detective verwenden. Möglicherweise müssen Sie diese Datenquelle aktivieren, wenn Sie Detective verwendet haben, bevor die Unterstützung für EKS-Auditprotokolle veröffentlicht wurde. Sie können die in den Amazon-EKS-Auditprotokollen für Detective im Verwaltungshandbuch aufgeführten Schritte befolgen, um die Datenquellen für Detective zu bestätigen. Diese Datenquelle sollte für jede Region aktiviert sein, in der Sie Detective verwenden möchten.

Die Nutzung der Amazon-EKS-Auditprotokolle durch Amazon Detective ist so konzipiert, dass die Leistung Ihrer Amazon-EKS-Workloads nicht beeinträchtigt wird, da Amazon Detective die Audit-Protokolle mithilfe unabhängiger und doppelter Audit-Protokollströme nutzt. Auf diese Weise wird der Verbrauch Ihrer Amazon-EKS-Prüfprotokolle durch Amazon Detective Ihre Kosten für die Nutzung von Amazon EKS nicht erhöhen.

Der Preis für den Verbrauch von Amazon-EKS-Audit-Protokollen durch Amazon Detective richtet sich nach dem Volumen der von Amazon Detective verarbeiteten und analysierten Audit-Protokolle. Amazon Detective bietet allen Kunden, die die Amazon-EKS-Abdeckung aktivieren, eine kostenlose 30-tägige Testphase an. So können die Kunden sicherstellen, dass die Funktionen von Amazon Detective ihren Sicherheitsanforderungen entsprechen und eine Einschätzung der monatlichen Kosten für den Service erhalten, bevor sie sich für eine kostenpflichtige Nutzung entscheiden.

Derzeit unterstützt diese Funktion Amazon-EKS-Bereitstellungen, die auf EC2-Instances in Ihrem AWS-Konto ausgeführt werden. Detective bietet auch Unterstützung für Amazon GuardDuty EKS Runtime Monitoring und ECS Runtime Monitoring (einschließlich der Überwachung von Amazon ECS auf Fargate). Diese Funktion bietet keinen Einblick in nicht verwaltete Kubernetes in EC2 oder ES Anywhere.