Allgemeines

F: Was ist Amazon Detective?

Amazon Detective vereinfacht das Analysieren, Untersuchen und schnelle Identifizieren der Ursache von potentiellen Sicherheitsgefährdungen oder verdächtigen Aktivitäten. Amazon Detective erfasst automatisch Protokolldaten aus Ihren AWS-Ressourcen und erstellt mithilfe von maschinellem Lernen, statistischer Analyse und Diagrammtheorie einen verknüpften Datensatz, mit dem Sie schnellere und effizientere Sicherheitsüberprüfungen durchführen können.

F: Was sind die wichtigsten Vorteile von Amazon Detective?

Amazon Detective vereinfacht den Ermittlungsprozess und hilft Sicherheitsteams dabei, schnellere und effektivere Untersuchungen durchzuführen. Mithilfe der vorgefertigten Datenaggregationen, Zusammenfassungen und Kontexte von Amazon Detective können Sie Art und Umfang möglicher Sicherheitsprobleme schnell analysieren und bestimmen. Amazon Detective hält aggregierte Daten von bis zu einem Jahr bereit und stellt sie mithilfe einer Reihe von Visualisierungen zur Verfügung, die Änderungen in Art und Umfang der Aktivitäten in einem ausgewählten Zeitfenster anzeigen, und verknüpft diese Änderungen mit Sicherheitsbefunden. Für das Produkt fallen keine Vorlaufkosten an und Sie bezahlen nur für die analysierten Ereignisse. Es sind weder Softwarebereitstellungen noch Aktivierung von Log Feeds erforderlich.

F: Wie viel kostet Amazon Detective?

Die Preisgestaltung von Amazon Detective richtet sich nach dem Datenvolumen, das aus den Ergebnissen von AWS CloudTrail Logs, VPC Flow Logs und Amazon GuardDuty erfasst wurde. Sie zahlen pro aufgenommenem Gigabyte (GB) pro Konto/Region/Monat. Amazon Detective hält bis zu einem Jahr von aggregierten Daten für seine Analyse bereit. Aktuelle Informationen zur Preisgestaltung finden Sie auf der Seite mit der Preisübersicht zu Amazon Detective.

F: Gibt es eine kostenlose Testversion?

Ja. Jeder Neukunde von Amazon Detective kann den Service 30 Tage lang kostenlos testen. Während der kostenlosen Testversion haben Sie Zugriff auf alle Funktionen.  

F: Ist Amazon Detective ein regionaler oder ein globaler Service?

Amazon Detective muss regional aktiviert sein und ermöglicht es Ihnen, Aktivitäten in allen Ihren Konten in jeder Region schnell zu analysieren. Dadurch ist sichergestellt, dass sich alle analysierten Daten nur in ihren Regionen befinden und die regionalen AWS-Grenzen nicht überschreiten.

F: Welche Regionen werden von Amazon Detective unterstützt?

Hier finden Sie eine Auflistung der regionalen Verfügbarkeit von Amazon Detective: Tabelle der AWS-Regionen.

Erste Schritte mit Amazon Detective

F: Was sind die ersten Schritte für den Start von Amazon Detective?

Amazon Detective wird nur mithilfe weniger Mausklicks in der AWS-Managementkonsole aktiviert. Wenn Amazon Detective einmal aktiviert ist, organisiert es automatisch Daten und ordnet sie in einem Graphenmodell an. Dieses Modell wird kontinuierlich aktualisiert und erweitert, je mehr neue Daten erfasst werden. Sie können Amazon Detective kennenlernen und sofort nach potenziellen Sicherheitsproblemen suchen.

F: Wie kann ich Amazon Detective aktivieren?

Sie können Amazon Detective über die AWS Management Console oder über die Amazon Detective-API aktivieren. Wenn Sie bereits die Amazon GuardDuty- oder AWS Security Hub-Konsolen verwenden, sollten Sie Amazon Detective mit demselben Konto aktivieren, das auch das Masterkonto in Amazon GuardDuty oder AWS Security Hub ist, um die bestmögliche dienstübergreifende Benutzererfahrung zu erzielen.

F: Kann ich mehrere Konten mit Amazon Detective verwalten?

Ja, Amazon Detective ist ein Dienst für mehrere Konten, der Daten von überwachten Mitgliedskonten unter einem einzigen Hauptkonto in derselben Region zusammenfasst. Sie können Überwachungsbereitstellungen für mehrere Konten auf dieselbe Weise konfigurieren wie Haupt- und Mitgliedskonten in Amazon GuardDuty und AWS Security Hub.

F: Welche Datenquellen werden von Amazon Detective analysiert?

Mit Amazon Detective können Kunden Zusammenfassungen und Analysedaten zu AWS CloudTrail-Ereignissen sowie zu VPC-Flow-Logs anzeigen. Für Kunden, für die Amazon GuardDuty aktiviert ist, verarbeitet Detective auch die Befunde von Amazon GuardDuty.

F: Kann ich Amazon Detective verwenden, wenn Amazon GuardDuty nicht aktiviert ist?

Um Amazon Detective auszuführen zu können, muss Amazon GuardDuty in Ihren Konten für mindestens 48 Stunden aktiviert sein, bevor du anschließend Detective dort aktivieren kannst. Allerdings ist Detective nicht nur für die Untersuchung von GuardDuty-Erkenntnissen verwendet werden. Mithilfe von Amazon Detective werden dir detaillierte Zusammenfassungen, Analysen und Visualisierungen von Verhaltensweisen und Interaktionen zwischen AWS-Konten, EC2-Instances, AWS-Benutzer, Rollen und IP-Adressen bereitgestellt. Diese Informationen können auch sehr nützlich sein, um Sicherheitsprobleme oder die betriebliche Kontoaktivität zu verstehen.

F: Wie schnell ist Amazon Detective einsatzbereit?

Amazon Detective beginnt mit der Erfassung von Logdaten, sobald es aktiviert ist, und bietet visuelle Zusammenfassungen und Analysen der empfangenen Daten. Amazon Detective bietet auch Vergleiche der jüngsten Aktivitäten mit historischen Basisdaten, die nach zweiwöchiger Kontoüberwachung erstellt wurden.

F: Kann ich meine Rohprotokolldaten aus Amazon Detective exportieren?

Amazon Detective analysiert Ihre AWS CloudTrail-Protokolle und VPC-Flow-Protokolle, stellt die Rohprotokolle jedoch nicht für den Export zur Verfügung. Mit AWS können Sie diese Protokolle über andere Services exportieren.

F: Welche Daten speichert Amazon Detective, ist es verschlüsselt und kann ich steuern, welche Datenquellen aktiviert sind?

Amazon Detective entspricht dem AWSModell für gemeinsame Verantwortung, das Vorschriften und Richtlinien zum Datenschutz enthält. Nach der Aktivierung verarbeitet Amazon Detective Daten aus AWS CloudTrail-Protokollen, VPC-Flow-Protokollen und Amazon GuardDuty-Befunde für alle Konten, für die diese aktiviert wurden.

F: Besteht durch die Aktivierung von Amazon Detective ein Leistungs- oder Verfügbarkeitsrisiko für meine vorhandenen AWS-Workloads?

Amazon Detective hat keinen Einfluss auf die Leistung oder Verfügbarkeit Ihrer AWS-Infrastruktur, da Amazon Detective die Protokolldaten und -ergebnisse direkt von den AWS-Diensten abruft.

F: Inwiefern unterscheidet sich Amazon Detective von Amazon GuardDuty und AWS Security Hub?

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads kontinuierlich auf böswilliges und unbefugtes Verhalten überwacht und dadurch schützt. Mit Security Hub können Sie Ihre Sicherheitsmeldungen und Ergebnisse aus mehreren AWS-Services wie Amazon GuardDuty, Amazon Inspector und Amazon Macie sowie von AWS Partner-Lösungen an einem zentralen Ort aggregieren, organisieren und priorisieren. Amazon Detective vereinfacht den Prozess der Untersuchung von Sicherheitsergebnissen und der Ermittlung der Ursache. Amazon Detective analysiert Billionen von Ereignissen aus mehreren Datenquellen, z. B. Befunde aus PC Flow-Logs, AWS CloudTrail Logs und Amazon GuardDuty, und erstellt automatisch ein Diagramm-Modell, das Ihnen eine einheitliche, interaktive Ansicht Ihrer Ressourcen, Benutzer und der Interaktionen zwischen diesen über einen Zeitraum bietet.

F: Wie kann ich verhindern, dass Amazon Detective weiterhin meine Protokolle und Datenquellen prüft?

Mit Amazon Detective können Sie Sicherheitsdaten aus Ihren AWS CloudTrail Logs, VPC Flow Logs und Amazon GuardDuty Befunden analysieren und visualisieren. Um zu verhindern, dass Amazon Detective diese Protokolle und Ergebnisse für Ihre Konten analysiert, deaktivieren Sie den Dienst mithilfe der API oder im Bereich Einstellungen in der AWS Console für Amazon Detective.

Arbeiten in der Amazon Detective-Konsole

F: Welche Anleitungen bietet Amazon Detective zur Untersuchung eines Sicherheitsproblems?

Amazon Detective bietet eine Vielzahl von Visualisierungen, die den Kontext und Erkenntnisse zu AWS-Ressourcen wie AWS-Konten, EC2-Instanzen, Benutzern, Rollen, IP-Adressen und Amazon GuardDuty-Befunden darstellen. Jede Visualisierung ist darauf ausgelegt, bestimmte Fragen zu beantworten, die bei der Analyse der Befunde und der damit verbundenen Aktivität auftreten können. Jede Visualisierung enthält eine Textanleitung, in der die Interpretation des Panels und die Verwendung der Informationen zur Beantwortung Ihrer Ermittlungsfragen klar erläutert werden.

F: Wie ist Amazon Detective in andere AWS-Sicherheitsdienste wie Amazon GuardDuty und AWS Security Hub integriert?

Amazon Detective unterstützt dienstübergreifende Benutzerworkflows, indem Konsolenintegrationen mit Amazon GuardDuty und AWS Security Hub unterstützt werden. Diese Dienste stellen Links von ihren Konsolen aus bereit, die Sie von einem ausgewählten Befund direkt zu einer Amazon Detective-Seite weiterleiten, die eine Sammlung von Visualisierungen zur Untersuchung des ausgewählten Befunden enthält. Die Befunddetailseite in Amazon Detective ist bereits auf den Zeitrahmen des Befundes ausgerichtet und zeigt relevante Daten für den Befund an.

F: Wie integriere ich die Untersuchungsergebnisse von Amazon Detective in Korrektur- und Reaktionstools?

Verschiedene Anbieter von Partner-Sicherheitslösungen haben Amazon Detective integriert, um Untersuchungsschritte in ihren automatisierten Playbooks und Orchestrierungen zu ermöglichen. Diese Produkte enthalten Links aus den Antwortworkflows, über die Benutzer zu Amazon Detective-Seiten mit Visualisierungen weitergeleitet werden, die zur Untersuchung der im Workflow identifizierten Befunde und Ressourcen erstellt wurden.

Lesen Sie die Dokumentation
Lesen Sie die Dokumentation

Weitere Informationen zu den Funktionen und der Implementierung von Amazon Detective finden Sie in der Dokumentation.

Dokumentation lesen 
Registrieren Sie sich für ein AWS-Konto
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Für die Vorversion registrieren
Für die Vorversion registrieren

Beginnen Sie die Entwicklung mit Amazon Detective, indem Sie sich für die Vorversion registrieren.

Registrieren