Allgemeines

F: Was ist Amazon Detective?

Amazon Detective vereinfacht das Analysieren, Untersuchen und schnelle Identifizieren der Ursache von potentiellen Sicherheitsgefährdungen oder verdächtigen Aktivitäten. Amazon Detective erfasst automatisch Protokolldaten aus Ihren AWS-Ressourcen und erstellt mithilfe von maschinellem Lernen, statistischer Analyse und Diagrammtheorie einen verknüpften Datensatz, mit dem Sie schnellere und effizientere Sicherheitsüberprüfungen durchführen können.

F: Was sind die wichtigsten Vorteile von Amazon Detective?

Amazon Detective vereinfacht den Ermittlungsprozess und hilft Sicherheitsteams dabei, schnellere und effektivere Untersuchungen durchzuführen. Mithilfe der vorgefertigten Datenaggregationen, Zusammenfassungen und Kontexte von Amazon Detective können Sie Art und Umfang möglicher Sicherheitsprobleme schnell analysieren und bestimmen. Amazon Detective hält aggregierte Daten von bis zu einem Jahr bereit und stellt sie mithilfe einer Reihe von Visualisierungen zur Verfügung, die Änderungen in Art und Umfang der Aktivitäten in einem ausgewählten Zeitfenster anzeigen, und verknüpft diese Änderungen mit Sicherheitsbefunden. Für das Produkt fallen keine Vorlaufkosten an und Sie bezahlen nur für die analysierten Ereignisse. Es sind weder Softwarebereitstellungen noch Aktivierung von Log Feeds erforderlich.

F: Wie hilft Amazon Detective bei der Untersuchung von Amazon-GuardDuty-Ergebnissen?

Amazon Detective gruppiert automatisch zusammenhängende GuardDuty-Befunde und die betroffenen AWS-Ressourcen wie Amazon-EC2-Instances, AWS-Konten oder Amazon-S3-Buckets, damit Sie ein einzelnes Sicherheitsereignis untersuchen können und nicht einzelne GuardDuty-Befunde. Wenn ein Bedrohungsakteur versucht, Ihre AWS-Umgebung zu kompromittieren, führt er in der Regel eine Reihe von Aktionen aus, die zu mehreren GuardDuty-Ergebnissen führen können. Amazon Detective behebt dieses Problem, indem es eine Graphennalyse-Technik namens „Gruppen finden“ anwendet, die Beziehungen zwischen den Ergebnissen herleitet und sie in Gruppen zusammenfasst. Wir empfehlen, die Suche nach Gruppen als Ausgangspunkt für die Untersuchung Ihrer AWS-Workloads zu betrachten. Weitere Informationen finden Sie unter Analyse von Fundgruppen.

F: Wie viel kostet Amazon Detective?

Der Preis für Amazon Detective basiert auf dem Datenvolumen, das von AWS-CloudTrail-Protokollen, Amazon-VPC-Flow-Protokolle, Amazon Elastic Kubernetes Service (Amazon EKS) Audit-Protokollen und Amazon-GuardDuty-Ergebnissen aufgenommen wird. Sie zahlen pro aufgenommenem Gigabyte (GB) pro Konto/Region/Monat. Amazon Detective hält bis zu einem Jahr von aggregierten Daten für seine Analyse bereit. Aktuelle Informationen zur Preisgestaltung finden Sie auf der Seite mit der Preisübersicht zu Amazon Detective.

F: Gibt es eine kostenlose Testversion?

Ja. Jeder Neukunde von Amazon Detective kann den Service 30 Tage lang kostenlos testen. Während der kostenlosen Testversion haben Sie Zugriff auf alle Funktionen.  

F: Ist Amazon Detective ein regionaler oder ein globaler Service?

Amazon Detective muss regional aktiviert sein und ermöglicht es Ihnen, Aktivitäten in allen Ihren Konten in jeder Region schnell zu analysieren. Dadurch ist sichergestellt, dass sich alle analysierten Daten nur in ihren Regionen befinden und die regionalen AWS-Grenzen nicht überschreiten.

F: Welche Regionen werden von Amazon Detective unterstützt?

Hier finden Sie eine Auflistung der regionalen Verfügbarkeit von Amazon Detective: Tabelle der AWS-Regionen.

Erste Schritte mit Amazon Detective

F: Was sind die ersten Schritte für den Start von Amazon Detective?

Amazon Detective wird nur mithilfe weniger Mausklicks in der AWS-Managementkonsole aktiviert. Wenn Amazon Detective einmal aktiviert ist, organisiert es automatisch Daten und ordnet sie in einem Graphenmodell an. Dieses Modell wird kontinuierlich aktualisiert und erweitert, je mehr neue Daten erfasst werden. Sie können Amazon Detective kennenlernen und sofort nach potenziellen Sicherheitsproblemen suchen.

F: Wie kann ich Amazon Detective aktivieren?

Sie können Amazon Detective über die AWS Management Console oder über die Amazon Detective-API aktivieren. Wenn Sie bereits die Amazon GuardDuty- oder AWS Security Hub-Konsolen verwenden, sollten Sie Amazon Detective mit demselben Konto aktivieren, das auch das Administratorkonto in Amazon GuardDuty oder AWS Security Hub ist, um die bestmögliche dienstübergreifende Benutzererfahrung zu erzielen.

F: Kann ich mehrere Konten mit Amazon Detective verwalten?

Ja, Amazon Detective ist ein Dienst für mehrere Konten, der Daten von überwachten Mitgliedskonten unter einem einzigen administrativen Konto in derselben Region zusammenfasst. Sie können Überwachungsbereitstellungen für mehrere Konten auf dieselbe Weise konfigurieren wie administrativen und Mitgliedskonten in Amazon GuardDuty und AWS Security Hub.

F: Welche Datenquellen werden von Amazon Detective analysiert?

Amazon Detective können Kunden Zusammenfassungen und analytische Daten anzeigen, die mit Amazon-Virtual-Private-Cloud-Flow-Protokolle, AWS-CloudTrail-Protokolle und Amazon-Elastic-Kubernetes-Service-Audit-Protokolle (Amazon EKS) verbunden sind. Für Kunden, für die Amazon GuardDuty aktiviert ist, verarbeitet Detective auch die Befunde von Amazon GuardDuty.

F: Kann ich Amazon Detective verwenden, wenn Amazon GuardDuty nicht aktiviert ist?

Um Amazon Detective auszuführen zu können, muss Amazon GuardDuty in Ihren Konten für mindestens 48 Stunden aktiviert sein, bevor du anschließend Detective dort aktivieren kannst. Allerdings ist Amazon Detective nicht nur für die Untersuchung von Amazon-GuardDuty-Erkenntnissen verwendet werden. Mithilfe von Amazon Detective werden dir detaillierte Zusammenfassungen, Analysen und Visualisierungen von Verhaltensweisen und Interaktionen zwischen AWS-Konten, EC2-Instances, AWS-Benutzer, Rollen und IP-Adressen bereitgestellt. Diese Informationen können auch sehr nützlich sein, um Sicherheitsprobleme oder die betriebliche Kontoaktivität zu verstehen.

F: Wie schnell ist Amazon Detective einsatzbereit?

Amazon Detective beginnt mit der Erfassung von Logdaten, sobald es aktiviert ist, und bietet visuelle Zusammenfassungen und Analysen der empfangenen Daten. Amazon Detective bietet auch Vergleiche der jüngsten Aktivitäten mit historischen Basisdaten, die nach zweiwöchiger Kontoüberwachung erstellt wurden.

F: Kann ich meine Rohprotokolldaten aus Amazon Detective exportieren?

Amazon Detective analysiert Ihre AWS CloudTrail-Protokolle, Amazon-VPC-Flow-Protokolle und Amazon-EKS-Audit-Protokolle, stellt die Rohprotokolle jedoch nicht für den Export zur Verfügung. Mit AWS können Sie diese Protokolle über andere Services exportieren.

F: Welche Daten speichert Amazon Detective, ist es verschlüsselt und kann ich steuern, welche Datenquellen aktiviert sind?

Amazon Detective entspricht dem AWSModell für gemeinsame Verantwortung, das Vorschriften und Richtlinien zum Datenschutz enthält. Nach der Aktivierung verarbeitet Amazon Detective Daten aus AWS CloudTrail-Protokollen, Amazon-VPC-Flow-Protokollen, Amazon-EKS-Audit-Protokollen und Amazon-GuardDuty-Ergebnissen für alle Konten, für die diese aktiviert wurden.

F: Besteht durch die Aktivierung von Amazon Detective ein Leistungs- oder Verfügbarkeitsrisiko für meine vorhandenen AWS-Workloads?

Amazon Detective hat keinen Einfluss auf die Leistung oder Verfügbarkeit Ihrer AWS-Infrastruktur, da Amazon Detective die Protokolldaten und -ergebnisse direkt von den AWS-Diensten abruft.

F: Inwiefern unterscheidet sich Amazon Detective von Amazon GuardDuty und AWS Security Hub?

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads kontinuierlich auf böswilliges und unbefugtes Verhalten überwacht und dadurch schützt. Mit AWS Security Hub können Sie Ihre Sicherheitsmeldungen und Ergebnisse aus mehreren AWS-Services wie Amazon GuardDuty, Amazon Inspector und Amazon Macie sowie von AWS Partner-Lösungen an einem zentralen Ort aggregieren, organisieren und priorisieren. Amazon Detective vereinfacht den Prozess der Untersuchung von Sicherheitsergebnissen und der Ermittlung der Ursache. Amazon Detective analysiert Billionen von Ereignissen aus mehreren Datenquellen, z. B. aus Amazon-VPC-Flow-Protokollen, Amazon-EKS-Audit-Protokollen, AWS-CloudTrail-Protokollen und Amazon-GuardDuty-Ergebnissen, und erstellt automatisch ein Diagramm-Modell, das Ihnen eine einheitliche, interaktive Ansicht Ihrer Ressourcen, Benutzer und der Interaktionen zwischen diesen über einen Zeitraum bietet.

F: Wie kann ich verhindern, dass Amazon Detective weiterhin meine Protokolle und Datenquellen prüft?

Mit Amazon Detective können Sie Sicherheitsdaten aus Ihren AWS-CloudTrail-Protokollen, Amazon-VPC-Flow-Protokollen, Amazon-EKS-Audit-Protokollen und Amazon-GuardDuty-Ergebnissen analysieren und visualisieren. Um zu verhindern, dass Amazon Detective diese Protokolle und Ergebnisse für Ihre Konten analysiert, deaktivieren Sie den Dienst mithilfe der API oder im Bereich Einstellungen in der AWS Console für Amazon Detective.

Arbeiten in der Amazon Detective-Konsole

F: Welche Anleitungen bietet Amazon Detective zur Untersuchung eines Sicherheitsproblems?

Amazon Detective bietet eine Vielzahl von Visualisierungen, die den Kontext und Erkenntnisse zu AWS-Ressourcen wie AWS-Konten, EC2-Instanzen, Benutzern, Rollen, IP-Adressen und Amazon GuardDuty-Befunden darstellen. Jede Visualisierung ist darauf ausgelegt, bestimmte Fragen zu beantworten, die bei der Analyse der Befunde und der damit verbundenen Aktivität auftreten können. Jede Visualisierung enthält eine Textanleitung, in der die Interpretation des Panels und die Verwendung der Informationen zur Beantwortung Ihrer Ermittlungsfragen klar erläutert werden.

F: Wie ist Amazon Detective in andere AWS-Sicherheitsdienste wie Amazon GuardDuty und AWS Security Hub integriert?

Amazon Detective unterstützt dienstübergreifende Benutzerworkflows, indem Konsolenintegrationen mit Amazon GuardDuty und AWS Security Hub unterstützt werden. Beide Services stellen Links von ihren Konsolen aus bereit, die Sie von einem ausgewählten Befund direkt zu einer Amazon-Detective-Seite weiterleiten, die eine Sammlung von Visualisierungen zur Untersuchung des ausgewählten Befunden enthält. Die Befunddetailseite in Amazon Detective ist bereits auf den Zeitrahmen des Befundes ausgerichtet und zeigt relevante Daten für den Befund an.

F: Wie integriere ich die Untersuchungsergebnisse von Amazon Detective in Korrektur- und Reaktionstools?

Verschiedene Anbieter von Partner-Sicherheitslösungen haben Amazon Detective integriert, um Untersuchungsschritte in ihren automatisierten Playbooks und Orchestrierungen zu ermöglichen. Diese Produkte enthalten Links aus den Antwortworkflows, über die Benutzer zu Amazon Detective-Seiten mit Visualisierungen weitergeleitet werden, die zur Untersuchung der im Workflow identifizierten Befunde und Ressourcen erstellt wurden.

Amazon Detective für Amazon Elastic Kubernetes Service (Amazon EKS)

F: Wie funktioniert Amazon Detective für Amazon-EKS-Audit-Protokolle?

Nach der Aktivierung analysiert und korreliert Amazon Detective automatisch und kontinuierlich die Benutzer-, Netzwerk- und Konfigurationsaktivitäten in Ihren Amazon-EKS-Workloads. Amazon Detective nimmt automatisch Amazon-EKS-Audit-Protokolle auf und korreliert Benutzeraktivitäten mit AWS-CloudTrail-Management-Ereignissen und Netzwerkaktivitäten mit Amazon-VPC-Flow-Protokollen, ohne dass Sie diese Protokolle manuell aktivieren oder speichern müssen. Der Service sammelt wichtige Sicherheitsinformationen aus diesen Protokollen und speichert sie in einer Datenbank mit Sicherheitsverhaltensgraphen, die einen schnellen Zugriff auf zwölf Monate Aktivität mit Querverweisen ermöglicht. Amazon Detective bietet eine Datenanalyse- und Visualisierungsebene, die Ihnen bei der Beantwortung gängiger Sicherheitsfragen hilft. Unterstützt wird dies durch eine Verhaltens-Graphdatenbank, mit der Sie potenziell bösartiges Verhalten im Zusammenhang mit Ihren Amazon-EKS-Workloads schneller untersuchen können.

F: Muss ich Amazon-EKS-Audit-Protokolle einschalten?

Nein, Sie müssen die Amazon-EKS-Audit-Protokollierung nicht aktivieren oder konfigurieren. Sie müssen lediglich Amazon-EKS-Audit-Protokolle als neue Datenquelle in der Amazon-Detective-Konsole oder den APIs aktivieren. Die Nutzung der Amazon-EKS-Auditprotokolle durch Amazon Detective ist so konzipiert, dass die Leistung Ihrer Amazon-EKS-Workloads nicht beeinträchtigt wird, da Amazon Detective die Audit-Protokolle mithilfe unabhängiger und doppelter Audit-Protokollströme nutzt. Auf diese Weise wird der Verbrauch Ihrer Amazon-EKS-Prüfprotokolle durch Amazon Detective Ihre Kosten für die Nutzung von Amazon EKS nicht erhöhen.

F: Wie wird mir die Verwendung von Amazon Detective zur Sicherung meiner Amazon EKS Workloads in Rechnung gestellt?

Der Preis für den Verbrauch von Amazon-EKS-Audit-Protokollen durch Amazon Detective richtet sich nach dem Volumen der von Amazon Detective verarbeiteten und analysierten Audit-Protokolle. Amazon Detective bietet allen Kunden, die die Amazon-EKS-Abdeckung aktivieren, eine kostenlose 30-tägige Testphase an. So können die Kunden sicherstellen, dass die Funktionen von Amazon Detective ihren Sicherheitsanforderungen entsprechen und eine Einschätzung der monatlichen Kosten für den Service erhalten, bevor sie sich für eine kostenpflichtige Nutzung entscheiden.

F: Ich verwende bereits Amazon Detective. Wie kann ich die Unterstützung für Amazon-EKS-Audit-Protokolle in Amazon Detective aktivieren?

Bestehende Kunden, die Amazon Detective verwenden, müssen die Amazon-EKS-Audit-Protokolle in der Amazon Detective-Konsole für ihre Konten aktivieren. Kunden können diese Auswahl ändern und Amazon-EKS-Audit-Protokolle mit einem einzigen Klick in der Amazon-Detective-Konsole aktivieren/deaktivieren.

F: Bietet Amazon Detective Einblick in Amazon-EKS-Workloads auf AWS Fargate, nicht verwaltete Kubernetes auf EC2 oder für ES Anywhere?

Derzeit unterstützt diese Funktion nur Amazon-EKS-Bereitstellungen, die auf EC2-Instances in Ihrem AWS-Konto ausgeführt werden.

F: Muss ich die Amazon-EKS-Audit-Protokolle in jeder AWS-Region einzeln aktivieren?

Ja. Amazon-EKS-Audit-Protokolle müssen in jeder AWS-Region separat aktiviert werden.

Read the documentation
Lesen Sie die Dokumentation

Weitere Informationen zu den Funktionen und der Implementierung von Amazon Detective finden Sie in der Dokumentation.

Dokumentation lesen 
Registrieren Sie sich für ein AWS-Konto
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Getting started
Erste Schritte mit Amazon Detective

Erste Schritte beim Entwickeln mit Amazon Detective

Loslegen