Überspringen zum Hauptinhalt

Amazon Detective Funktionen

Warum Amazon Detective?

Amazon Detective vereinfacht das Analysieren, Untersuchen und schnelle Identifizieren der Ursachen von potentiellen Sicherheitsgefährdungen oder verdächtigen Aktivitäten. Amazon Detective erfasst automatisch Protokolldaten aus Ihren AWS-Ressourcen und erstellt mithilfe von Machine Learning, statistischer Analyse und Diagrammtheorie einen verknüpften Datensatz, mit dem Sie schnellere und effizientere Sicherheitsüberprüfungen durchführen können.

Amazon Detective kann Billionen von Ereignissen aus verschiedenen Datenquellen wie Amazon Virtual Private Cloud (Amazon VPC)-Flussprotokollen, AWS-CloudTrail-Protokollen, Amazon Elastic Kubernetes Service (Amazon EKS)-Prüfungsprotokollen und Sicherheitserkenntnissen aus verschiedenen Services wie Amazon GuardDuty, AWS Security Hub und mehr analysieren. Detective erstellt automatisch eine einheitliche, interaktive Ansicht Ihrer Ressourcen, Benutzer und der Interaktionen zwischen ihnen im Laufe der Zeit. Mit dieser einheitlichen Ansicht können Sie alle Details und den Kontext an einem Ort visualisieren, um die zugrunde liegenden Gründe für die Erkenntnisse zu identifizieren, relevante historische Aktivitäten aufzuspüren und die Ursache schnell zu ermitteln.

Übersicht

Automatische Datenerfassung für alle Ihre AWS-Konten

Amazon Detective erfasst und verarbeitet automatisch relevante Daten von allen aktivierten Konten. Sie müssen keine Datenquellen konfigurieren oder aktivieren. Amazon Detective sammelt und analysiert Ereignisse aus Datenquellen wie AWS-CloudTrail-Protokollen, Amazon-VPC-Flussprotokollen, Amazon-EKS-Prüfungsprotokollen, Amazon-GuardDuty-Erkenntnissen, Amazon-Security-Hub-Erkenntnissen, anderen integrierten AWS-Sicherheitsservices, und hält aggregierte Daten von bis zu einem Jahr für die Analyse bereit.

Konsolidiert unterschiedliche Ereignisse in einem Diagramm-Modell

Amazon Detective kann Billionen von Ereignissen aus verschiedenen Datentypen analysieren, darunter IP-Verkehr, AWS-Managementvorgänge und potenziell böswillige oder nicht autorisierte Aktivitäten. Detective erstellt mithilfe von maschinellem Lernen, statistischer Analyse und Graphentheorie ein Graphmodell, um einen verknüpften Datensatz für Sicherheitsuntersuchungen zu erstellen. Das vorgefertigte Graphmodell enthält sicherheitsrelevante Beziehungen und bietet kontextuelle und verhaltensbezogene Einblicke, mit denen Sie die Daten schnell validieren, vergleichen und korrelieren können, um daraus Schlüsse zu ziehen. Die Visualisierungen von Amazon Detective basieren auf dem Graphmodell, sodass Sie Ihre Ermittlungsfragen schnell beantworten können, ohne die Komplexität der Abfrage von Rohprotokollen. Das Diagramm bietet beispielsweise Kontext und Beziehungen, z. B. wenn eine IP-Adresse eine Verbindung zu einer EC2-Instance herstellt, und die API-Aufrufe, die von einer Rolle während eines bestimmten Zeitraums getätigt wurden.

Interaktive Visualisierungen für eine effiziente Untersuchung

Amazon Detective bietet interaktive Visualisierungen und Erkenntnisse mithilfe generativer KI, sodass Probleme schneller und gründlicher mit weniger Aufwand untersucht werden können. Mit einer einheitlichen Ansicht, die es Ihnen ermöglicht, den gesamten Kontext und Zusammenfassungen in natürlicher Sprache an einem Ort zu visualisieren, wird es einfacher, Muster zu identifizieren, die ein Sicherheitsproblem bestätigen oder widerlegen können, und alle betroffenen Ressourcen innerhalb einer Sicherheitserkenntnis zu verstehen. Mithilfe dieser Visualisierungen und Erkenntnisse können Sie auf einfache Weise große Mengen von Ereignisdaten in bestimmten Zeitleisten mit allen Details, dem Kontext und Empfehlungen filtern, um eine schnelle Untersuchung zu ermöglichen. Mit Amazon Detective können Sie Anmeldeversuche durch Geolokalisierung anzeigen, relevante historische Aktivitäten analysieren, schnell eine Ursache ermitteln und erforderliche Maßnahmen zur Behebung des Problems ergreifen.

Missing alt text value

Gesamtvolumen der API-Aufrufe

Die Diagrammvisualisierung zeigt Ihnen zugehörige AWS-Sicherheitserkenntnisse und betroffene Ressourcen von einem einzelnen Sicherheitsereignis, wie etwa EC2-Instances, IAM-Rollen und -Benutzer, S3-Buckets und IP-Adressen. Die Erkenntnisse beschreiben die Ereignisse, die während des Sicherheitsereignisses stattgefunden haben, in einer natürlichen Sprache, damit Sie die Kette der Ereignisse besser verstehen können. So können Sie ungewöhnliche oder verdächtige Aktivitäten schneller und mit weniger Aufwand untersuchen. Das Gesamtvolumen der API-Aufrufe zeigt Ihnen erfolgreiche und fehlgeschlagene Aufrufe in einem bestimmten Zeitraum und vergleicht es mit der festgelegten Baseline. Auf diese Weise können Sie Muster abnormaler Aktivitäten identifizieren und einen Sicherheitsbefund validieren.

Missing alt text value

Mehr Features

Nahtlose Integration zur Untersuchung eines Sicherheits-Erkenntnisses

Amazon Detective ist in AWS-Sicherheitsdienste wie Amazon GuardDuty, AWS Security Hub, Amazon Inspector, Amazon Security Lake sowie in Sicherheitsprodukte von AWS-Partnern integriert, um die in diesen Diensten festgestellten Sicherheitsfeststellungen schnell untersuchen zu können. Mit einem einzigen Schritt aus diesen integrierten Diensten können Sie Amazon Detective aufrufen und sofort Ereignisse im Zusammenhang mit den Ergebnissen sehen, relevante historische Aktivitäten detailliert untersuchen und das Problem untersuchen. Beispielsweise können Sie Amazon Detective von einem Amazon GuardDuty-Befund aus starten, indem Sie auf „Investigate in Detective“ klicken. Dadurch erhalten Sie sofort Einblick in die relevanten Aktivitäten für die betreffende Ressource. In Detective können Sie in Amazon Security Lake gespeicherte Protokollquellen abfragen und abrufen, ohne Abfragen erstellen oder die Detective-Konsole verlassen zu müssen.

Unterstützung bei Sicherheitsuntersuchungen für Amazon GuardDuty Runtime Monitoring

Amazon Detective unterstützt Sicherheitsuntersuchungen für GuardDuty ECS und EKS Runtime Monitoring und bietet erweiterte Visualisierungen und zusätzlichen Kontext für neue Bedrohungserkennungen. Sie können die Runtime-Bedrohungserkennungen von GuardDuty und die Ermittlungsfunktionen von Detective verwenden, um Ihre Erkennung und Reaktion auf potenzielle Bedrohungen für Ihre Container-Workloads zu verbessern. Detective unterstützt die Untersuchung dieser neuen Funde, indem es sie in die Suche nach Gruppen, Visualisierungen und anderen Zusammenfassungen einbezieht, um Sicherheitsuntersuchungen zu beschleunigen.

Einfache Bereitstellung ohne vorherige Datenquellenintegration oder komplexe zu wartende Konfigurationen

Mit wenigen Schritten in der AWS-Managementkonsole können Sie Amazon Detective aktivieren. Es muss keine Software bereitgestellt, Agenten installiert oder komplexe Konfigurationen verwaltet werden. Darüber hinaus müssen keine Datenquellen aktiviert werden, sodass die Kosten für die Aktivierung, Übertragung und Speicherung von Datenquellen entfallen.