Amazon Detective Funktionen

Amazon Detective erfasst und verarbeitet automatisch relevante Daten von allen aktivierten Konten. Sie müssen keine Datenquellen konfigurieren oder aktivieren. Amazon Detective sammelt und analysiert Ereignisse aus Datenquellen wie AWS-CloudTrail-Protokollen, Amazon-VPC-Flussprotokollen, Amazon-EKS-Prüfungsprotokollen, Amazon-GuardDuty-Erkenntnissen, Amazon-Security-Hub-Erkenntnissen, anderen integrierten AWS-Sicherheitsservices, und hält aggregierte Daten von bis zu einem Jahr für die Analyse bereit.

Amazon Detective kann Billionen von Ereignissen aus verschiedenen Datentypen analysieren, darunter IP-Verkehr, AWS-Verwaltungsvorgänge und potenziell böswillige oder nicht autorisierte Aktivitäten.  Detective konstruiert mithilfe von Machine Learning, statistischer Analyse und Graphentheorie ein Diagrammmodell, um einen verknüpften Datensatz für Sicherheitsuntersuchungen zu erstellen. Das vorgefertigte Diagramm-Modell enthält sicherheitsrelevante Beziehungen und bietet Kontext- und Verhaltenserkenntnisse, mit denen Sie die Daten schnell validieren, vergleichen und korrelieren können, um zu Schlussfolgerungen zu gelangen. Die Visualisierungen von Amazon Detective basieren auf dem Diagrammmodell, mit dem Sie Ihre Ermittlungsfragen schnell ohne die Komplexität des Abfragens von Rohprotokollen beantworten können. Das Diagramm liefert beispielsweise Kontext und Beziehungen, z. B. wann eine IP-Adresse eine Verbindung zu einer EC2-Instance herstellt und welche API-Aufrufe eine Rolle während eines bestimmten Zeitraums getätigt hat.

Amazon Detective bietet interaktive Visualisierungen und Erkenntnisse mithilfe generativer KI, sodass Probleme schneller und gründlicher mit weniger Aufwand untersucht werden können. Mit einer einheitlichen Ansicht, die es Ihnen ermöglicht, den gesamten Kontext und Zusammenfassungen in natürlicher Sprache an einem Ort zu visualisieren, wird es einfacher, Muster zu identifizieren, die ein Sicherheitsproblem bestätigen oder widerlegen können, und alle betroffenen Ressourcen innerhalb einer Sicherheitsfeststellung zu verstehen. Mithilfe dieser Visualisierungen und Erkenntnisse können Sie auf einfache Weise große Mengen von Ereignisdaten in bestimmten Zeitleisten mit allen Details, dem Kontext und Empfehlungen filtern, um eine schnelle Untersuchung zu ermöglichen. Mit Amazon Detective können Sie Anmeldeversuche durch Geolocation anzeigen, relevante historische Aktivitäten analysieren, schnell eine Ursache ermitteln und erforderlichenfalls Maßnahmen zur Behebung des Problems ergreifen.

Die grafische Darstellung zeigt Ihnen verwandte AWS-Security-Erkenntnisse und die betroffenen Ressourcen eines einzelnen Sicherheitsereignisses, wie EC2-Instances, IAM-Rollen und -Benutzer, S3-Buckets und IP-Adressen. Die Erkenntnisse beschreiben die Ereignisse, die während des Sicherheitsereignisses stattgefunden haben, in einer natürlichen Sprache, damit Sie die Kette der Ereignisse besser verstehen können. So können Sie ungewöhnliche oder verdächtige Aktivitäten schneller und mit weniger Aufwand untersuchen.

Das Gesamtvolumen der API-Aufrufe zeigt Ihnen erfolgreiche und fehlgeschlagene Aufrufe in einem bestimmten Zeitraum und vergleicht es mit der festgelegten Baseline. Auf diese Weise können Sie Muster abnormaler Aktivitäten identifizieren und einen Sicherheitsbefund validieren.

Amazon Detective ist in AWS-Sicherheitsservices wie Amazon GuardDuty, AWS Security Hub, Amazon Inspector, Amazon Security Lake sowie in Sicherheitsprodukte von AWS-Partnern integriert, um die in diesen Services ermittelten Sicherheits-Erkenntnisse schnell zu untersuchen. Mit einem einzigen Schritt von diesen integrierten Services aus können Sie Amazon Detective aufrufen und sofort Ereignisse im Zusammenhang mit Erkenntnissen anzeigen, relevante historische Aktivitäten analysieren und das Problem untersuchen. Beispielsweise können Sie Amazon Detective von einem Amazon GuardDuty-Fund aus starten, indem Sie auf „Investigate in Detective“ klicken, um einen sofortigen Einblick in die relevanten Aktivitäten für die betreffende Ressource zu erhalten. Von Detective aus können Sie in Amazon Security Lake gespeicherte Protokollquellen abfragen und abrufen, ohne Abfragen erstellen oder die Detective-Konsole verlassen zu müssen.

Amazon Detective unterstützt Sicherheitsuntersuchungen für GuardDuty ECS und EKS Runtime Monitoring und bietet verbesserte Visualisierungen und zusätzlichen Kontext für die Erkennung neuer Bedrohungen. Sie können die Laufzeit-Bedrohungserkennungen von GuardDuty und die Ermittlungsfunktionen von Detective verwenden, um Ihre Erkennung von und Reaktion auf potenzielle Bedrohungen für Ihre Container-Workloads zu verbessern. Detective unterstützt die Untersuchung dieser neuen Entdeckungen, indem es sie in Suchgruppen, Visualisierungen und andere Zusammenfassungen für schnellere Sicherheitsuntersuchungen einbezieht.

Sie können Amazon Detective mit ein paar Schritten in der AWS Managementkonsole aktivieren. Es muss keine Software bereitgestellt, Agenten installiert oder komplexe Konfigurationen verwaltet werden. Darüber hinaus müssen keine Datenquellen aktiviert werden, sodass die Kosten für die Aktivierung, Übertragung und Speicherung von Datenquellen entfallen.