Publicado en: Sep 20, 2021
Amazon Detective amplía la compatibilidad de la investigación de seguridad con Amazon Simple Storage Service (S3) y los hallazgos relacionadas con DNS en Amazon GuardDuty, con lo que proporciona una cobertura completa de todas las detecciones de GuardDuty. Además, ahora Detective facilita aún más a los analistas de seguridad la investigación de entidades y comportamientos mediante una experiencia de usuario renovada.
Ahora, los analistas de seguridad pueden investigar fácilmente las actividades inusuales en los buckets de S3 y responder a preguntas como “¿quién creó el bucket de S3?”, “¿cuándo se creó el bucket de S3?”, “¿quién hizo público el bucket de S3?” y “¿ejecutó el usuario API sensibles, como desactivar el registro en otros buckets de S3?”. También pueden profundizar en los hallazgos relacionados con los nombres de dominio de baja reputación (como los asociados a actividades relacionadas con la criptomoneda) y los dominios generados por algoritmos. Gracias a esto, los analistas de seguridad pueden ahora analizar, investigar e identificar rápidamente la causa raíz de todos los tipos de hallazgos de GuardDuty mediante el uso de Detective.
Amazon Detective también ha mejorado las páginas de perfil de recursos existentes para que los clientes se puedan centrar más rápidamente en la actividad asociada a las entidades implicadas para un hallazgo. La nueva información general de los hallazgos proporciona un conjunto más completo de detalles para cada hallazgo, así como enlaces a los perfiles de cada entidad implicada. Los analistas pueden utilizar esto para comprender mejor cómo varias entidades, como las instancias de EC2, las entidades principales de IAM y las direcciones IP, están asociadas a los resultados. Por ejemplo, Detective agrega la actividad a nivel de bucket de S3 y el contexto de investigación relevante a partir de los orígenes de datos existentes en un perfil de bucket de S3 para contribuir a las investigaciones y proporcionar a los analistas la capacidad de recurrir a otros recursos, como los recursos de las sesiones de usuarios/roles de IAM que accedieron al bucket, o la dirección IP remota que invocó las API a nivel de bucket de S3 dentro del periodo de alcance.
Los analistas de seguridad que ya utilizan Detective para realizar investigaciones de seguridad tendrán habilitadas las nuevas capacidades sin necesidad de realizar ninguna acción adicional. También pueden utilizar la opción “Investigar en Detective” de GuardDuty y Security Hub para recurrir a Detective para investigar más a fondo los hallazgos recientemente admitidos. Para obtener más información acerca de cómo pasar de GuardDuty y Security Hub a Detective, consulte la Guía para usuarios de Detective.
Amazon Detective facilita el análisis, la investigación y la rápida identificación de la causa raíz de posibles problemas de seguridad. Para comenzar, habilite una prueba gratuita 30 días de Amazon Detective con tan solo unos clics en la consola de administración de AWS. Consulte la página de regiones de AWS para conocer todas las regiones en las que Detective se encuentra disponible. Para obtener más información, visite la página del producto de Amazon Detective.