Publicado en: Sep 7, 2021

Amazon Detective, en coordinación con el proyecto Splunk Trumpet, ha lanzado la capacidad de pasar desde un hallazgo de Amazon GuardDuty en Splunk directamente a un perfil de entidad de Amazon Detective para que los clientes puedan identificar rápidamente la causa raíz de posibles problemas de seguridad o actividades sospechosas.

Esta nueva capacidad ayudará a simplificar el análisis de seguridad para los equipos de seguridad y operaciones al permitir un rápido acceso desde Splunk a Amazon Detective. Ya no es necesario copiar y pegar URLs o buscar en Detective el recurso que desea. En su lugar, Amazon Detective puede hacer el trabajo pesado mientras usted se centra en responder rápidamente a las preguntas de la investigación. Por ejemplo, Amazon Detective puede ayudarle a responder a preguntas como: “¿durante cuánto tiempo ha interactuado esta dirección IP que estoy investigando en Splunk con los recursos de mis cuentas AWS?”, “¿con cual de mis instancias EC2 se comunicó esta dirección IP?”, “¿qué volúmenes de datos se intercambiaron con esta dirección IP?”, “¿en qué puertos se produjo la comunicación?” o “¿qué usuarios y roles invocaron operaciones de la API desde esta dirección IP?”

La nueva integración de Amazon Detective ya está disponible como parte del proyecto Splunk Trumpet en todas las regiones donde Amazon Detective es compatible. Esta integración es una adición al preprocesador Lambda que envía los resultados de GuardDuty a Splunk. El código actualizado recibe los registros de entrada de los resultados de Amazon GuardDuty y analiza el contenido para generar las URLs apropiadas de Amazon Detective como campos adicionales en Splunk. Las URL que genera Splunk utilizan el formato de las URL de los perfiles que se describe en Navegación directa a un perfil mediante una URL en la Guía del usuario de Amazon Detective. Este es un ejemplo de URL para una instancia EC2: (https://console.aws.amazon.com/detective/home?region=us-east-1#entities/Ec2Instance/i-0149bf6226265a199?scopeStart=1624674429&scopeEnd=1626473483).

Utilice las siguientes instrucciones para completar la integración inicial de Splunk con AWS: Automatización de la ingesta de datos de AWS en Splunk. En la página de instalación del proyecto de Splunk Trumpet, seleccione las URL de Detective GuardDuty en el menú desplegable de AWS CloudWatch Events.

Amazon Detective facilita el análisis, la investigación y la rápida identificación de la causa raíz de posibles problemas de seguridad. Para comenzar, habilite una prueba gratuita 30 días de Amazon Detective con tan solo unos clics en la consola de administración de AWS. Consulte la página de regiones de AWS para conocer todas las regiones en las que Detective se encuentra disponible. Para obtener más información, visite la página del producto de Amazon Detective.