Amazon Detective

Analice y visualice los datos sobre seguridad para descubrir rápidamente la causa raíz de los posibles problemas de seguridad

Amazon Detective facilita el análisis, la investigación y la rápida identificación de la causa raíz de posibles problemas de seguridad o actividades sospechosas. Amazon Detective recopila datos de registro de manera automática a partir de sus recursos de AWS y utiliza el aprendizaje automático, el análisis estadístico y la teoría de gráficos para crear un conjunto de datos vinculados que le permite llevar a cabo fácilmente investigaciones sobre la seguridad más rápidas y eficientes.

Los servicios de seguridad de AWS, como Amazon GuardDuty, Amazon Macie y AWS Security Hub, así como los productos de seguridad de los socios se pueden usar para identificar hallazgos o posibles problemas de seguridad. Estos servicios son realmente útiles para generar alertas cuando algún componente no se encuentra en buen estado y también para indicar a dónde debe dirigirse para solucionar el problema. Sin embargo, en algunas oportunidades, es posible que se presente algún hallazgo de seguridad donde tenga que investigar con mayor profundidad y analizar más información para aislar la causa raíz y tomar medidas al respecto. Determinar la causa raíz de los hallazgos de seguridad puede resultar un proceso complejo que, a menudo, implica recopilar y combinar registros de muchos orígenes de datos independientes. También es posible que implique utilizar herramientas de extracción, transformación y carga (ETL) o scripting personalizado para organizar los datos. Después de esto, los analistas de seguridad deberían analizar los datos y llevar a cabo investigaciones prolongadas.

Amazon Detective simplifica este proceso gracias a que permite a sus equipos de seguridad investigar con facilidad y descubrir rápidamente la causa raíz de un hallazgo. Con este servicio, se pueden analizar billones de eventos de varios orígenes de datos, como los registros de flujos de Virtual Private Cloud (VPC), AWS CloudTrail y Amazon GuardDuty, además de crear de manera automática una visión unificada e interactiva de los recursos, los usuarios y las interacciones entre ellos a lo largo del tiempo. Gracias a esta visión unificada, puede visualizar todos los detalles y el contexto en un solo lugar a fin de identificar las razones subyacentes que explican los hallazgos, profundizar en actividades históricas relevantes y determinar con rapidez la causa raíz.

Puede empezar a utilizar Amazon Detective con tan solo unos pocos clics en la consola de AWS. No necesita implementar software ni habilitar y mantener orígenes de datos.

Beneficios

Investigaciones más rápidas y efectivas

Amazon Detective presenta una visión unificada de las interacciones entre los recursos y los usuarios a lo largo del tiempo, con todos los detalles y el contexto en un solo lugar para ayudarlo a analizar y descubrir con rapidez la causa raíz de un hallazgo de seguridad. Por ejemplo, un hallazgo de Amazon GuardDuty, como una llamada inusual a la API de inicio de sesión en la consola, se puede investigar con rapidez en Amazon Detective con detalles sobre las tendencias en llamadas a la API a lo largo del tiempo y los intentos de inicio de sesión de los usuarios en un mapa de geolocalización. Estos detalles le permiten identificar con rapidez si considera que se trata de un hallazgo legítimo o de un indicio de recurso de AWS comprometido. 

Ahorro de tiempo y esfuerzo gracias a las actualizaciones continuas de los datos

Amazon Detective procesa de manera automática terabytes de registros de datos de eventos en relación con el tráfico de IP, las operaciones de administración de AWS y la actividad no autorizada o maliciosa. Organiza los datos en un modelo gráfico que resume todas las relaciones de seguridad en su entorno de AWS. A continuación, Amazon Detective realiza una consulta a este modelo para crear visualizaciones que se usan en las investigaciones. El modelo gráfico se actualiza continuamente a medida que se generan datos nuevos de los recursos de AWS, por lo que pierde menos tiempo en la administración de los datos en constante modificación.

Visualizaciones fáciles de usar

Amazon Detective genera visualizaciones con la información que necesita para investigar los hallazgos en materia de seguridad y actuar en consecuencia. Lo ayuda a responder preguntas similares a las siguientes: “¿Es normal que este rol presente tantas llamadas a la API con error?” o “¿Se esperaba este pico en el tráfico de esta instancia?”. Tiene la posibilidad de obtener estas respuestas sin la necesidad de organizar los datos ni desarrollar, configurar o ajustar sus propias consultas y algoritmos. Amazon Detective conserva hasta un año de datos agrupados que muestren cambios en el tipo y el volumen de actividad durante un periodo determinado. Además, vincula esos cambios a los hallazgos de seguridad.

Funcionamiento

Funcionamiento de Amazon Detective

Casos de uso

Selección de los hallazgos de seguridad

A menudo, la selección es la primera etapa del proceso de investigación. Se utiliza para decidir si el hallazgo representa un problema de seguridad real o si es una falsa alarma. Con las visualizaciones de Amazon Detective, puede ver qué recursos, direcciones IP y cuentas de AWS están conectados a ese hallazgo, hallazgos relacionados y actividad que sucedió en el mismo periodo o ubicación, a fin de determinar con rapidez si realmente representa una actividad maliciosa o se trata de una falsa alarma.

Investigación de incidentes

Algunos hallazgos en materia de seguridad requieren una investigación profunda para determinar el alcance de la actividad maliciosa, sus consecuencias y la causa subyacente. Cuando servicios de seguridad de AWS, como Amazon GuardDuty, identifican hallazgos, puede recurrir a Amazon Detective para visualizar de inmediato el contexto y la actividad relacionada al hallazgo, profundizar en la actividad histórica relevante a fin de identificar patrones inusuales y determinar con rapidez la naturaleza y el alcance de la causa raíz y la actividad que dieron lugar al hallazgo.

Búsqueda de amenazas

Se trata de un análisis proactivo destinado a descubrir amenazas ocultas en función de ciertas pistas o hipótesis. Amazon Detective colabora en la búsqueda de amenazas al permitirle concentrarse en recursos específicos, como las direcciones IP, las cuentas de AWS, la VPC y las instancias EC2, además de brindarle visualizaciones detalladas de las actividades asociadas a dichos recursos. Amazon Detective ayuda en el proceso de búsqueda con el análisis basado en el tiempo y la capacidad de profundizar, visualizar todas las actividades durante un periodo determinado y detectar cambios fuera de lo normal.

Lea la documentación
Lea la documentación

Obtenga más información acerca de las capacidades y la implementación de Amazon Detective en la documentación correspondiente.

Lea la documentación 
Regístrese para obtener una cuenta de AWS
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Regístrese 
Regístrese para solicitar la versión preliminar
Regístrese para solicitar la versión preliminar

Comience a crear con Amazon Detective registrándose para obtener acceso a la versión preliminar.

Regístrese