Aspectos generales

P: ¿Qué es Amazon Detective?

Amazon Detective facilita el análisis, la investigación y la rápida identificación de la causa raíz de posibles problemas de seguridad o actividades sospechosas. Amazon Detective recopila datos de registro de manera automática a partir de sus recursos de AWS y utiliza el aprendizaje automático, el análisis estadístico y la teoría de gráficos para crear un conjunto de datos vinculados que le permite llevar a cabo fácilmente investigaciones sobre la seguridad más rápidas y eficientes.

P: ¿Qué beneficios clave ofrece Amazon Detective?

Amazon Detective simplifica el proceso de investigación y ayuda a los equipos de seguridad a llevar a cabo investigaciones más rápidas y efectivas. Las incorporaciones de datos creados previamente, los resúmenes y el contexto de Amazon Detective lo ayudan a analizar y determinar rápidamente la naturaleza y el alcance de posibles problemas de seguridad. Amazon Detective mantiene hasta un año los datos incorporados y facilita su disponibilidad a través de un conjunto de visualizaciones que muestran cambios en el tipo y el volumen de actividad durante un periodo de determinado. Además, vincula esos cambios a los hallazgos en materia de seguridad. No se aplican costos iniciales y solo paga por los eventos analizados, sin software adicional que implementar ni fuentes de registro que habilitar.

P. ¿Cuánto cuesta Amazon Detective?

En la actualidad, Amazon Detective se encuentra disponible en versión preliminar. Durante la versión preliminar, Amazon Detective está disponible sin cargo para aquellos a quienes aprobaron que obtengan acceso. Los precios de Amazon Detective se aplican según la disponibilidad general. Se basan en el volumen de datos incorporados desde los registros de AWS CloudTrail, los registros de flujo de la VPC y los hallazgos de Amazon GuardDuty. Se le cobrará por Gigabyte (GB) incorporado por cuenta, región y mes. Amazon Detective mantiene hasta un año los datos incorporados para su análisis. Consulte la página de precios de Amazon Detective para ver la información de los precios más reciente.

P: ¿Amazon Detective es un servicio regional o global?

Se necesita habilitar Amazon Detective región por región. Este le permite analizar rápidamente la actividad en todas las cuentas dentro de cada región. De esta manera, garantiza que todos los datos analizados permanezcan en las regiones y no transgredan los límites regionales de AWS.

P: ¿Qué regiones admite Amazon Detective?

Amazon Detective está disponible durante la versión preliminar en las siguientes regiones: EE. UU. Este (Norte de Virginia), EE. UU. Este (Ohio), EE. UU. Oeste (Oregón), UE (Irlanda) y Asia Pacífico (Tokio).

Introducción a Amazon Detective

P: ¿Cómo puedo comenzar a utilizar Amazon Detective?

Amazon Detective se encuentra disponible en versión preliminar. Durante la versión preliminar, Amazon Detective está disponible sin cargo para aquellos a quienes aprobaron que obtengan acceso. El acceso a la versión preliminar se puede solicitar aquí.

P: ¿Cómo habilito Amazon Detective?

Puede habilitar Amazon Detective desde la consola de administración de AWS o mediante la API de Amazon Detective. Si ya está utilizando las consolas de Amazon GuardDuty o AWS Security Hub, debe habilitar Amazon Detective con la misma cuenta maestra de Amazon GuardDuty o AWS Security Hub para habilitar la mejor experiencia entre servicios.

P: ¿Puedo administrar varias cuentas con Amazon Detective?

Sí, Amazon Detective es un servicio de varias cuentas que incorpora datos de las cuentas miembro monitoreadas en una sola cuenta maestra dentro de la misma región. Puede configurar implementaciones de monitoreo de varias cuentas de la misma forma que configura las cuentas maestras y cuentas miembro en Amazon GuardDuty y AWS Security Hub.

P: ¿Qué orígenes de datos analiza Amazon Detective?

Amazon Detective permite a los clientes ver resúmenes y datos analíticos asociados con los eventos de AWS CloudTrail y los registros de flujo de la VPC. Para los clientes que tienen Amazon GuardDuty habilitado, Detective también procesa los hallazgos de Amazon GuardDuty.

P: ¿Puedo utilizar Amazon Detective si no tengo Amazon GuardDuty habilitado?

Sí, puede monitorear los eventos de AWS CloudTrail de sus cuentas y la actividad de flujo de la VPC aunque no tenga GuardDuty habilitado. Amazon Detective ofrece resúmenes detallados, análisis y visualizaciones para las cuentas de AWS, las instancias EC2, los usuarios de AWS, los roles y las direcciones IP. Estos pueden ser muy útiles para comprender cómo se utiliza un entrono y una infraestructura de AWS desde la perspectiva del flujo de red y un evento de administración.

P: ¿Con qué rapidez comienza a trabajar Amazon Detective?

Amazon Detective comienza a recopilar datos de registro en el momento en que se habilita y proporciona resúmenes visuales y análisis de los datos incorporados. Amazon Detective también proporciona comparaciones entre la actividad reciente y las bases de referencia históricas que se establecen después de dos semanas de monitoreo de la cuenta. Si es cliente de Amazon GuardDuty, Amazon Detective incorporará y procesará automáticamente los datos de registros históricos de dos semanas desde su activación. Esto le permite comenzar a aprovechar las comparaciones de las bases de referencia y la información de análisis inmediatamente después de habilitar el servicio.

P: ¿Amazon Detective incorpora datos históricos?

Si es cliente de Amazon GuardDuty, Amazon Detective incorporar y procesa los datos de registros históricos de dos semanas desde su activación para garantizar que se establezcan las bases de referencia, de manera que pueda obtener un valor inmediato de las visualizaciones y los análisis de Amazon Detective.

P: ¿Puedo exportar los datos de registro sin procesar desde Amazon Detective?

Amazon Detective analiza los registros de AWS CloudTrail y los registros de flujo de la VPC, pero no hace que los registros sin procesar estén disponibles para la exportación. AWS le permite exportar estos registros a través de otros servicios.

P: ¿Qué datos almacena Amazon Detective? ¿Están cifrados? ¿Puedo controlar qué orígenes de datos están habilitados?

Amazon Detective cumple con el modelo de responsabilidad compartida de AWS, que incluye regulaciones y directrices para la protección de datos. Una vez habilitado, Amazon Detective procesará los datos de los registros de AWS CloudTrail, los registros de flujo de la VPC y los hallazgos de Amazon GuardDuty para cualquier cuenta donde se haya activado.

P: ¿Existen riesgos para el rendimiento o la disponibilidad de las cargas de trabajo de AWS existentes cuando se habilita Amazon Detective?

Amazon Detective no tiene ningún impacto en el rendimiento o la disponibilidad de su infraestructura de AWS, ya que Amazon Detective recupera los datos de registro y los hallazgos directamente de los servicios de AWS.

P: ¿En qué se diferencia Amazon Detective de Amazon GuardDuty y AWS Security Hub?

Amazon GuardDuty es un servicio de detección de amenazas que monitorea de forma constante para detectar actividades maliciosas y comportamientos no autorizados con el fin de proteger sus cargas de trabajo y cuentas de AWS. Con Security Hub, dispone de un único lugar donde se incorporan, organizan y priorizan las alertas de seguridad, o los hallazgos, de varios servicios de AWS, como Amazon GuardDuty, Amazon Inspector y Amazon Macie, así como los de las soluciones de socios de AWS. Amazon Detective simplifica el proceso de investigación de los hallazgos de seguridad y de identificación de la causa raíz. Este servicio analiza billones de eventos de varios orígenes de datos, como los registros de flujos de la VPC, los registros de AWS CloudTrail y los hallazgos de Amazon GuardDuty, además de crear de manera automática un modelo gráfico que ofrece una visión unificada e interactiva de los recursos, los usuarios y las interacciones entre ellos a lo largo del tiempo.

P: ¿Cómo detengo el análisis de registros y orígenes de datos de Amazon Detective?

Amazon Detective le permite analizar y visualizar datos de seguridad de los registros de AWS CloudTrail, los registros de flujos de la VPC y los hallazgos de Amazon GuardDuty. Para que Amazon Detective deje de analizar estos registros y hallazgos para sus cuentas, deshabilite el servicio con la API o desde la sección de configuración de la consola de AWS para Amazon Detective.

Uso de la consola de Amazon Detective

P: ¿Qué orientación brinda Amazon Detective a la hora de investigar un problema de seguridad?

Amazon Detective ofrece una variedad de visualizaciones que presentan el contexto y la información acerca de los recursos de AWS, como las cuentas de AWS, las instancias EC2, los usuarios, los roles, las direcciones IP y los hallazgos de Amazon GuardDuty. Cada visualización está diseñada para responder a preguntas específicas que pueden surgir a medida que analiza los hallazgos y la actividad relacionada. Cada visualización proporciona una guía escrita que explica de forma clara cómo interpretar el panel y utilizar su información para responder a las preguntas de investigación.

P: ¿Cómo se integra Amazon Detective a otros servicios de seguridad de AWS como Amazon GuardDuty y AWS Security Hub?

Amazon Detective admite flujos de trabajo de usuarios entre servicios, ya que admite las integraciones de la consola a Amazon GuardDuty y AWS Security Hub. Estos servicios ofrecen enlaces desde sus consolas que lo redirigen desde un hallazgo seleccionado de forma directa a una página de Amazon Detective que contiene un conjunto de visualizaciones seleccionadas con el fin de investigar dicho hallazgo. La página de detalles de los hallazgos en Amazon Detective ya está alineada con el marco temporal del hallazgo y muestra los datos relevantes asociados con él.

P: ¿Cómo integro los resultados de la investigación de Amazon Detective a las herramientas de respuesta y corrección?

Varios proveedores de soluciones de seguridad de los socios se han integrado a Amazon Detective para permitir que haya pasos de investigación dentro de sus organizaciones y guías automatizadas. Estos productos presentan enlaces desde los flujos de trabajo de respuesta que redirigen a los usuarios a las páginas de Amazon Detective que contienen visualizaciones seleccionadas para investigar los hallazgos y los recursos identificados dentro del flujo de trabajo.

Lea la documentación
Lea la documentación

Obtenga más información acerca de las capacidades y la implementación de Amazon Detective en la documentación correspondiente.

Lea la documentación 
Regístrese para obtener una cuenta de AWS
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Regístrese 
Regístrese para solicitar la versión preliminar
Regístrese para solicitar la versión preliminar

Comience a crear con Amazon Detective registrándose para obtener acceso a la versión preliminar.

Regístrese