Preguntas frecuentes sobre Amazon Detective

P: ¿Qué es Amazon Detective?

Amazon Detective facilita el análisis, la investigación y la rápida identificación de la causa raíz de posibles problemas de seguridad o actividades sospechosas. Amazon Detective recopila datos de registro de manera automática a partir de sus recursos de AWS y utiliza el machine learning, el análisis estadístico y la teoría de gráficos para crear un conjunto de datos vinculados que le permite llevar a cabo fácilmente investigaciones sobre la seguridad más rápidas y eficientes.

P: ¿Qué beneficios clave ofrece Amazon Detective?

Amazon Detective simplifica el proceso de investigación y ayuda a los equipos de seguridad a llevar a cabo investigaciones más rápidas y efectivas. Las incorporaciones de datos creados previamente, los resúmenes y el contexto de Amazon Detective lo ayudan a analizar y determinar rápidamente la naturaleza y el alcance de posibles problemas de seguridad. Amazon Detective mantiene hasta un año los datos incorporados y facilita su disponibilidad a través de un conjunto de visualizaciones que muestran cambios en el tipo y el volumen de actividad durante un periodo de determinado. Además, vincula esos cambios a los hallazgos en materia de seguridad. No se aplican costos iniciales y solo paga por los eventos analizados, sin software adicional que implementar ni fuentes de registro que habilitar.

P: ¿Cómo lo ayuda Amazon Detective a analizar las investigaciones de seguridad?

Amazon Detective extrae eventos temporales como intentos de inicio de sesión, llamadas a la API y tráfico de red de AWS CloudTrail, registros de flujo de Amazon Virtual Private Cloud (Amazon VPC), resultados de Amazon GuardDuty, resultados de AWS Security Hub y registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS). Detective crea un gráfico de comportamiento que utiliza el machine learning (ML) para crear una vista unificada e interactiva del comportamiento de los recursos y sus interacciones a lo largo del tiempo, específicamente para estos eventos basados en el tiempo. Al explorar el gráfico de comportamiento, puede analizar los eventos de seguridad, como intentos de inicio de sesión fallidos,
llamadas sospechosas a las API o búsqueda de grupos que le ayuden a investigar la causa raíz de sus resultados de seguridad de AWS.

P: ¿Qué son los grupos de resultados y cómo reducen el tiempo necesario para investigar resultados?

Los actores de amenazas suelen realizar una serie de acciones cuando intentan comprometer su entorno de AWS, lo que puede provocar múltiples resultados seguridad en sus recursos de AWS. Los grupos de resultados son conjuntos de resultados y recursos de seguridad que están asociados a un único posible incidente de seguridad que debe investigar juntos. Los grupos de resultados pueden ayudar a reducir el tiempo de clasificación, ya que no es necesario investigar cada resultado individual por separado. Puede comenzar su investigación con grupos de resultados, ya que ofrecen una comprensión más completa del incidente. También ofrecen visualizaciones interactivas que permiten explorar resultados e información específicos mediante la IA generativa para describir la cadena de eventos en lenguaje natural. Para más información, lea Análisis de los grupos de resultados.

P: ¿Qué son las investigaciones automatizadas y cómo ayudan a reducir el tiempo de investigación de los recursos?

Las investigaciones automatizadas le permiten investigar las entidades de AWS Identity and Access Management (IAM), como los usuarios o roles de IAM, para determinar si estas entidades están potencialmente comprometidas. Para ello, las investigaciones automatizadas consultan el gráfico de comportamiento y utilizan machine learning para identificar si la entidad de IAM presenta un comportamiento anómalo o muestra indicadores de compromiso (IoC). Estos IoC pueden incluir actividades potencialmente maliciosas, como inicios de sesión imposibles de viajar, asociaciones con direcciones IP incorrectas conocidas y un historial de resultados de seguridad. En lugar de analizar los registros de AWS CloudTrail y desarrollar sus propios scripts para detectar actividades sospechosas, puede ahorrar tiempo mediante investigaciones automatizadas para responder a preguntas como: “¿Se ha utilizado este rol de IAM en intentos de inicio de sesión imposible?” o “¿utilizó esta sesión de rol de IAM una dirección IP maliciosa conocida?” o “¿qué tácticas, técnicas y procedimientos (TTP) activó este rol de entidad principal de IAM durante un evento de seguridad?”. Consulte la guía para usuarios de Amazon Detective.

P: ¿Cuánto cuesta Amazon Detective?

El precio de Amazon Detective se basa en el volumen de datos ingeridos de los registros de AWS CloudTrail, los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC), los registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS), los resultados de Amazon GuardDuty y los resultados enviados desde servicios de AWS integrados a AWS Security Hub. Se le cobrará por gigabyte (GB) ingerido por cuenta, región y mes. Amazon Detective mantiene hasta un año los datos incorporados para su análisis. Consulte la página de precios de Amazon Detective para ver la información de los precios más reciente. Los resultados de Amazon EKS y AWS Security Hub son orígenes de datos opcionales que puede desactivar si no desea que Detective ingiera datos procedentes de esos orígenes.

P: ¿Hay una prueba gratuita?

Sí, una cuenta nueva de Amazon Detective puede probar el servicio durante un período de 30 días sin costo. Durante la prueba gratuita, tendrá acceso al conjunto completo de características.  

P: ¿Amazon Detective es un servicio regional o global?

Se necesita habilitar Amazon Detective región por región. Este le permite analizar rápidamente la actividad en todas las cuentas dentro de cada región. De esta manera, garantiza que todos los datos analizados permanezcan en las regiones y no transgredan los límites regionales de AWS.

P: ¿Qué regiones admite Amazon Detective?

La disponibilidad por regiones de Amazon Detective se describe aquí: Tabla de regiones de AWS

P: ¿Cómo puedo comenzar a utilizar Amazon Detective?

Amazon Detective se puede activar con unos pocos clics en la consola de administración de AWS. Una vez habilitado, Amazon Detective organiza automáticamente los datos en un modelo gráfico y este se actualiza continuamente a medida que hay nuevos datos disponibles. Puede probar Amazon Detective y comenzar a investigar posibles problemas de seguridad.

P: ¿Cómo habilito Amazon Detective?

Puede habilitar Amazon Detective desde la consola de administración de AWS o mediante la API de Amazon Detective. Si ya está utilizando las consolas de Amazon GuardDuty o AWS Security Hub, debe habilitar Amazon Detective con la misma cuenta administrativa de Amazon GuardDuty o AWS Security Hub para habilitar la mejor experiencia entre servicios.

P: ¿Puedo administrar varias cuentas con Amazon Detective?

Sí, Amazon Detective es un servicio de varias cuentas que incorpora datos de las cuentas miembro monitoreadas en una sola cuenta administrativa dentro de la misma región. Puede configurar implementaciones de monitoreo de varias cuentas de la misma forma que configura las cuentas administrativas y cuentas miembro en Amazon GuardDuty y AWS Security Hub.

P: ¿Qué orígenes de datos analiza Amazon Detective?

Amazon Detective permite a los clientes ver resúmenes y datos analíticos asociados a los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC), los registros de AWS CloudTrail, los registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS), los resultados de AWS Security Hub y los resultados de Amazon GuardDuty.

P: ¿Puedo utilizar Amazon Detective si no tengo Amazon GuardDuty habilitado?

Al menos 48 horas antes de habilitar Amazon Detective en sus cuentas, debe tener Amazon GuardDuty habilitado en ellas. Sin embargo, puede utilizar Amazon Detective para investigar más allá de los hallazgos de Amazon GuardDuty. Amazon Detective ofrece resúmenes detallados, análisis y visualizaciones de los comportamientos e interacciones entre sus cuentas de AWS, instancias EC2, usuarios de AWS, roles y direcciones IP. Esta información puede ser muy útil para comprender los problemas de seguridad o la actividad de la cuenta operativa.

P: ¿Con qué rapidez comienza a trabajar Amazon Detective?

Amazon Detective comienza a recopilar datos de registro en el momento en que se habilita y proporciona resúmenes visuales y análisis de los datos incorporados. Amazon Detective también proporciona comparaciones entre la actividad reciente y las bases de referencia históricas que se establecen después de dos semanas de monitoreo de la cuenta.

P: ¿Puedo exportar los datos de registro sin procesar desde Amazon Detective?

Sí, puede exportar los registros de AWS CloudTrail y los registros de flujo de Amazon VPC mediante una integración con Amazon Security Lake. Puedes ver cómo funciona la integración en la sección “Amazon Detective para Amazon Security Lake”.

P: ¿Qué datos almacena Amazon Detective? ¿Están cifrados? ¿Puedo controlar qué orígenes de datos están habilitados?

Amazon Detective cumple con el modelo de responsabilidad compartida de AWS, que incluye regulaciones y directrices para la protección de datos. Una vez habilitado, Amazon Detective procesará los datos de los registros de AWS CloudTrail, los registros de flujo de Amazon VPC, los registros de auditoría de Amazon EKS, los resultados enviados desde servicios de AWS integrados a AWS Security Hub y los resultados de Amazon GuardDuty para cualquier cuenta donde se haya activado.

P: ¿Existen riesgos para el rendimiento o la disponibilidad de las cargas de trabajo de AWS existentes cuando se habilita Amazon Detective?

Amazon Detective no tiene ningún impacto en el rendimiento o la disponibilidad de su infraestructura de AWS, ya que Amazon Detective recupera los datos de registro y los hallazgos directamente de los servicios de AWS.

P: ¿En qué se diferencia Amazon Detective de Amazon GuardDuty y AWS Security Hub?

Amazon GuardDuty es un servicio de detección de amenazas que monitorea de manera continua para detectar actividades maliciosas y comportamientos no autorizados con el fin de proteger sus cargas de trabajo y cuentas de AWS. Con AWS Security Hub, dispone de un único lugar donde se incorporan, organizan y priorizan las alertas de seguridad, o los hallazgos, de múltiples servicios de AWS, como Amazon GuardDuty, Amazon Inspector y Amazon Macie, así como los de las soluciones de socios de AWS. Amazon Detective simplifica el proceso de investigación de los resultados de seguridad y de identificación de la causa raíz. Amazon Detective analiza billones de eventos de múltiples orígenes de datos, como los registros de flujo de Amazon VPC, los registros de AWS CloudTrail, los registros de auditoría de Amazon EKS, los resultados enviados desde servicios de AWS integrados a AWS Security Hub y los resultados de Amazon GuardDuty, además de crear de manera automática un modelo gráfico que ofrece una visión unificada e interactiva de los recursos, los usuarios y las interacciones entre ellos a lo largo del tiempo.

P: ¿Cómo detengo el análisis de registros y orígenes de datos de Amazon Detective?

Amazon Detective le permite analizar y visualizar datos de seguridad de los registros de AWS CloudTrail, los registros de flujo de Amazon VPC, los registros de auditoría de Amazon EKS, los resultados enviados desde servicios de AWS integrados a AWS Security Hub y los resultados de Amazon GuardDuty. Para que Amazon Detective deje de analizar estos registros y resultados en sus cuentas, desactive el servicio con la API o desde la sección de configuración de la Consola de AWS para Amazon Detective.

P: ¿Qué orientación brinda Amazon Detective a la hora de investigar un problema de seguridad?

Amazon Detective ofrece una variedad de visualizaciones que presentan el contexto y la información acerca de los recursos de AWS, como las cuentas de AWS, las instancias EC2, los usuarios, los roles, las direcciones IP y los hallazgos de Amazon GuardDuty. Cada visualización está diseñada para responder a preguntas específicas que pueden surgir a medida que analiza los hallazgos y la actividad relacionada. Cada visualización proporciona una guía escrita que explica de forma clara cómo interpretar el panel y utilizar su información para responder a las preguntas de investigación.

P: ¿Cómo se integra Amazon Detective a otros servicios de seguridad de AWS como Amazon GuardDuty, AWS Security Hub y Amazon Security Lake?

Amazon Detective admite flujos de trabajo de usuarios entre servicios, ya que admite las integraciones de la consola a Amazon GuardDuty, AWS Security Hub y Amazon Security Lake. GuardDuty y Security Hub ofrecen enlaces desde sus consolas que lo redirigen desde un resultado seleccionado de forma directa a una página de Amazon Detective que contiene un conjunto de visualizaciones seleccionadas con el fin de investigar dicho resultado. Amazon Detective proporciona consultas prediseñadas basadas en sus investigaciones que pueden consultar y descargar archivos de registro de Amazon Security Lake. La página de detalles de los resultados en Amazon Detective ya está alineada con el marco temporal del resultado y muestra los datos relevantes asociados con dicho resultado.

P: ¿Cómo integro los resultados de la investigación de Amazon Detective a las herramientas de respuesta y corrección?

Varios proveedores de soluciones de seguridad de los socios se han integrado a Amazon Detective para permitir que haya pasos de investigación dentro de sus organizaciones y guías automatizadas. Estos productos presentan enlaces desde los flujos de trabajo de respuesta que redirigen a los usuarios a las páginas de Amazon Detective que contienen visualizaciones seleccionadas para investigar los resultados y los recursos identificados dentro del flujo de trabajo.

P: ¿Cómo funciona Amazon Detective para AWS Security Hub?

Una vez habilitado, Amazon Detective analiza y correlaciona de forma automática y continua la actividad de los usuarios, la red y la configuración para los servicios de AWS integrados con AWS Security Hub. Amazon Detective ingiere automáticamente los resultados de seguridad reenviados desde los servicios de seguridad de AWS a AWS Security Hub a través del origen de datos opcional denominado AWS Security Findings.

P: ¿Qué son los resultados de seguridad de AWS?

AWS Security Hub admite integraciones con varios servicios de AWS. Con la expectativa de que Amazon Macie detecte resultados de datos confidenciales, se suscribe automáticamente a todas las demás integraciones de servicios de AWS con Security Hub. Si ha habilitado Security Hub y cualquiera de los servicios integrados, esos servicios enviarán los resultados a Security Hub. Detective recoge esos resultados y los agrega a su gráfico para que pueda realizar investigaciones de seguridad para todos los servicios de AWS integrados. Estos servicios incluyen AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS Health, AWS Identity and Access Management Access Analyzer, Amazon Inspector, AWS IoT Device Defender, Amazon Macie y AWS Systems Manager Patch Manager.

P: ¿Tengo que habilitar los resultados de seguridad de AWS?

De forma predeterminada, los resultados de seguridad de AWS están habilitados como origen de datos para las cuentas nuevas que utilizan Detective. Es posible que deba habilitar este origen de datos si utilizaba Detective antes de que fuera compatible con los resultados de seguridad de AWS. Puede seguir los pasos que se enumeran en Resultados de seguridad de AWS de la Guía administrativa para confirmar los orígenes de datos de Detective. Este origen de datos debe estar habilitado para cada región en la que vaya a utilizar Detective.

El uso de Amazon Detective de resultados de seguridad de AWS está diseñado para no afectar al rendimiento de sus servicios de seguridad de AWS, ya que Amazon Detective consume los resultados de seguridad mediante secuencias de registro independientes y duplicadas. De esta manera, el uso por parte de Amazon Detective de los resultados de seguridad de AWS no aumentará los costos de uso de AWS Security Hub ni de ningún servicio de seguridad integrado de AWS.

P: ¿Cómo se me cobra por utilizar Amazon Detective para investigar los resultados de los servicios de seguridad de AWS?

El precio del consumo de resultados de seguridad de AWS por parte de Amazon Detective se basa en el volumen de resultados procesados y analizados por Amazon Detective. Amazon Detective ofrece una prueba gratuita de 30 días a todos los clientes que habilitan los resultados de seguridad de AWS, lo que les permite asegurarse de que las funciones de Amazon Detective satisfacen sus necesidades de seguridad y obtener una estimación del costo mensual del servicio antes de comprometerse a un uso de pago.

P: Si reenvío los resultados de Amazon GuardDuty a AWS Security Hub, ¿se me cobrará el doble?

No, Amazon Detective solo cobrará una vez por los resultados enviados desde cada servicio. 

P: ¿Cómo funciona Amazon Detective para Amazon Security Lake?

Tras integrar los dos servicios, Amazon Detective puede consultar y recuperar los registros de AWS CloudTrail y los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) de Amazon Security Lake para sus investigaciones de seguridad. Puede utilizar esta integración para iniciar sus investigaciones en Amazon Detective y obtener una vista previa o descargar registros específicos de AWS CloudTrail o registros de flujo de Amazon VPC si necesita información adicional almacenada en los registros. Por ejemplo, si está investigando actividades sospechosas de un usuario de IAM durante las últimas 24 horas, puede utilizar Amazon Detective para obtener un resumen de los servicios con los que ha interactuado el usuario de IAM en el panel de métodos de la API. Si observa interacciones con los servicios que representen un posible problema de seguridad, como llamadas a la API para describir roles, puede descargar los registros de AWS CloudTrail para ese usuario de IAM. Amazon Detective proporcionará una consulta SQL prediseñada con Amazon Athena en función de la hora y la entidad (las últimas 24 horas para el usuario de IAM) objeto de investigación, lo que facilitará la consulta y la recuperación de registros. Esta integración le ayuda a ahorrar tiempo al eliminar la necesidad de crear la consulta SQL desde cero, y puede obtener una vista previa de los resultados y descargarlos sin tener que salir de la consola de Amazon Detective.

P: ¿Cómo habilito la integración entre Amazon Detective y Amazon Security Lake?

Para habilitar la integración entre los dos servicios, tendrá que ejecutar una plantilla de Amazon CloudFormation. Esta plantilla crea un cuenta de suscriptor con permisos suficientes para consultar y consumir registros de Amazon Security Lake e implementa servicios de AWS adicionales en su cuenta que se utilizan para consultar y descargar registros. Puede revisar lo que implementa la plantilla de Amazon CloudFormation en la Guía del usuario de Amazon Detective.

P: ¿Cómo se me cobra por usar la integración de Amazon Detective con Amazon Security Lake?

Se le cobrará por cada servicio de acuerdo con los precios de Amazon Detective y Amazon Security Lake. Además, se le cobrarán cargos por cada consulta que utilice Amazon Athena y se cobrarán por los servicios adicionales de AWS implementados en su cuenta para respaldar la integración. Puede utilizar la Calculadora de precios de AWS para estimar el costo total de la integración de los dos servicios.

P: ¿Tengo que habilitar la integración de Amazon Detective con Amazon Security Lake en cada región de AWS de forma individual?

Sí. Deberá ejecutar la plantilla de Amazon CloudFormation en cada región de AWS en la que desee integrar Amazon Detective con Amazon Security Lake. 

P: ¿Cómo funciona Amazon Detective para los registros de auditoría de Amazon EKS?

Una vez habilitado, Amazon Detective analiza y correlaciona de forma automática y continua la actividad de los usuarios, la red y la configuración en las cargas de trabajo de Amazon EKS. Amazon Detective incorpora automáticamente los registros de auditoría de Amazon EKS y correlaciona las actividades de los usuarios con los eventos de administración de AWS CloudTrail y la actividad de la red con los registros de flujo de Amazon VPC sin necesidad de habilitar ni almacenar estos registros manualmente. El servicio extrae información de seguridad clave de estos registros y los retiene en una base de datos de grafos de comportamiento de seguridad que permite un rápido acceso cruzado a doce meses de actividad. Amazon Detective proporciona una capa de análisis y visualización de datos para ayudar a responder a las preguntas de seguridad más comunes con el respaldo de una base de datos de grafos de comportamiento que permite investigar más rápidamente los posibles comportamientos maliciosos asociados a las cargas de trabajo de Amazon EKS.

P: ¿Debo habilitar el registro de auditoría de Amazon EKS?

De forma predeterminada, el registro de auditoría de Amazon EKS está habilitado como origen de datos para las cuentas que utilizan Detective. Es posible que deba habilitar este origen de datos si utilizaba Detective antes de que se fuera compatible con los registros de auditoría de EKS. Puede seguir los pasos que figuran en los Registros de auditoría de Amazon EKS para Detective de la Guía administrativa para confirmar los orígenes de datos de Detective. Este origen de datos debe estar habilitado para cada región en la que vaya a utilizar Detective.

El consumo de Amazon Detective de los registros de auditoría de Amazon EKS está diseñado para no afectar al rendimiento de las cargas de trabajo de Amazon EKS, ya que Amazon Detective consume los registros de auditoría mediante secuencias de registros de auditoría independientes y duplicadas. De este modo, el uso de los registros de auditoría de Amazon EKS por parte de Amazon Detective no aumentará los costos por el uso de Amazon EKS.

P: ¿Cómo se me cobra el uso de Amazon Detective para asegurar mis cargas de trabajo de Amazon EKS?

El consumo de registros de auditoría de Amazon EKS por parte de Amazon Detective tiene un precio basado en el volumen de registros de auditoría procesados y analizados por Amazon Detective. Amazon Detective ofrece una prueba gratuita de 30 días a todos los clientes que habilitan la cobertura de Amazon EKS, lo que les permite asegurarse de que las características de Amazon Detective satisfacen sus necesidades de seguridad y obtener una estimación del costo mensual del servicio antes de comprometerse a un uso pago.

P: ¿Amazon Detective proporciona visibilidad de la carga de trabajo de Amazon EKS en AWS Fargate, Kubernetes no administrado en EC2 o para ES Anywhere?

Actualmente, esta funcionalidad admite implementaciones de Amazon EKS que se ejecutan en instancias EC2 de una cuenta de AWS. Detective también es compatible con la supervisión en tiempo de ejecución de EKS para Amazon GuardDuty y la supervisión en tiempo de ejecución de ECS (que incluye la supervisión de Amazon ECS en Fargate). Esta capacidad no proporciona visibilidad de Kubernetes no administrados en EC2 o ES Anywhere.