Saltar al contenido principal

Características de Amazon Detective

¿Por qué usar Amazon Detective?

Amazon Detective facilita el análisis, la investigación y la rápida identificación de la causa raíz de posibles problemas de seguridad o actividades sospechosas. Amazon Detective recopila datos de registro de manera automática a partir de sus recursos de AWS y utiliza el machine learning, el análisis estadístico y la teoría de gráficos para crear un conjunto de datos vinculados que le permite llevar a cabo fácilmente investigaciones sobre la seguridad más rápidas y eficientes.

Amazon Detective puede analizar billones de eventos de varios orígenes de datos, como los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC), los registros de AWS CloudTrail, los registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS) y los resultados de seguridad de varios servicios, como Amazon GuardDuty, AWS Security Hub y más. Detective crea automáticamente una vista unificada e interactiva de sus recursos, usuarios y las interacciones entre ellos a lo largo del tiempo. Gracias a esta perspectiva unificada, puede visualizar todos los detalles y el contexto en un solo lugar a fin de identificar las razones subyacentes que explican los resultados, profundizar en actividades históricas relevantes y determinar con rapidez la causa raíz.

Información general

Recopilación automática de datos en todas sus cuentas de AWS

Amazon Detective incorpora y procesa los datos relevantes de todas las cuentas habilitadas de manera automática. No tiene que configurar ni habilitar los orígenes de datos. Amazon Detective recopila y analiza eventos de fuentes de datos, como registros de AWS CloudTrail, registros de flujo de Amazon VPC, registros de auditoría de Amazon EKS, resultados de Amazon GuardDuty, resultados de AWS Security Hub, otros servicios de seguridad integrados de AWS, y mantiene hasta un año de datos agregados para su análisis.

Consolidación de eventos diversos en un modelo gráfico

Amazon Detective puede analizar billones de eventos de varios tipos de datos, incluido el tráfico IP, las operaciones de administración de AWS y las actividades potencialmente maliciosas o no autorizadas. Detective construye un modelo de gráficos utilizando el aprendizaje automático, el análisis estadístico y la teoría de grafos para crear un conjunto de datos enlazados para las investigaciones de seguridad. El modelo gráfico prediseñado contiene relaciones relacionadas con la seguridad y ofrece información contextual y de comportamiento que le permite validar, comparar y correlacionar rápidamente los datos para llegar a conclusiones. Las visualizaciones de Amazon Detective se basan en el modelo gráfico, lo que le permite responder rápidamente a las preguntas de investigación sin la complejidad de consultar los registros sin procesar. Por ejemplo, el gráfico proporciona el contexto y las relaciones, como cuando una dirección IP se conecta a una instancia EC2 y las llamadas a la API realizadas por un rol durante un período de tiempo específico.

Visualizaciones interactivas para llevar a cabo una investigación eficiente

Amazon Detective proporciona visualizaciones e información interactivas mediante IA generativa, lo que facilita que la investigación de los problemas sea más rápida y exhaustiva, y que conlleve menos esfuerzo. Gracias a una vista unificada que le permite visualizar todo el contexto y los resúmenes de lenguaje natural en un solo lugar, ahora es más fácil identificar aquellos patrones que pueden validar o refutar problemas de seguridad, además de comprender todos los recursos afectados en un resultado de seguridad. Cuando utilice estas visualizaciones e información, puede filtrar de manera más fácil grandes conjuntos de datos de eventos en plazos específicos con todos los detalles, el contexto y la orientación para investigar con rapidez. Amazon Detective le permite ver los intentos de inicio de sesión mediante geolocalización, explorar actividades históricas relevantes, determinar con rapidez la causa raíz y, si fuera necesario, tomar medidas para resolver el problema.

Missing alt text value

Volumen general de llamadas a la API

La visualización gráfica le muestra resultados de AWS Security relacionados y los recursos afectados por un solo evento de seguridad, como instancias de EC2, roles y usuarios de IAM, buckets de S3 y direcciones IP. La información describe lo que sucedió durante el evento de seguridad en un lenguaje natural para ayudarlo a comprender la cadena de eventos. Esto le ayuda a investigar actividades inusuales o sospechosas con mayor rapidez y menos esfuerzo. El volumen general de llamadas a la API le muestra las llamadas con errores y aquellas que se realizaron correctamente en un periodo específico, y lo compara con la base de referencia establecida. Esto le ayuda a identificar patrones de actividad anormal y validar un hallazgo de seguridad.

Missing alt text value

Más características

Integración absoluta para la investigación de un resultado de seguridad

Amazon Detective está integrado con los servicios de seguridad de AWS, como Amazon GuardDuty, AWS Security Hub, Amazon Inspector y Amazon Security Lake, así como con los productos de seguridad de los socios de AWS para ayudar a investigar rápidamente los hallazgos de seguridad identificados en estos servicios. Con un solo paso de estos servicios integrados, puede ir a Amazon Detective y ver de inmediato los eventos relacionados con los hallazgos, profundizar en las actividades históricas relevantes e investigar el problema. Por ejemplo, a partir de un hallazgo de Amazon GuardDuty, puede iniciar Amazon Detective haciendo clic en «Investigar en Detective», que proporciona información instantánea sobre la actividad relevante para el recurso en cuestión. Desde Detective, puede consultar y recuperar las fuentes de registro almacenadas en Amazon Security Lake sin tener que crear consultas ni salir de la consola de Detective.

Soporte de investigación de seguridad para el monitoreo de la versión ejecutable de Amazon GuardDuty

Amazon Detective apoya las investigaciones de seguridad para GuardDuty ECS y EKS Runtime Monitoring, proporcionando visualizaciones mejoradas y contexto adicional para la detección de nuevas amenazas. Puede utilizar las detecciones de amenazas en tiempo de ejecución de GuardDuty y las capacidades de investigación de Detective para mejorar la detección y la respuesta ante posibles amenazas a las cargas de trabajo de sus contenedores. Detective apoya la investigación de estas nuevas detecciones al incluirlas en grupos de búsqueda, visualizaciones y otros resúmenes para acelerar las investigaciones de seguridad.

Despliegue simple sin integración inicial de origen de datos ni configuraciones complejas para mantener

Con unos pocos pasos en la consola de administración de AWS, puede habilitar Amazon Detective. No hay ningún software para implementar, agentes para instalar ni configuraciones complejas para mantener. Además, no hay orígenes de datos para habilitar, lo que significa que no tiene que afrontar los costos de habilitación de dichos orígenes, ni de transferencias y almacenamiento de datos.