Publié le: Sep 17, 2020
Amazon Detective analyse désormais les sessions de rôles IAM. Vous pouvez ainsi visualiser et mieux comprendre les actions effectuées par les utilisateurs et les applications à l’aide des rôles assumés. Avec cette nouvelle fonctionnalité, Detective vous permet de répondre à des questions telles que : « Quel utilisateur fédéré a appelé les API associées à un problème de sécurité ? », « Quels appels d’API un utilisateur a-t-il effectués sur une chaîne d’hypothèses de rôles ? », « Quelle activité d’API une instance EC2 a-t-elle effectuée ? » et « Lesquels de mes utilisateurs utilisent ce rôle intercompte ? », et ce sans analyser manuellement les journaux CloudTrail. En répondant à ces questions, Detective permet aux analystes de sécurité de diagnostiquer plus facilement les problèmes et de mieux comprendre leur cause racine.
Une fois activée, Detective traite automatiquement et de manière économique tous les enregistrements de flux de VPC et les événements de gestion CloudTrail à partir des comptes activés d’un client. Il collecte également les données concernant l’activité effectuée dans le cadre d’un rôle IAM dans les sessions de rôles. Chaque session de rôle regroupe le mandataire assumant le rôle, le rôle assumé, les métadonnées relatives à la session et l’activité d’API effectuée. Les mandataires d’hypothèses de rôles dont l’activité de session de rôle est suivie incluent les instances EC2, les autres rôles, les utilisateurs IAM et les utilisateurs fédérés. Les utilisateurs fédérés comprennent les utilisateurs qui ont accédé à AWS via AWS Single Sign-on (SSO), AWS IAM, AWS Directory Service ou Amazon Cognito, un service qui facilite l’accès par l’entremise d’un fournisseur d’identité sociale et d’autres fournisseurs d’identité SAML 2.0. Les analystes peuvent extraire les informations concernant une session de rôle. Ils peuvent également afficher, filtrer et comprendre l’activité d’API associée à cette session. Detective visualise aussi les écarts d’utilisation d’un mandataire pour un rôle dans chaque session de rôle, ce qui permet aux analystes d’identifier rapidement les nouvelles régions à partir desquelles s’effectue l’accès ou les modifications apportées au modèle des appels d’API. Detective suit la création de chaînes de rôles (utilisation d’un rôle pour assumer un autre rôle). De cette manière, les analystes peuvent suivre la chaîne d’hypothèses de rôles et les attribuer aux mandataires appelés. Detective conserve les données pendant 12 mois, ce qui vous permet d’examiner facilement l’historique de votre activité.
Avec la nouvelle fonctionnalité d’analyse des sessions de rôles, vous pouvez attribuer des appels d’API à des mandataires spécifiques lors d’investigations de sécurité, et mieux comprendre comment les rôles IAM sont utilisés sur les comptes activés. Au lieu d’exporter, de stocker et d’analyser l’activité CloudTrail à l’aide d’outils personnalisés ou tiers, laissez Amazon Detective faire le gros du travail et vous aider à répondre rapidement à vos questions. L’analyse des sessions de rôles IAM est désormais disponible sans frais supplémentaires dans toutes les régions prenant en charge Detective.
Amazon Detective facilite l’analyse, l’examen et l’identification rapide de la cause racine des problèmes de sécurité potentiels. Pour démarrer, activez un essai gratuit de 30 jours d’Amazon Detective d'un simple clic dans AWS Management Console. Consultez la page des régions AWS pour connaître toutes les régions où Detective est disponible. Pour en savoir plus, consultez la page produit Amazon Detective.