Publié le: Jan 21, 2021

Amazon Detective propose désormais une analyse améliorée des adresses IP, ce qui permet d'accélérer les enquêtes de sécurité. Grâce à cette nouvelle fonctionnalité, vous pouvez répondre à des questions sur une adresse IP spécifique, telles que « depuis combien de temps cette adresse IP interagit-elle avec les ressources de mes comptes », « avec laquelle de mes instances EC2 cette adresse IP a-t-elle communiqué », « quels volumes de données ont été échangés avec cette adresse IP et sur quels ports la communication a-t-elle eu lieu » ou « quels utilisateurs et rôles ont invoqué des opérations API à partir de cette adresse IP ». En fournissant des réponses à de telles questions, Detective permet aux analystes de sécurité de déterminer rapidement le comportement de l'adresse IP et de diagnostiquer les incidents de sécurité.

Une fois activé, Detective traite automatiquement et de manière rentable tous les enregistrements de flux VPC et les événements de gestion CloudTrail sur les comptes activés, en rassemblant ces données par les ressources observées, telles qu'une adresse IP. Les analystes de sécurité peuvent rapidement visualiser et examiner les agrégations de l'activité réseau et API d'une adresse IP ainsi que ses interactions avec les ressources dans Detective. Ces détails d'adresse IP sont accessibles soit en recherchant une adresse IP qui doit être étudiée, soit en accédant aux détails de l'adresse IP dans le cadre d'une enquête de sécurité menée dans Detective pour les ressources qui peuvent avoir interagi avec l'adresse IP. En consultant les détails d'une adresse IP, Detective permet désormais aux analystes de sécurité d'examiner les utilisateurs et les rôles réels qui ont invoqué les opérations API à partir de l'adresse IP. Les analystes de sécurité peuvent également utiliser Detective pour examiner un résumé visuel des modèles de trafic réseau entrant et sortant dans lesquels l'adresse IP a été impliquée et pour explorer les détails du trafic pour les interactions entre l'adresse IP et les instances EC2 dans les comptes concernés. Detective conserve les résumés et les analyses collectés à partir des journaux ingérés pendant 12 mois, ce qui permet d'examiner facilement l'activité historique.

Ces nouvelles fonctionnalités permettront de simplifier l'analyse de la sécurité pour vos équipes de sécurité et d'exploitation en permettant une évaluation rapide de l'activité d'une adresse IP à travers les comptes et les ressources AWS. Au lieu d'exporter, de stocker et d'analyser les données de flux VPC et de CloudTrail dans un outil personnalisé ou tiers, vous pouvez laisser Amazon Detective faire le gros du travail pendant que vous vous concentrez sur la réponse rapide à vos questions d'enquête. L'analyse IP améliorée est désormais disponible dans toutes les régions prises en charge par Detective et est incluse sans frais supplémentaires dans votre abonnement au service.

Amazon Detective facilite l’analyse, l’examen et l’identification rapide de la cause racine des problèmes de sécurité potentiels. Pour démarrer, activez un essai gratuit de 30 jours d'Amazon Detective d'un simple clic dans AWS Management Console. Consultez la page des régions AWS pour déterminer dans quelles régions Amazon Detective est disponible. Pour en savoir plus, consultez la page produit Amazon Detective.