Publié le: Sep 7, 2021
Amazon Detective, en collaboration avec le projet Splunk Trumpet, a rendu possible le passage d'un résultat d'Amazon GuardDuty dans Splunk directement à un profil d'entité d'Amazon Detective, afin que les clients puissent identifier rapidement la cause principale de problèmes de sécurité potentiels ou d'activités suspectes.
Cette nouvelle fonctionnalité permettra à vos équipes de sécurité et d'opération d'analyser plus facilement la sécurité en passant rapidement de Splunk à Amazon Detective. Plus besoin de copier et coller des URL ou de rechercher la ressource souhaitée dans Detective. Detective peut s'en charger pendant que vous vous concentrez sur la réponse rapide aux questions d'enquête. Par exemple, Amazon Detective peut vous aider à répondre à des questions telles que : « depuis combien de temps cette adresse IP que je recherche dans Splunk interagit-elle avec les ressources de mes comptes AWS ? », « avec laquelle de mes instances EC2 cette adresse IP a-t-elle communiqué », « quels volumes de données ont été échangés avec cette adresse IP ? », « sur quels ports la communication a-t-elle eu lieu ? » ou « quels utilisateurs et rôles ont invoqué des opérations API à partir de cette adresse IP ? ».
La nouvelle intégration d'Amazon Detective est désormais disponible dans le cadre du projet Splunk Trumpet dans toutes les régions où Amazon Detective est pris en charge. Cette intégration vient s'ajouter au préprocesseur Lambda qui transmet les résultats de GuardDuty à Splunk. Le code mis à jour reçoit les enregistrements d'entrée pour les résultats d'Amazon GuardDuty et analyse le contenu pour générer les URL appropriées d'Amazon Detective comme champs supplémentaires dans Splunk. Les URL que Splunk génère utilisent le format d'URL de profil décrit dans la section Navigation directe vers un profil à l'aide d'une URL du Guide de l'utilisateur Amazon Detective. Voici un exemple d'URL pour une instance EC2 : (https://console.aws.amazon.com/detective/home?region=us-east-1#entities/Ec2Instance/i-0149bf6226265a199?scopeStart=1624674429&scopeEnd=1626473483).
Les instructions suivantes vous permettront de réaliser l'intégration initiale de Splunk avec AWS : Automatisation de l'ingestion de données AWS dans Splunk. Sur la page d'installation du projet Splunk Trumpet, sélectionnez URL GuardDuty de Detective dans la liste déroulante AWS CloudWatch Events.
Amazon Detective facilite l'analyse, l'examen et l'identification rapide de la cause racine des problèmes de sécurité potentiels. Pour démarrer, activez un essai gratuit de 30 jours d'Amazon Detective en quelques clics dans la Console de gestion AWS. Consultez la page des régions AWS pour déterminer les régions dans lesquelles Detective est disponible. Pour en savoir plus, consultez la page produit Amazon Detective.