Amazon Detective

Analyser et visualiser les données de sécurité pour trouver rapidement la cause principale des problèmes de sécurité potentiels

Amazon Detective facilite l'analyse, l'examen et l'identification rapide de la cause principale des problèmes de sécurité potentiels ou des activités suspectes. Amazon Detective collecte automatiquement les données de journal de vos ressources AWS et utilise le machine learning, l'analyse statistique et la théorie des graphiques pour créer un ensemble de données liées qui vous permet de mener facilement des analyses de sécurité plus rapides et plus efficaces.

Les services de sécurité comme Amazon GuardDuty, Amazon Macie et AWS Security Hub ainsi que les produits de sécurité des partenaires peuvent être utilisés pour identifier les problèmes de sécurité potentiels ou les résultats. Ces services sont très utiles pour vous alerter lorsque quelque chose ne va pas et pour vous indiquer l’emplacement du problème en vue de le résoudre. Mais parfois, il se peut qu’un résultat de sécurité vous amène à creuser beaucoup plus profondément et à analyser plus d'informations pour isoler la cause principale et prendre des mesures. La détermination de la cause principale des résultats de sécurité peut être un processus complexe qui implique souvent de collecter et de combiner des journaux de nombreuses sources de données distinctes, d'utiliser des outils d'extraction, de transformation et de chargement (ETL) des données ou des scripts personnalisés pour organiser les données. Ensuite, les analystes de la sécurité doivent analyser les données et mener de longues enquêtes.

Amazon Detective simplifie ce processus en permettant à vos équipes de sécurité d'enquêter facilement et de trouver rapidement la cause principale d'un résultat. Amazon Detective peut analyser des milliards d'événements à partir de plusieurs sources de données, telles que les journaux de flux Virtual Private Cloud (VPC), AWS CloudTrail et Amazon GuardDuty, et crée automatiquement une vue interactive et unifiée de vos ressources, de vos utilisateurs et des interactions mutuelles au fil du temps. Avec cette vue unifiée, vous pouvez visualiser toutes les informations et le contexte dans un seul endroit pour identifier les raisons sous-jacentes des résultats, explorer en détail les activités d'historique pertinentes et déterminer rapidement la cause principale.

Vous pouvez commencer à utiliser Amazon Detective en quelques clics dans la console AWS. Il n’y a aucun logiciel à déployer, ni de sources de données à activer et mettre à jour.

Avantages

Des enquêtes plus rapides et plus efficaces

Amazon Detective présente une vue unifiée des interactions des utilisateurs et des ressources au fil du temps, avec tout le contexte et les détails en un seul endroit pour vous aider à analyser rapidement et à trouver la cause principale d'un résultat de sécurité. Par exemple, un résultat Amazon GuardDuty, comme un appel d’API de connexion à la console peut faire l’objet d’une enquête rapide dans Amazon Detective, avec des détails sur les tendances d'appels d'API au fil du temps et les tentatives de connexion des utilisateurs sur une carte de géolocalisation. Ces informations vous permettent d'identifier rapidement si ce résultat est légitime ou s’il indique qu'une ressource AWS est compromise. 

Réaliser des économies en matière de temps et d’efforts avec des mises à jour continues des données

Amazon Detective traite automatiquement des téraoctets d'enregistrements de données d'événements sur le trafic IP, les opérations de gestion AWS et les activités malveillantes ou non autorisées. Il organise les données dans un modèle graphique qui résume toutes les relations liées à la sécurité dans votre environnement AWS. Amazon Detective interroge ensuite ce modèle pour créer des visualisations utilisées dans les enquêtes. Le modèle graphique est constamment mis à jour à mesure que de nouvelles données deviennent disponibles à partir des ressources AWS. Vous passez donc moins de temps à gérer des données en constante évolution.

Visualisations faciles à utiliser

Amazon Detective produit des visualisations avec les informations dont vous avez besoin pour enquêter et répondre aux résultats de sécurité. Il vous aide à répondre à des questions telles que « Est-il normal que ce rôle ait autant d'appels d'API en échec ? » ou « Ce pic de trafic en provenance de cette instance est-il attendu ? », sans avoir à organiser des données ou à développer, configurer ou régler vos requêtes et algorithmes. Amazon Detective conserve jusqu'à un an de données agrégées montrant les changements en matière de type et de volume d'activité sur une période sélectionnée, et relie ces changements aux résultats de sécurité.

Fonctionnement

Fonctionnement d’Amazon Detective

Cas d'utilisation

Triage des résultats de sécurité

Le triage est souvent la première phase du processus d'enquête qui est utilisée pour décider si le résultat est un vrai problème de sécurité ou un faux positif. À l’aide des visualisations Amazon Detective, vous pouvez voir quelles ressources, adresses IP et comptes AWS sont connectés à ce résultat, aux résultats associés et à l'activité qui s'est produite à proximité de l'heure ou de l'emplacement de ce résultat, afin de déterminer rapidement si le résultat est une activité malveillante réelle ou un faux positif.

Enquête sur les incidents

Certains résultats de sécurité nécessitent une enquête approfondie pour déterminer l'étendue de l'activité malveillante, son impact et la cause sous-jacente. Lorsque des résultats sont identifiés par des services AWS Security tels qu’Amazon GuardDuty, vous pouvez accéder à Amazon Detective pour voir immédiatement le contexte et l'activité liés au résultat, approfondir les activités historiques pertinentes afin d’identifier les modèles inhabituels et déterminer rapidement la nature et l'étendue de la cause racine ainsi que l'activité qui a contribué au résultat.

Recherche des menaces

La recherche des menaces est une analyse proactive permettant de découvrir des menaces cachées basées sur certains indices ou hypothèses. Amazon Detective vous assiste lors de la recherche des menaces en vous permettant de vous focaliser sur des ressources spécifiques telles que les adresses IP, les comptes AWS, VPC et les instances EC2, et en fournissant des visualisations détaillées des activités associées à ces ressources. Amazon Detective vous assiste lors du processus de recherche en fournissant une analyse basée sur le temps et la possibilité d'explorer, de voir toutes les activités au cours d'une période spécifique et de repérer les changements par rapport à la norme.

Lire la documentation
Lire la documentation

Pour en savoir plus sur les fonctionnalités et la mise en œuvre d'Amazon Detective, lisez la documentation.

Lire la documentation 
Créer un compte AWS
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
S'inscrire pour accéder à la version préliminaire
S'inscrire pour accéder à la version préliminaire

Commencez à créer avec Amazon Detective en vous inscrivant à la version préliminaire.

S'inscrire