Questions fréquentes (FAQ) sur Amazon Detective

Questions d’ordre général

Amazon Detective extrait les événements temporels tels que les tentatives de connexion, les appels d'API et le trafic réseau à partir d'AWS CloudTrail, des journaux de flux Amazon Virtual Private Cloud (Amazon VPC), des résultats d'Amazon GuardDuty, des résultats d'AWS Security Hub et des journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS). Detective crée un graphe de comportement qui utilise le machine learning (ML) pour créer une vue unifiée et interactive des comportements de vos ressources et de leurs interactions au fil du temps, en particulier pour ces événements temporels. En explorant le graphique de comportement, vous pouvez analyser des événements de sécurité tels que les tentatives de connexion infructueuses, les appels d'API suspects ou les groupes de résultats pour vous aider à rechercher la cause racine des AWS Security Findings.

La tarification d'Amazon Detective est calculée en fonction du volume de données ingérées à partir des journaux AWS CloudTrail, des journaux de flux Amazon VPC, des journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS), des résultats d'Amazon GuardDuty et des résultats envoyés à partir des services AWS intégrés vers AWS Security Hub. Vous êtes facturé par gigaoctet (Go) ingéré par compte, région, mois. Amazon Detective conserve jusqu'à un an de données agrégées pour son analyse. Consultez la page de tarification d'Amazon Detective pour connaître la tarification en vigueur. Les résultats d'Amazon EKS et d'AWS Security Hub sont des sources de données facultatives que vous pouvez désactiver si vous ne souhaitez pas que Detective ingère ces sources de données.

Oui, tout nouveau compte Amazon Detective bénéficie d'un essai gratuit de 30 jours. Vous avez accès à l'ensemble des fonctionnalités pendant l'essai gratuit.  

Amazon Detective doit être activé région par région et vous permet d'analyser rapidement l'activité de tous vos comptes dans chaque région. Ainsi, toutes les données analysées sont basées sur la région et ne traversent pas les frontières régionales d'AWS.

Mise en route avec Amazon Detective

Amazon Detective peut être activé en quelques clics dans AWS Management Console. Une fois activé, Amazon Detective organise automatiquement les données dans un modèle graphique. Celui-ci est continuellement mis à jour à mesure que de nouvelles données deviennent disponibles. Vous pouvez découvrir Amazon Detective et commencer à enquêter sur les problèmes de sécurité potentiels.

Vous pouvez activer Amazon Detective à partir d'AWS Management Console ou en utilisant l'API Amazon Detective. Si vous utilisez déjà les consoles Amazon GuardDuty ou AWS Security Hub, vous devez activer Amazon Detective avec le même compte qui est le compte administrateur dans Amazon GuardDuty ou AWS Security Hub pour permettre la meilleure expérience inter-services.

Oui, Amazon Detective est un service multi-compte qui regroupe les données des comptes membres surveillés dans un seul compte administrateur dans la même région. Vous pouvez configurer des déploiements de surveillance multi-compte de la même manière que vous configurez les comptes administrateurs et membres dans Amazon GuardDuty et AWS Security Hub.

Oui, vous pouvez utiliser Amazon Detective si Amazon GuardDuty n'est pas activé sur votre compte. Vous pouvez utiliser Amazon Detective pour obtenir des résumés détaillés, des analyses et des visualisations des comportements et des interactions entre vos comptes AWS, vos instances EC2, vos utilisateurs AWS, vos rôles et vos adresses IP. Ces informations peuvent être très utiles pour comprendre les problèmes de sécurité ou l'activité du compte opérationnel. Amazon GuardDuty est un service figurant dans le Guide prescriptif - Architecture de référence de sécurité AWS (SRA) dans le cadre des « Principales directives de mise en œuvre de l'AWS SRA ».

Amazon Detective commence à collecter les données de journal dès qu'il est activé et fournit des résumés graphiques et des analyses sur les données ingérées. Amazon Detective fournit également des comparaisons des activités récentes avec les références d'historique établies après deux semaines de surveillance des comptes.

Oui, vous pouvez exporter les journaux AWS CloudTrail et les journaux de flux Amazon VPC à l'aide d'une intégration avec Amazon Security Lake. Vous pouvez consulter le fonctionnement de l'intégration dans la section « Amazon Detective pour Amazon Security Lake ».

Amazon Detective n'a aucun impact sur les performances ou la disponibilité de votre infrastructure AWS, car il récupère les données de journal et les résultats directement à partir des services AWS.

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés pour protéger vos comptes AWS et vos charges de travail. Avec AWS Security Hub, vous disposez d'un emplacement unique qui regroupe, organise et hiérarchise vos alertes de sécurité ou vos résultats à partir de plusieurs services AWS, notamment Amazon GuardDuty, Amazon Inspector et Amazon Macie, ainsi que des solutions de partenaires AWS. Amazon Detective simplifie le processus d'investigation des résultats de sécurité et d'identification de la cause racine. Amazon Detective analyse des milliards d'événements de plusieurs sources de données comme les journaux de flux Amazon VPC, les journaux AWS CloudTrail, les journaux d'audit Amazon EKS, les résultats envoyés depuis les services AWS intégrés à AWS Security Hub et les résultats d'Amazon GuardDuty. Par ailleurs, la solution crée automatiquement un modèle graphique qui vous offre une vue unifiée et interactive de vos ressources, de vos utilisateurs et des interactions mutuelles au fil du temps.

Amazon Detective vous permet d'analyser et de visualiser les données de sécurité de vos journaux AWS CloudTrail, journaux de flux Amazon VPC, journaux d'audit Amazon EKS, les résultats envoyés depuis les services AWS intégrés à AWS Security Hub et résultats Amazon GuardDuty. Pour empêcher Amazon Detective d'analyser ces journaux et résultats pour vos comptes, désactivez le service à l'aide de l'API ou de la section des paramètres dans la console AWS d'Amazon Detective.

Utilisation de la console Amazon Detective

Amazon Detective prend en charge les flux de travail utilisateur inter-services en prenant en charge les intégrations de console avec Amazon GuardDuty, AWS Security Hub et Amazon Security Lake. GuardDuty et Security Hub fournissent des liens à partir de leurs consoles qui vous redirigent d'un résultat sélectionné vers une page Amazon Detective contenant un ensemble de visualisations organisées pour analyser le résultat. Amazon Detective fournit des requêtes prédéfinies basées sur vos enquêtes qui permettent d'interroger et de télécharger des fichiers journaux depuis Amazon Security Lake. La page des informations des résultats dans Amazon Detective est déjà alignée sur la période du résultat et affiche les données pertinentes qui lui sont associées.

Divers fournisseurs de solutions de sécurité partenaires ont été intégrés à Amazon Detective pour permettre des étapes d'investigation dans leurs playbooks et orchestrations automatisés. Ces produits présentent des liens dans les flux de travail de réponse qui redirigent les utilisateurs vers des pages Amazon Detective contenant des visualisations organisées pour analyser les résultats et les ressources identifiés dans le flux de travail.

Amazon Detective pour AWS Security Hub

Une fois activé, Amazon Detective analyse et corrèle automatiquement et en permanence l'activité des utilisateurs, du réseau et de la configuration pour les services AWS intégrés à AWS Security Hub. Amazon Detective ingère automatiquement les résultats de sécurité transmis par les services de sécurité AWS à AWS Security Hub via la source de données facultative appelée AWS Security Findings.

Par défaut, AWS Security Findings sont activés en tant que source de données pour les nouveaux comptes utilisant Amazon Detective. Il se peut que vous deviez activer cette source de données si vous utilisiez Amazon Detective avant que la prise en charge des résultats de sécurité d'AWS ne soit publiée. Vous pouvez suivre les étapes répertoriées dans la section résultats de sécurité AWS figurant dans le guide d’administration afin de confirmer les sources de données pour Detective. Cette source de données doit être activée pour chaque région dans laquelle vous prévoyez d'utiliser Amazon Detective.

L'utilisation par Amazon Detective des AWS Security Findings est conçue de manière à ne pas affecter les performances de vos services de sécurité AWS, car Amazon Detective utilise les résultats de sécurité à l'aide de flux de journaux indépendants et dupliqués. Ainsi, l'utilisation par Amazon Detective des AWS Security Findings n'augmentera pas vos coûts liés à l'utilisation d'AWS Security Hub ni à tout autre service de sécurité AWS intégré.

L'utilisation des AWS Security Findings par Amazon Detective est facturée en fonction du volume de résultats traités et analysés par Amazon Detective. Amazon Detective offre un essai gratuit de 30 jours à tous les clients qui activent AWS Security Findings, ce qui permet aux clients de s'assurer que les capacités d'Amazon Detective répondent à leurs besoins en matière de sécurité et d'obtenir une estimation du coût mensuel du service avant de s'engager dans une utilisation payante.

Non, Amazon Detective ne facturera qu'une seule fois pour les résultats envoyés par chaque service. 

Amazon Detective pour Amazon Security Lake

Après avoir intégré les deux services, Amazon Detective peut interroger et récupérer les journaux AWS CloudTrail et les journaux de flux Amazon Virtual Private Cloud (Amazon VPC) depuis Amazon Security Lake pour vos enquêtes de sécurité. Vous pouvez utiliser cette intégration pour démarrer vos enquêtes dans Amazon Detective et prévisualiser ou télécharger des journaux AWS CloudTrail spécifiques ou des journaux de flux Amazon VPC si vous avez besoin de détails supplémentaires stockés dans les journaux. Par exemple, si vous enquêtez sur une activité suspecte d'un utilisateur IAM au cours des dernières 24 heures, vous pouvez utiliser Amazon Detective pour obtenir un résumé des services avec lesquels l'utilisateur IAM a interagi dans le panneau des méthodes de l'API. Si vous observez des interactions avec des services qui représentent un problème de sécurité potentiel, comme des appels d'API pour décrire des rôles, vous pouvez télécharger les journaux AWS CloudTrail pour cet utilisateur IAM. Amazon Detective fournira une requête SQL prédéfinie à l'aide d'Amazon Athena, limitée à l'heure et à l'entité (les dernières 24 heures pour l'utilisateur IAM) faisant l'objet de l'enquête, ce qui facilitera la récupération de votre requête et de vos journaux. Cette intégration vous permet de gagner du temps en éliminant la nécessité de créer la requête SQL à partir de zéro, et vous pouvez prévisualiser et télécharger les résultats sans avoir à quitter la console Amazon Detective.

Pour permettre l'intégration entre les deux services, vous devez exécuter un modèle Amazon CloudFormation. Ce modèle crée un compte abonné avec des autorisations suffisantes pour interroger et utiliser les journaux d'Amazon Security Lake et déploie des services AWS supplémentaires sur votre compte utilisés pour interroger et télécharger les journaux. Vous pouvez consulter ce que le modèle Amazon CloudFormation déploie dans le guide de l'utilisateur d'Amazon Detective.

Chaque service vous sera facturé conformément à la tarification d’Amazon Detective et d’Amazon Security Lake. En outre, vous devrez payer des frais pour chaque requête utilisant Amazon Athena, et des frais seront facturés pour les services AWS supplémentaires déployés sur votre compte pour prendre en charge l'intégration. Vous pouvez utiliser le Calculateur de prix AWS pour estimer le coût total de l'intégration des deux services.

Oui. Vous devrez exécuter le modèle Amazon CloudFormation dans chaque région AWS dans laquelle vous souhaitez intégrer Amazon Detective à Amazon Security Lake. 

Amazon Detective pour Amazon Elastic Kubernetes Service (Amazon EKS)

Amazon Detective pour Amazon Elastic Kubernetes Service (Amazon EKS)

Une fois activé, Amazon Detective analyse et corrèle automatiquement et en permanence l'activité des utilisateurs, du réseau et de la configuration dans vos charges de travail Amazon EKS. Amazon Detective ingère automatiquement les journaux d'audit Amazon EKS et corrèle les activités des utilisateurs avec les événements AWS CloudTrail Management et l'activité du réseau avec les journaux de flux Amazon VPC sans que vous ayez besoin d'activer ou de stocker ces journaux manuellement. Le service extrait des informations clés sur la sécurité à partir de ces journaux et les conserve dans une base de données orientée graphe sur le comportement en matière de sécurité permettant un accès rapide par référence croisée à douze mois d'activité. Amazon Detective fournit une couche d'analyse et de visualisation des données pour vous aider à répondre aux questions fréquentes sur la sécurité. Cette couche s'appuie sur une base de données comportementale orientée graphe qui vous permet d'étudier plus rapidement les comportements malveillants potentiels associés à vos charges de travail Amazon EKS.

Par défaut, le journal d'audit d'Amazon EKS est activée en tant que source de données pour les comptes utilisant Amazon Detective. Vous devrez peut-être activer cette source de données si vous utilisiez Amazon Detective avant la publication de la prise en charge des journaux d'audit EKS. Vous pouvez suivre les étapes répertoriées dans la section relative aux journaux d'audit Amazon EKS pour Detective du Guide d'administration afin de confirmer les sources de données pour Detective. Cette source de données doit être activée pour chaque région dans laquelle vous prévoyez d'utiliser Amazon Detective.

Amazon Detective utilise les journaux d'audit Amazon EKS pour éviter d'affecter les performances de vos charges de travail Amazon EKS, car Amazon Detective utilise les journaux d'audit en utilisant des flux de journaux d'audit indépendants et dupliqués. Par conséquent, les coûts d'utilisation d'Amazon EKS ne seront pas augmentés du fait qu'Amazon Detective utilise les journaux d'audit d'Amazon EKS.

Amazon Detective est facturé à l'utilisation des journaux d'audit Amazon EKS en fonction du volume des journaux d'audit qu'il traite et analyse. Amazon Detective offre un essai gratuit de 30 jours à tous les clients qui activent la couverture Amazon EKS, ce qui permet aux clients de s'assurer que les capacités d'Amazon Detective répondent à leurs besoins en matière de sécurité et d'obtenir une estimation du coût mensuel du service avant de s'engager dans une utilisation payante.

Actuellement, cette fonctionnalité prend en charge les déploiements d'Amazon EKS fonctionnant sur des instances EC2 dans votre compte AWS. Amazon Detective fournit également une assistance pour la surveillance de l'exécution d'Amazon GuardDuty EKS et la surveillance de l'exécution d'ECS (qui inclut la surveillance d'Amazon ECS sur Fargate). Cette fonctionnalité ne fournit pas de visibilité sur Kubernetes non géré sur EC2 ou ES Anywhere.