Questions fréquentes (FAQ) sur Amazon Detective

Q : Qu'est-ce qu'Amazon Detective ?

Amazon Detective facilite l'analyse, l'examen et l'identification rapide de la cause racine des problèmes de sécurité potentiels ou des activités suspectes. Amazon Detective collecte automatiquement les données de journal de vos ressources AWS et utilise le machine learning, l'analyse statistique et la théorie des graphiques pour créer un ensemble de données liées qui vous permet de mener facilement des analyses de sécurité plus rapides et plus efficaces.

Q : Quels sont les principaux avantages d'Amazon Detective?

Amazon Detective simplifie le processus d'enquête et aide les équipes de sécurité à mener des investigations plus rapides et plus efficaces. Les agrégations de données prédéfinies, les résumés et le contexte d'Amazon Detective vous aident à analyser et à déterminer rapidement la nature et l'étendue des problèmes de sécurité possibles. Amazon Detective conserve jusqu'à un an de données agrégées et les rend facilement disponibles via un ensemble de visualisations qui montre les changements dans le type et le volume d'activité sur une fenêtre de temps sélectionnée, et relie ces changements aux résultats de sécurité. Aucuns frais initiaux ne sont facturés et vous ne payez que les événements analysés, sans logiciel supplémentaire à déployer ni journaux à activer.

Q : Comment Amazon Detective vous aide-t-il à analyser les enquêtes de sécurité ?

Amazon Detective extrait les événements temporels tels que les tentatives de connexion, les appels d'API et le trafic réseau à partir d'AWS CloudTrail, des journaux de flux Amazon Virtual Private Cloud (Amazon VPC), des résultats d'Amazon GuardDuty, des résultats d'AWS Security Hub et des journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS). Detective crée un graphe de comportement qui utilise le machine learning (ML) pour créer une vue unifiée et interactive des comportements de vos ressources et de leurs interactions au fil du temps, en particulier pour ces événements temporels. En explorant le graphe de comportement, vous pouvez analyser des événements de sécurité tels que les tentatives de connexion infructueuses,
les appels d'API suspects ou les groupes de résultats pour vous aider à rechercher la cause première des AWS Security Findings.

Q : Que sont les groupes de recherche et comment réduisent-ils le temps consacré à l'analyse des résultats ?

Les acteurs de la menace exécutent souvent une série d'actions lorsqu'ils tentent de compromettre votre environnement AWS, ce qui peut entraîner de multiples résultats relatifs à la sécurité sur vos ressources AWS. Les groupes de résultats sont des ensembles de résultats et de ressources de sécurité associés à un seul incident de sécurité potentiel que vous devez étudier ensemble. Les groupes de résultats peuvent vous aider à réduire le temps de triage, car vous n'avez pas à examiner chaque résultat relatif à la sécurité séparément. Vous pouvez commencer votre enquête par les groupes de résultats qui permettent de mieux comprendre l'incident. Cela offre également des visualisations interactives qui vous permettent d'explorer des résultats et des informations spécifiques à l'aide de l'IA générative pour décrire la chaîne d'événements en langage naturel. Pour plus d'informations, lisez analyser les groupes de résultats.

Q : Qu’est-ce que les enquêtes automatisées et comment vous aident-elles à réduire le temps consacré aux ressources d'investigation ?

Les enquêtes automatisées vous permettent d'examiner les entités AWS Identity and Access Management (IAM), telles que les utilisateurs ou les rôles IAM, afin de déterminer si ces entités sont potentiellement compromises. Les enquêtes automatisées y parviennent en interrogeant votre graphe de comportement et en utilisant le machine learning pour identifier si l'entité IAM présente un comportement anormal ou présente des indicateurs de compromission (IoC). Ces IoC peuvent inclure des activités potentiellement malveillantes, telles que des connexions de voyage impossibles, des associations avec une adresse IP connue comme étant incorrecte et un historique des résultats de sécurité. Au lieu d'analyser les journaux AWS CloudTrail et de développer vos propres scripts pour détecter les activités suspectes, vous pouvez gagner du temps en utilisant des enquêtes automatisées pour répondre à des questions telles que « ce rôle IAM a-t-il été utilisé dans des connexions de voyage impossibles ? » ou « cette session de rôle IAM a-t-elle été utilisée par une adresse IP connue comme étant incorrecte ? » , ou « quelles tactiques, techniques et procédures (TTP) ce rôle principal IAM a-t-il déclenché lors d'un événement de sécurité ? » Pour plus d'informations, consultez le guide de l'utilisateur d'Amazon Detective.

Q : Combien coûte Amazon Detective ?

La tarification d'Amazon Detective est calculée en fonction du volume de données ingérées à partir des journaux AWS CloudTrail, des journaux de flux Amazon VPC, des journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS), des résultats d'Amazon GuardDuty et des résultats envoyés à partir des services AWS intégrés vers AWS Security Hub. Vous êtes facturé par gigaoctet (Go) ingéré par compte, région, mois. Amazon Detective conserve jusqu'à un an de données agrégées pour son analyse. Consultez la page de la tarification d'Amazon Detective pour connaître la tarification en vigueur. Les résultats d'Amazon EKS et d'AWS Security Hub sont des sources de données facultatives que vous pouvez désactiver si vous ne souhaitez pas que Detective ingère ces sources de données.

Q : Est-il possible d'essayer gratuitement le service ?

Oui, tout nouveau compte Amazon Detective bénéficie d'un essai gratuit de 30 jours. Vous avez accès à l'ensemble des fonctionnalités pendant l'essai gratuit.  

Q : Le service Amazon Detective a-t-il une portée régionale ou mondiale ?

Amazon Detective doit être activé région par région et vous permet d'analyser rapidement l'activité de tous vos comptes dans chaque région. Ainsi, toutes les données analysées restent dans la même région et ne dépassent pas les limites régionales d'AWS.

Q : Quelles régions sont prises en charge par Amazon Detective ?

Pour connaître la disponibilité régionale d'Amazon Detective, consultez le tableau des régions AWS.

Q : Comment démarrer avec Amazon Detective ?

Amazon Detective peut être activé en quelques clics dans AWS Management Console. Une fois activé, Amazon Detective organise automatiquement les données dans un modèle graphique. Celui-ci est continuellement mis à jour à mesure que de nouvelles données deviennent disponibles. Vous pouvez découvrir Amazon Detective et commencer à enquêter sur les problèmes de sécurité potentiels.

Q : Comment activer Amazon Detective ?

Vous pouvez activer Amazon Detective à partir d'AWS Management Console ou en utilisant l'API Amazon Detective. Si vous utilisez déjà les consoles Amazon GuardDuty ou AWS Security Hub, vous devez activer Amazon Detective avec le même compte qui est le compte administrateur dans Amazon GuardDuty ou AWS Security Hub pour permettre la meilleure expérience inter-services.

Q : Q : Est-il possible de gérer plusieurs comptes avec Amazon Detective ?

Oui, Amazon Detective est un service multi-compte qui regroupe les données des comptes membres surveillés dans un seul compte administrateur dans la même région. Vous pouvez configurer des déploiements de surveillance multi-compte de la même manière que vous configurez les comptes administrateurs et membres dans Amazon GuardDuty et AWS Security Hub.

Q : Quelles sont les sources de données analysées par Amazon Detective ?

Amazon Detective permet aux clients d'afficher des résumés et des données analytiques associés aux journaux de flux Amazon Virtual Private Cloud (Amazon VPC), aux journaux AWS CloudTrail et aux journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS) et aux résultats d'AWS Security Hub, et résultats d'Amazon GuardDuty.

Q : Est-il possible d'utiliser Amazon Detective si Amazon GuardDuty n'est pas activé ?

Pour utiliser Amazon Detective, vous devez activer Amazon GuardDuty sur vos comptes pendant au moins 48 heures avant d'activer Detective sur ces comptes. Cependant, vous pouvez utiliser Amazon Detective pour enquêter au-delà de vos résultats Amazon GuardDuty. Amazon Detective fournit des résumés, des analyses et des visualisations détaillées des comportements et des interactions sur les comptes AWS, les instances EC2, les utilisateurs AWS, les rôles et les adresses IP. Ces informations peuvent être très utiles pour comprendre les problèmes de sécurité ou l'activité du compte opérationnel.

Q : Quand Amazon Detective commence-t-il à fonctionner ?

Amazon Detective commence à collecter les données de journal dès qu'il est activé et fournit des résumés graphiques et des analyses sur les données ingérées. Amazon Detective fournit également des comparaisons des activités récentes avec les références d'historique établies après deux semaines de surveillance des comptes.

Q : Est-il possible d'exporter les données de journalisation brutes depuis Amazon Detective ?

Oui, vous pouvez exporter les journaux AWS CloudTrail et les journaux de flux Amazon VPC à l'aide d'une intégration avec Amazon Security Lake. Vous pouvez consulter le fonctionnement de l'intégration dans la section « Amazon Detective pour Amazon Security Lake ».

Q : Quelles sont les données stockées par Amazon Detective, sont-elles chiffrées et est-il possible de contrôler les sources de données activées ?

Amazon Detective est conforme au modèle de responsabilité partagée d'AWS, qui inclut des réglementations et des directives pour la protection des données. Une fois activé, Amazon Detective traite les données des journaux AWS CloudTrail, des journaux de flux Amazon VPC, des journaux d'audit Amazon EKS, les résultats des services AWS intégrés à AWS Security Hub et des résultats d'Amazon GuardDuty pour tous les comptes où il a été activé.

Q : Existe-t-il un risque de performances ou de disponibilité pour mes charges de travail AWS existantes lorsque j'active Amazon Detective ?

Amazon Detective n'a aucun impact sur les performances ou la disponibilité de votre infrastructure AWS, car il récupère les données de journal et les résultats directement à partir des services AWS.

Q : En quoi Amazon Detective diffère-t-il d'Amazon GuardDuty et d'AWS Security Hub ?

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés pour protéger vos comptes AWS et vos charges de travail. Avec AWS Security Hub, vous disposez d'un emplacement unique qui regroupe, organise et hiérarchise vos alertes de sécurité ou vos résultats à partir de plusieurs services AWS, notamment Amazon GuardDuty, Amazon Inspector et Amazon Macie, ainsi que des solutions de partenaires AWS. Amazon Detective simplifie le processus d'investigation des résultats de sécurité et d'identification de la cause racine. Amazon Detective analyse des milliards d'événements de plusieurs sources de données comme les journaux de flux Amazon VPC, les journaux AWS CloudTrail, les journaux d'audit Amazon EKS, les résultats envoyés depuis les services AWS intégrés à AWS Security Hub et les résultats d'Amazon GuardDuty. Par ailleurs, la solution crée automatiquement un modèle graphique qui vous offre une vue unifiée et interactive de vos ressources, de vos utilisateurs et des interactions mutuelles au fil du temps.

Q : Comment arrêter l'analyse de mes journaux et sources de données par Amazon Detective ?

Amazon Detective vous permet d'analyser et de visualiser les données de sécurité de vos journaux AWS CloudTrail, journaux de flux Amazon VPC, journaux d'audit Amazon EKS, les résultats envoyés depuis les services AWS intégrés à AWS Security Hub et résultats Amazon GuardDuty. Pour empêcher Amazon Detective d'analyser ces journaux et résultats pour vos comptes, désactivez le service à l'aide de l'API ou de la section des paramètres dans la console AWS d'Amazon Detective.

Q : Quels conseils fournit Amazon Detective sur la façon d'analyser un problème de sécurité?

Amazon Detective fournit diverses visualisations qui présentent le contexte et les informations sur les ressources AWS telles que les comptes AWS, les instances EC2, les utilisateurs, les rôles, les adresses IP et les découvertes Amazon GuardDuty. Chaque visualisation est conçue pour répondre à des questions spécifiques qui peuvent survenir lors de l'analyse des résultats et de l'activité associée. Chaque visualisation fournit des conseils textuels qui expliquent clairement comment interpréter le panneau et utiliser ses informations pour répondre à vos questions d'investigation.

Q : Comment Amazon Detective est-il intégré aux autres services de sécurité AWS comme Amazon GuardDuty, AWS Security Hub et Amazon Security Lake ?

Amazon Detective prend en charge les flux de travail utilisateur inter-services en prenant en charge les intégrations de console avec Amazon GuardDuty, AWS Security Hub et Amazon Security Lake. GuardDuty et Security Hub fournissent des liens à partir de leurs consoles qui vous redirigent d'un résultat sélectionné vers une page Amazon Detective contenant un ensemble de visualisations organisées pour analyser le résultat. Amazon Detective fournit des requêtes prédéfinies basées sur vos enquêtes qui permettent d'interroger et de télécharger des fichiers journaux depuis Amazon Security Lake. La page des informations des résultats dans Amazon Detective est déjà alignée sur la période du résultat et affiche les données pertinentes qui lui sont associées.

Q : Comment intégrer les résultats d'investigation d'Amazon Detective aux outils de correction et de réponse ?

Divers fournisseurs de solutions de sécurité partenaires ont été intégrés à Amazon Detective pour permettre des étapes d'investigation dans leurs playbooks et orchestrations automatisés. Ces produits présentent des liens dans les flux de travail de réponse qui redirigent les utilisateurs vers des pages Amazon Detective contenant des visualisations organisées pour analyser les résultats et les ressources identifiés dans le flux de travail.

Q : Comment fonctionne Amazon Detective pour AWS Security Hub ?

Une fois activé, Amazon Detective analyse et corrèle automatiquement et en permanence l'activité des utilisateurs, du réseau et de la configuration pour les services AWS intégrés à AWS Security Hub. Amazon Detective ingère automatiquement les résultats de sécurité transmis par les services de sécurité AWS à AWS Security Hub via la source de données facultative appelée AWS Security Findings.

Q : Qu’est ce qu’AWS Security Findings ?

AWS Security Hub prend en charge les intégrations avec plusieurs services AWS. Dans l'attente de résultats sur les données sensibles par Amazon Macie, vous êtes automatiquement inscrit à toutes les autres intégrations de services AWS avec Security Hub. Si vous avez activé Security Hub et l'un des services intégrés, ces services enverront les résultats à Security Hub. Detective intègre ces résultats et les ajoute à votre graphique afin de vous permettre de mener des enquêtes de sécurité pour tous les services AWS intégrés. Ces services incluent AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS Health, AWS Identity and Access Management Access Analyzer, Amazon Inspector, AWS IoT Device Defender, Amazon Macie et le gestionnaire de correctifs d'AWS Systems Manager.

Q : Dois-je activer AWS Security Findings ?

Par défaut, AWS Security Findings sont activés en tant que source de données pour les nouveaux comptes utilisant Amazon Detective. Il se peut que vous deviez activer cette source de données si vous utilisiez Amazon Detective avant que la prise en charge des résultats de sécurité d'AWS ne soit publiée. Vous pouvez suivre les étapes répertoriées dans la section AWS Security Findings figurant dans le guide d’administration afin de confirmer les sources de données pour Amazon Detective. Cette source de données doit être activée pour chaque région dans laquelle vous prévoyez d'utiliser Amazon Detective.

L'utilisation par Amazon Detective des AWS Security Findings est conçue de manière à ne pas affecter les performances de vos services de sécurité AWS, car Amazon Detective utilise les résultats de sécurité à l'aide de flux de journaux indépendants et dupliqués. Ainsi, l'utilisation par Amazon Detective des AWS Security Findings n'augmentera pas vos coûts liés à l'utilisation d'AWS Security Hub ni à tout autre service de sécurité AWS intégré.

Q : Comment suis-je facturé pour l'utilisation d'Amazon Detective pour analyser les résultats des services de sécurité AWS ?

L'utilisation des AWS Security Findings par Amazon Detective est facturée en fonction du volume de résultats traités et analysés par Amazon Detective. Amazon Detective offre un essai gratuit de 30 jours à tous les clients qui activent AWS Security Findings, ce qui permet aux clients de s'assurer que les capacités d'Amazon Detective répondent à leurs besoins en matière de sécurité et d'obtenir une estimation du coût mensuel du service avant de s'engager dans une utilisation payante.

Q : Si je transmets les résultats d'Amazon GuardDuty à AWS Security Hub, vais-je être facturé deux fois plus cher ?

Non, Amazon Detective ne facturera qu'une seule fois pour les résultats envoyés par chaque service. 

Q : Comment fonctionne Amazon Detective pour Amazon Security Lake ?

Après avoir intégré les deux services, Amazon Detective peut interroger et récupérer les journaux AWS CloudTrail et les journaux de flux Amazon Virtual Private Cloud (Amazon VPC) depuis Amazon Security Lake pour vos enquêtes de sécurité. Vous pouvez utiliser cette intégration pour démarrer vos enquêtes dans Amazon Detective et prévisualiser ou télécharger des journaux AWS CloudTrail spécifiques ou des journaux de flux Amazon VPC si vous avez besoin de détails supplémentaires stockés dans les journaux. Par exemple, si vous enquêtez sur une activité suspecte d'un utilisateur IAM au cours des dernières 24 heures, vous pouvez utiliser Amazon Detective pour obtenir un résumé des services avec lesquels l'utilisateur IAM a interagi dans le panneau des méthodes de l'API. Si vous observez des interactions avec des services qui représentent un problème de sécurité potentiel, comme des appels d'API pour décrire des rôles, vous pouvez télécharger les journaux AWS CloudTrail pour cet utilisateur IAM. Amazon Detective fournira une requête SQL prédéfinie à l'aide d'Amazon Athena, limitée à l'heure et à l'entité (les dernières 24 heures pour l'utilisateur IAM) faisant l'objet de l'enquête, ce qui facilitera la récupération de votre requête et de vos journaux. Cette intégration vous permet de gagner du temps en éliminant la nécessité de créer la requête SQL à partir de zéro, et vous pouvez prévisualiser et télécharger les résultats sans avoir à quitter la console Amazon Detective.

Q : Comment activer l'intégration entre Amazon Detective et Amazon Security Lake ?

Pour permettre l'intégration entre les deux services, vous devez exécuter un modèle Amazon CloudFormation. Ce modèle crée un compte abonné avec des autorisations suffisantes pour interroger et utiliser les journaux d'Amazon Security Lake et déploie des services AWS supplémentaires sur votre compte utilisés pour interroger et télécharger les journaux. Vous pouvez consulter ce que le modèle Amazon CloudFormation déploie dans le guide de l'utilisateur d'Amazon Detective.

Q : Quels sont les frais liés à l'utilisation de l'intégration d'Amazon Detective à Amazon Security Lake ?

Chaque service vous sera facturé conformément à la tarification d’Amazon Detective et d’Amazon Security Lake. En outre, vous devrez payer des frais pour chaque requête utilisant Amazon Athena, et des frais seront facturés pour les services AWS supplémentaires déployés sur votre compte pour prendre en charge l'intégration. Vous pouvez utiliser le calculateur de prix AWS pour estimer le coût total de l'intégration des deux services.

Q : Dois-je activer l'intégration d'Amazon Detective à Amazon Security Lake dans chaque région AWS individuellement ?

Oui. Vous devrez exécuter le modèle Amazon CloudFormation dans chaque région AWS dans laquelle vous souhaitez intégrer Amazon Detective à Amazon Security Lake. 

Q : Comment fonctionne Amazon Detective pour les journaux d'audit Amazon EKS ?

Une fois activé, Amazon Detective analyse et corrèle automatiquement et en permanence l'activité des utilisateurs, du réseau et de la configuration dans vos charges de travail Amazon EKS. Amazon Detective ingère automatiquement les journaux d'audit Amazon EKS et corrèle les activités des utilisateurs avec les événements AWS CloudTrail Management et l'activité du réseau avec les journaux de flux Amazon VPC sans que vous ayez besoin d'activer ou de stocker ces journaux manuellement. Le service extrait des informations clés sur la sécurité à partir de ces journaux et les conserve dans une base de données orientée graphe sur le comportement en matière de sécurité permettant un accès rapide par référence croisée à douze mois d'activité. Amazon Detective fournit une couche d'analyse et de visualisation des données pour vous aider à répondre aux questions fréquentes sur la sécurité. Cette couche s'appuie sur une base de données comportementale orientée graphe qui vous permet d'étudier plus rapidement les comportements malveillants potentiels associés à vos charges de travail Amazon EKS.

Q : Dois-je activer le journal d'audit d'Amazon EKS ?

Par défaut, le journal d'audit d'Amazon EKS est activée en tant que source de données pour les comptes utilisant Amazon Detective. Vous devrez peut-être activer cette source de données si vous utilisiez Amazon Detective avant la publication de la prise en charge des journaux d'audit EKS. Vous pouvez suivre les étapes répertoriées dans la section relative aux journaux d'audit Amazon EKS pour Amazon Detective du Guide d'administration afin de confirmer les sources de données pour Amazon Detective. Cette source de données doit être activée pour chaque région dans laquelle vous prévoyez d'utiliser Amazon Detective.

Amazon Detective utilise les journaux d'audit Amazon EKS pour éviter d'affecter les performances de vos charges de travail Amazon EKS, car Amazon Detective utilise les journaux d'audit en utilisant des flux de journaux d'audit indépendants et dupliqués. Par conséquent, les coûts d'utilisation d'Amazon EKS ne seront pas augmentés du fait qu'Amazon Detective utilise les journaux d'audit d'Amazon EKS.

Q : Comment suis-je facturé à l'utilisation d'Amazon Detective pour sécuriser mes charges de travail Amazon EKS ?

Amazon Detective est facturé à l'utilisation des journaux d'audit Amazon EKS en fonction du volume des journaux d'audit qu'il traite et analyse. Amazon Detective offre un essai gratuit de 30 jours à tous les clients qui activent la couverture Amazon EKS, ce qui permet aux clients de s'assurer que les capacités d'Amazon Detective répondent à leurs besoins en matière de sécurité et d'obtenir une estimation du coût mensuel du service avant de s'engager dans une utilisation payante.

Q : Amazon Detective fournit-il une visibilité sur les charges de travail Amazon EKS sur AWS Fargate, sur Kubernetes non géré sur EC2, ou pour ES Anywhere ?

Actuellement, cette fonctionnalité prend en charge les déploiements d'Amazon EKS fonctionnant sur des instances EC2 dans votre compte AWS. Amazon Detective fournit également une assistance pour la surveillance de l'exécution d'Amazon GuardDuty EKS et la surveillance de l'exécution d'ECS (qui inclut la surveillance d'Amazon ECS sur Fargate). Cette fonctionnalité ne fournit pas de visibilité sur Kubernetes non géré sur EC2 ou ES Anywhere.