Généralités
Q : Qu'est-ce qu'Amazon Detective ?
Amazon Detective facilite l'analyse, l'examen et l'identification rapide de la cause racine des problèmes de sécurité potentiels ou des activités suspectes. Amazon Detective collecte automatiquement les données de journal de vos ressources AWS et utilise le machine learning, l'analyse statistique et la théorie des graphiques pour créer un ensemble de données liées qui vous permet de mener facilement des analyses de sécurité plus rapides et plus efficaces.
Q : Quels sont les principaux avantages d'Amazon Detective?
Amazon Detective simplifie le processus d'enquête et aide les équipes de sécurité à mener des investigations plus rapides et plus efficaces. Les agrégations de données prédéfinies, les résumés et le contexte d'Amazon Detective vous aident à analyser et à déterminer rapidement la nature et l'étendue des problèmes de sécurité possibles. Amazon Detective conserve jusqu'à un an de données agrégées et les rend facilement disponibles via un ensemble de visualisations qui montre les changements dans le type et le volume d'activité sur une fenêtre de temps sélectionnée, et relie ces changements aux résultats de sécurité. Aucuns frais initiaux ne sont facturés et vous ne payez que les événements analysés, sans logiciel supplémentaire à déployer ni journaux à activer.
Q : Comment Amazon Detective vous aide-t-il à analyser les enquêtes de sécurité ?
Amazon Detective extrait les événements temporels tels que les tentatives de connexion, les appels d'API et le trafic réseau à partir d'AWS CloudTrail, des journaux de flux Amazon Virtual Private Cloud (Amazon VPC), des résultats d'Amazon GuardDuty et des journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS). Detective crée un graphe de comportement qui utilise le machine learning (ML) pour créer une vue unifiée et interactive des comportements de vos ressources et de leurs interactions au fil du temps, en particulier pour ces événements temporels. En explorant le graphique de comportement, vous pouvez analyser des événements de sécurité tels que des tentatives de connexion infructueuses, des appels d'API suspects ou la recherche de groupes pour vous aider à rechercher la cause première des résultats de vos recherches sur Amazon GuardDuty.
Q : Que sont les groupes de recherche Amazon Detective et comment réduisent-ils le temps consacré à l'analyse des résultats de GuardDuty ?
Les acteurs de la menace exécutent souvent une série d'actions lorsqu'ils tentent de compromettre votre environnement AWS, ce qui peut entraîner de multiples découvertes GuardDuty sur vos ressources AWS. Un groupe de résultats est un ensemble de résultats et de ressources associés à un seul incident de sécurité potentiel et qui doivent faire l'objet d'une enquête conjointe. Les groupes de résultats Amazon Detective peuvent vous aider à réduire le temps de triage, car vous n'avez pas à examiner chaque découverte GuardDuty séparément. Vous pouvez commencer votre enquête par des groupes de résultats, qui offrent une compréhension plus complète de l'incident et une visualisation interactive qui vous permet d'explorer des résultats et des ressources spécifiques. Pour plus d'informations, lisez analyser les groupes de résultats.
Q : Combien coûte Amazon Detective ?
La tarification d'Amazon Detective est calculée en fonction du volume de données ingérées à partir des journaux AWS CloudTrail, des journaux de flux Amazon VPC, des journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS), des résultats d'Amazon GuardDuty et des résultats envoyés à partir des services AWS intégrés vers AWS Security Hub. Vous êtes facturé par gigaoctet (Go) ingéré par compte, région, mois. Amazon Detective conserve jusqu'à un an de données agrégées pour son analyse. Consultez la page de la tarification d'Amazon Detective pour connaître la tarification en vigueur. Les résultats d'Amazon EKS et d'AWS Security Hub sont des sources de données facultatives que vous pouvez désactiver si vous ne souhaitez pas que Detective ingère ces sources de données.
Q : Si je transmets les résultats d'Amazon GuardDuty à AWS Security Hub, vais-je être facturé deux fois plus cher ?
Non, Amazon Detective ne facturera qu'une seule fois pour les résultats envoyés par chaque service.
Q : Est-il possible d'essayer gratuitement le service ?
Oui, tout nouveau compte Amazon Detective bénéficie d'un essai gratuit de 30 jours. Vous avez accès à l'ensemble des fonctionnalités pendant l'essai gratuit.
Q : Le service Amazon Detective a-t-il une portée régionale ou mondiale ?
Amazon Detective doit être activé région par région et vous permet d'analyser rapidement l'activité de tous vos comptes dans chaque région. Ainsi, toutes les données analysées restent dans la même région et ne dépassent pas les limites régionales d'AWS.
Q : Quelles régions sont prises en charge par Amazon Detective ?
Pour connaître la disponibilité régionale d'Amazon Detective, consultez le tableau des régions AWS.
Mise en route avec Amazon Detective
Q : Comment démarrer avec Amazon Detective ?
Amazon Detective peut être activé en quelques clics dans AWS Management Console. Une fois activé, Amazon Detective organise automatiquement les données dans un modèle graphique. Celui-ci est continuellement mis à jour à mesure que de nouvelles données deviennent disponibles. Vous pouvez découvrir Amazon Detective et commencer à enquêter sur les problèmes de sécurité potentiels.
Q : Comment activer Amazon Detective ?
Vous pouvez activer Amazon Detective à partir d'AWS Management Console ou en utilisant l'API Amazon Detective. Si vous utilisez déjà les consoles Amazon GuardDuty ou AWS Security Hub, vous devez activer Amazon Detective avec le même compte qui est le compte administrateur dans Amazon GuardDuty ou AWS Security Hub pour permettre la meilleure expérience inter-services.
Q : Q : Est-il possible de gérer plusieurs comptes avec Amazon Detective ?
Oui, Amazon Detective est un service multi-compte qui regroupe les données des comptes membres surveillés dans un seul compte administrateur dans la même région. Vous pouvez configurer des déploiements de surveillance multi-compte de la même manière que vous configurez les comptes administrateurs et membres dans Amazon GuardDuty et AWS Security Hub.
Q : Quelles sont les sources de données analysées par Amazon Detective ?
Amazon Detective permet aux clients d'afficher des résumés et des données analytiques associés aux journaux de flux Amazon Virtual Private Cloud (Amazon VPC), aux journaux AWS CloudTrail et aux journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS) et résultats envoyés depuis les services AWS intégrés vers AWS Security Hub, et résultats Amazon GuardDuty.
Q : Est-il possible d'utiliser Amazon Detective si Amazon GuardDuty n'est pas activé ?
Pour utiliser Amazon Detective, vous devez activer Amazon GuardDuty sur vos comptes pendant au moins 48 heures avant d'activer Detective sur ces comptes. Cependant, vous pouvez utiliser Amazon Detective pour enquêter au-delà de vos résultats Amazon GuardDuty. Amazon Detective fournit des résumés, des analyses et des visualisations détaillées des comportements et des interactions sur les comptes AWS, les instances EC2, les utilisateurs AWS, les rôles et les adresses IP. Ces informations peuvent être très utiles pour comprendre les problèmes de sécurité ou l'activité du compte opérationnel.
Q : Quand Amazon Detective commence-t-il à fonctionner ?
Amazon Detective commence à collecter les données de journal dès qu'il est activé et fournit des résumés graphiques et des analyses sur les données ingérées. Amazon Detective fournit également des comparaisons des activités récentes avec les références d'historique établies après deux semaines de surveillance des comptes.
Q : Est-il possible d'exporter les données de journalisation brutes depuis Amazon Detective ?
Amazon Detective analyse vos journaux AWS CloudTrail, vos journaux de flux Amazon VPC et vos journaux d'audit Amazon EKS, mais ne rend pas les journaux bruts disponibles pour l'exportation. AWS vous permet d'exporter ces journaux à travers d'autres services.
Q : Quelles sont les données stockées par Amazon Detective, sont-elles chiffrées et est-il possible de contrôler les sources de données activées ?
Amazon Detective est conforme au modèle de responsabilité partagée d'AWS, qui inclut des réglementations et des directives pour la protection des données. Une fois activé, Amazon Detective traite les données des journaux AWS CloudTrail, des journaux de flux Amazon VPC, des journaux d'audit Amazon EKS, les résultats des services AWS intégrés et des résultats d'Amazon GuardDuty pour tous les comptes où il a été activé.
Q : Existe-t-il un risque de performances ou de disponibilité pour mes charges de travail AWS existantes lorsque j'active Amazon Detective ?
Amazon Detective n'a aucun impact sur les performances ou la disponibilité de votre infrastructure AWS, car il récupère les données de journal et les résultats directement à partir des services AWS.
Q : En quoi Amazon Detective diffère-t-il d'Amazon GuardDuty et d'AWS Security Hub ?
Amazon GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés pour protéger vos comptes AWS et vos charges de travail. Avec AWS Security Hub, vous disposez d'un emplacement unique qui regroupe, organise et hiérarchise vos alertes de sécurité ou vos résultats à partir de plusieurs services AWS, notamment Amazon GuardDuty, Amazon Inspector et Amazon Macie, ainsi que des solutions de partenaires AWS. Amazon Detective simplifie le processus d'investigation des résultats de sécurité et d'identification de la cause racine. Amazon Detective analyse des milliards d'événements de plusieurs sources de données comme les journaux de flux Amazon VPC, les journaux AWS CloudTrail, les journaux d'audit Amazon EKS, les résultats envoyés depuis les services AWS intégrés et les résultats d'Amazon GuardDuty. Par ailleurs, la solution crée automatiquement un modèle graphique qui vous offre une vue unifiée et interactive de vos ressources, de vos utilisateurs et des interactions mutuelles au fil du temps.
Q : Comment arrêter l'analyse de mes journaux et sources de données par Amazon Detective ?
Amazon Detective vous permet d'analyser et de visualiser les données de sécurité de vos journaux AWS CloudTrail, journaux de flux Amazon VPC, journaux d'audit Amazon EKS, les résultats envoyés depuis les services AWS intégrés et résultats Amazon GuardDuty. Pour empêcher Amazon Detective d'analyser ces journaux et résultats pour vos comptes, désactivez le service à l'aide de l'API ou de la section des paramètres dans la console AWS d'Amazon Detective.
Utilisation de la console Amazon Detective
Q : Quels conseils fournit Amazon Detective sur la façon d'analyser un problème de sécurité?
Amazon Detective fournit diverses visualisations qui présentent le contexte et les informations sur les ressources AWS telles que les comptes AWS, les instances EC2, les utilisateurs, les rôles, les adresses IP et les découvertes Amazon GuardDuty. Chaque visualisation est conçue pour répondre à des questions spécifiques qui peuvent survenir lors de l'analyse des résultats et de l'activité associée. Chaque visualisation fournit des conseils textuels qui expliquent clairement comment interpréter le panneau et utiliser ses informations pour répondre à vos questions d'investigation.
Q : Comment Amazon Detective est-il intégré aux autres services de sécurité AWS comme Amazon GuardDuty et AWS Security Hub ?
Amazon Detective prend en charge les flux de travail utilisateur inter-services en prenant en charge les intégrations de console avec Amazon GuardDuty et AWS Security Hub. Ces services fournissent des liens à partir de leurs consoles qui vous redirigent d'un résultat sélectionné vers une page Amazon Detective contenant un ensemble de visualisations organisées pour analyser le résultat. La page des informations des résultats dans Amazon Detective est déjà alignée sur la période du résultat et affiche les données pertinentes qui lui sont associées.
Q : Comment intégrer les résultats d'investigation d'Amazon Detective aux outils de correction et de réponse ?
Divers fournisseurs de solutions de sécurité partenaires ont été intégrés à Amazon Detective pour permettre des étapes d'investigation dans leurs playbooks et orchestrations automatisés. Ces produits présentent des liens dans les flux de travail de réponse qui redirigent les utilisateurs vers des pages Amazon Detective contenant des visualisations organisées pour analyser les résultats et les ressources identifiés dans le flux de travail.
Amazon Detective pour Amazon Elastic Kubernetes Service (Amazon EKS)
Q : Comment fonctionne Amazon Detective pour les journaux d'audit Amazon EKS ?
Une fois activé, Amazon Detective analyse et corrèle automatiquement et en permanence l'activité des utilisateurs, du réseau et de la configuration dans vos charges de travail Amazon EKS. Amazon Detective ingère automatiquement les journaux d'audit Amazon EKS et corrèle les activités des utilisateurs avec les événements AWS CloudTrail Management et l'activité du réseau avec les journaux de flux Amazon VPC sans que vous ayez besoin d'activer ou de stocker ces journaux manuellement. Le service recueille des informations clés sur la sécurité à partir de ces journaux et les conserve dans une base de données orientée graphe sur le comportement en matière de sécurité permettant un accès rapide par référence croisée à douze mois d'activité. Amazon Detective fournit une couche d'analyse et de visualisation des données pour vous aider à répondre aux questions fréquentes sur la sécurité. Cette couche s'appuie sur une base de données comportementale orientée graphe qui vous permet d'étudier plus rapidement les comportements malveillants potentiels associés à vos charges de travail Amazon EKS.
Q : Dois-je activer le journal d'audit d'Amazon EKS ?
Non. Vous n'avez pas besoin d'activer ou de configurer le journal d'audit Amazon EKS. Il vous suffit d'activer les journaux d'audit d'Amazon EKS comme nouvelle source de données dans la console ou les API d'Amazon Detective. Amazon Detective utilise les journaux d'audit Amazon EKS pour éviter d'affecter les performances de vos charges de travail Amazon EKS, car Amazon Detective utilise les journaux d'audit en utilisant des flux de journaux d'audit indépendants et dupliqués. Par conséquent, les coûts d'utilisation d'Amazon EKS ne seront pas augmentés du fait qu'Amazon Detective utilise les journaux d'audit d'Amazon EKS.
Q : Comment suis-je facturé à l'utilisation d'Amazon Detective pour sécuriser mes charges de travail Amazon EKS ?
Amazon Detective est facturé à l'utilisation des journaux d'audit Amazon EKS en fonction du volume des journaux d'audit qu'il traite et analyse. Amazon Detective offre un essai gratuit de 30 jours à tous les clients qui activent la couverture Amazon EKS, ce qui permet aux clients de s'assurer que les capacités d'Amazon Detective répondent à leurs besoins en matière de sécurité et d'obtenir une estimation du coût mensuel du service avant de s'engager dans une utilisation payante.
Q : J'utilise déjà Amazon Detective. Comment puis-je activer la prise en charge des journaux d'audit Amazon EKS sur Amazon Detective ?
Les clients existants qui utilisent Amazon Detective devront activer les journaux d'audit Amazon EKS sur la console Amazon Detective pour leurs comptes. Les clients peuvent modifier cette sélection et activer/désactiver les journaux d'audit Amazon EKS en un seul clic sur la console Amazon Detective.
Q : Amazon Detective fournit-il une visibilité sur les charges de travail Amazon EKS sur AWS Fargate, sur Kubernetes non géré sur EC2, ou pour ES Anywhere ?
Actuellement, cette fonctionnalité ne prend en charge que les déploiements d'Amazon EKS fonctionnant sur des instances EC2 dans votre compte AWS.
Q : Dois-je activer les journaux d'audit Amazon EKS dans chaque région AWS séparément ?
Oui. Les journaux d'audit Amazon EKS doivent être activés dans chaque région AWS séparément.

Pour en savoir plus sur les capacités et la mise en œuvre d'Amazon Detective, lisez la documentation.