Passer au contenu principal

Fonctionnalités d'Amazon Detective

Pourquoi choisir Amazon Detective ?

Amazon Detective facilite l'analyse, l'examen et l'identification rapide de la cause racine des problèmes de sécurité potentiels ou des activités suspectes. Amazon Detective collecte automatiquement les données de journal de vos ressources AWS et utilise le machine learning, l'analyse statistique et la théorie des graphiques pour créer un ensemble de données liées qui vous permet de mener facilement des analyses de sécurité plus rapides et plus efficaces.

Amazon Detective peut analyser des milliards d'événements à partir de plusieurs sources de données, notamment les journaux de flux Amazon Virtual Private Cloud (Amazon VPC), les journaux AWS CloudTrail, les journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS) et les résultats de sécurité de plusieurs services tels qu'Amazon GuardDuty, AWS Security Hub, etc. Detective crée automatiquement une vue unifiée et interactive de vos ressources, de vos utilisateurs et des interactions entre eux au fil du temps. Cette vue unifiée vous permet de visualiser toutes les informations et le contexte dans un seul endroit afin d'identifier les raisons sous-jacentes des résultats, d'explorer en détail les activités historiques pertinentes et de déterminer rapidement la cause principale.

Présentation

Collecte automatique des données sur tous vos comptes AWS

Amazon Detective ingère et traite automatiquement les données pertinentes de tous les comptes activés. Il n'est pas nécessaire de configurer ou d'activer des sources de données. Amazon Detective collecte et analyse les événements à partir de sources de données comme les journaux AWS CloudTrail, les journaux Amazon VPC Flow, les journaux d'audit Amazon EKS, les résultats d'Amazon GuardDuty, les résultats d'AWS Security Hub et d'autres services de sécurité AWS intégrés et conserve jusqu'à un an de données agrégées pour l'analyse.

Consolide des événements disparates dans un modèle graphique

Amazon Detective peut analyser des milliards d'événements provenant de différents types de données, notamment le trafic IP, les opérations de gestion AWS et les activités potentiellement malveillantes ou non autorisées. Detective construit un modèle graphique à l'aide de l'apprentissage automatique, de l'analyse statistique et de la théorie des graphes pour créer un ensemble de données liées pour les enquêtes de sécurité. Le modèle graphique prédéfini contient des relations liées à la sécurité et fournit des informations contextuelles et comportementales qui vous permettent de valider, de comparer et de corréler rapidement les données pour tirer des conclusions. Les visualisations d'Amazon Detective sont basées sur le modèle graphique, ce qui vous permet de répondre rapidement à vos questions d'investigation sans avoir à interroger des journaux bruts. Par exemple, le graphique fournit le contexte et les relations, par exemple lorsqu'une adresse IP se connecte à une instance EC2 et les appels d'API effectués par un rôle au cours d'une période donnée.

Visualisations interactives pour une analyse efficace

Amazon Detective s'appuie sur l'IA générative pour fournir des visualisations interactives et des informations, ce qui permet d'analyser les problèmes plus rapidement, plus facilement et de manière plus approfondie. Grâce à une vue unifiée qui vous permet de visualiser l'ensemble des informations contextuelles et du langage naturel depuis un seul et même endroit, il devient plus facile d'identifier les modèles susceptibles de valider ou de réfuter un problème de sécurité, et de connaître toutes les ressources concernées d'un résultat de sécurité. Grâce à ces visualisations et à ces informations, vous pouvez plus facilement filtrer de vastes ensembles de données d'événements dans des délais spécifiques, avec tous les détails, le contexte et les conseils nécessaires pour vous aider à enquêter rapidement. Amazon Detective vous permet d'afficher les tentatives de connexion en fonction de la géolocalisation, d'analyser les activités d'historique pertinentes et de déterminer rapidement une cause racine et, si nécessaire, de prendre des mesures pour résoudre le problème.

Missing alt text value

Volume global des appels d'API

Les visualisations graphiques affichent les résultats de sécurité AWS associés et les ressources affectées par un seul événement de sécurité, telles que les instances EC2, les utilisateurs et les rôles IAM, les compartiments S3 et les adresses IP. Les informations décrivent les événements qui se sont produits lors de l'événement de sécurité dans un langage naturel pour vous aider à comprendre ce qu'il s'est passé. Cela vous permet d'analyser les activités inhabituelles ou suspectes plus rapidement et plus facilement. Le volume global des appels de l'API indique les appels réussis et qui ont échoué pendant une période spécifique et le compare à la référence établie. Cela vous aide à identifier les modèles d'activité anormale et à valider une constatation de sécurité.

Missing alt text value

Plus de fonctionnalités

Intégration transparente pour l'analyse des résultats de sécurité

Amazon Detective est intégré aux services de sécurité AWS tels qu'Amazon GuardDuty, AWS Security Hub, Amazon Inspector, Amazon Security Lake ainsi qu'aux produits de sécurité des partenaires AWS afin de permettre d'étudier rapidement les résultats de sécurité identifiés dans ces services. En une seule étape à partir de ces services intégrés, vous pouvez accéder à Amazon Detective et voir immédiatement les événements liés aux résultats, explorer les activités historiques pertinentes et étudier le problème. Par exemple, à partir d'une recherche effectuée par Amazon GuardDuty, vous pouvez lancer Amazon Detective en cliquant sur « Investigate in Detective » pour obtenir un aperçu instantané de l'activité pertinente pour la ressource concernée. Depuis Detective, vous pouvez interroger et récupérer les sources de journaux stockées dans Amazon Security Lake sans avoir à créer de requêtes ou à quitter la console Detective.

Assistance aux analyses de sécurité pour Amazon GuardDuty Runtime Monitoring

Amazon Detective prend en charge les enquêtes de sécurité pour GuardDuty ECS et EKS Runtime Monitoring, en fournissant des visualisations améliorées et un contexte supplémentaire pour la détection de nouvelles menaces. Vous pouvez utiliser les détections des menaces d'exécution de GuardDuty et les fonctionnalités d'investigation de Detective pour améliorer votre détection et votre réponse aux menaces potentielles pesant sur vos charges de travail de conteneurs. Detective facilite l'investigation de ces nouvelles détections en les incluant dans des groupes de recherche, des visualisations et d'autres résumés pour accélérer les enquêtes de sécurité.

Déploiement simple sans intégration de source de données initiale ou configurations complexes à gérer

L'AWS Management Console vous permet d'activer Amazon Detective en quelques étapes. Aucun logiciel à déployer ni agent à installer, ni de configuration complexes à gérer. Vous n'avez à activer aucune source de données, ce qui signifie que vous n'avez pas à supporter les coûts d'activation de la source de données, de transfert de données et de stockage de données.