Amazon Detective facilite l'analyse, l'examen et l'identification rapide de la cause racine des problèmes de sécurité potentiels ou des activités suspectes. Amazon Detective collecte automatiquement les données de journal de vos ressources AWS et utilise le machine learning, l'analyse statistique et la théorie des graphiques pour créer un ensemble de données liées qui vous permet de mener facilement des analyses de sécurité plus rapides et plus efficaces.
Amazon Detective peut analyser des milliards d'événements à partir de plusieurs sources de données, notamment les journaux de flux Amazon Virtual Private Cloud (Amazon VPC), les journaux AWS CloudTrail, les journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS) et les résultats de sécurité de plusieurs services tels qu'Amazon GuardDuty, AWS Security Hub, etc. Detective crée automatiquement une vue unifiée et interactive de vos ressources, de vos utilisateurs et des interactions entre eux au fil du temps. Cette vue unifiée vous permet de visualiser toutes les informations et le contexte dans un seul endroit afin d'identifier les raisons sous-jacentes des résultats, d'explorer en détail les activités historiques pertinentes et de déterminer rapidement la cause principale.
Collecte automatique des données sur tous vos comptes AWS
Amazon Detective ingère et traite automatiquement les données pertinentes de tous les comptes activés. Il n'est pas nécessaire de configurer ou d'activer des sources de données. Amazon Detective collecte et analyse les événements à partir de sources de données comme les journaux AWS CloudTrail, les journaux Amazon VPC Flow, les journaux d'audit Amazon EKS, les résultats d'Amazon GuardDuty, les résultats d'AWS Security Hub et d'autres services de sécurité AWS intégrés et conserve jusqu'à un an de données agrégées pour l'analyse.
Consolide des événements disparates dans un modèle graphique
Amazon Detective peut analyser des milliards d'événements provenant de nombreuses sources de données distinctes sur le trafic IP, les opérations de gestion AWS et les activités malveillantes ou non autorisées pour construire un modèle de graphique qui distille les données de journal à l'aide du machine learning, de l'analyse statistique et de la théorie des graphiques pour créer un ensemble lié des données pour les enquêtes de sécurité. Le modèle graphique est prédéfini avec des relations liées à la sécurité et résume les informations contextuelles et comportementales qui vous permettent de valider, comparer et corréler rapidement les données pour tirer des conclusions. Les visualisations d'Amazon Detective sont alimentées par le modèle graphique qui vous permet de répondre rapidement à vos questions d'analyse sans la complexité d'interroger les journaux bruts. Par exemple, le graphique fournit le contexte et les relations liées au moment où une adresse IP se connecte à une instance EC2, et des appels d'API ont été émis par un rôle pendant une période donnée.
Visualisations interactives pour une analyse efficace
Amazon Detective fournit des visualisations interactives qui permettent d'analyser plus facilement et plus rapidement sur les problèmes. Avec une vue unifiée qui vous permet de visualiser tout le contexte et les détails dans un seul endroit, il est plus facile d'identifier les modèles qui peuvent valider ou réfuter un problème de sécurité, et de comprendre toutes les ressources affectées par un résultat de sécurité. À l'aide de ces visualisations, vous pouvez facilement filtrer de grands ensembles de données d'événement dans des chronologies spécifiques, avec toutes les informations, le contexte et les conseils pour vous aider à analyser rapidement. Amazon Detective vous permet d'afficher les tentatives de connexion sur une carte de géolocalisation, d'analyser les activités d'historique pertinentes et de déterminer rapidement une cause racine et, si nécessaire, de prendre des mesures pour résoudre le problème.
Les visualisations graphiques vous montrent les résultats Amazon Security associés et les ressources affectées par un seul événement de sécurité, telles que les instances EC2, les rôles et utilisateurs IAM, les compartiments S3 et les adresses IP. Cela vous aide dans votre enquête sur les activités inhabituelles ou suspectes.
Le volume global des appels de l'API indique les appels réussis et qui ont échoué pendant une période spécifique et le compare à la référence établie. Cela vous aide à identifier les modèles d'activité anormale et à valider une constatation de sécurité.
Intégration transparente pour l'analyse des résultats de sécurité
Amazon Detective est intégré aux services de sécurité AWS tels qu'Amazon GuardDuty, AWS Security Hub et Amazon Inspector ainsi qu'aux produits de sécurité des partenaires AWS pour permettre d'analyser rapidement les résultats de sécurité identifiés dans ces services. En un seul clic à partir de ces services intégrés, vous pouvez accéder à Amazon Detective et voir immédiatement les événements liés aux résultats, explorer les activités historiques pertinentes et analyser le problème. Par exemple, à partir d'un résultat Amazon GuardDuty, vous pouvez lancer Amazon Detective en cliquant sur « Investigate in Detective » (Analyser dans Detective) pour afficher instantanément des informations sur l'activité de la ressource concernée, vous fournissant des informations contextuelles pour déterminer rapidement si la constatation détectée reflète une activité suspecte réelle.
Déploiement simple sans intégration de source de données initiale ou configurations complexes à gérer
Vous pouvez activer Amazon Detective en quelques clics dans AWS Management Console. Aucun logiciel à déployer ni agent à installer, ni de configuration complexes à gérer. Vous n'avez à activer aucune source de données, ce qui signifie que vous n'avez pas à supporter les coûts d'activation de la source de données, de transfert de données et de stockage de données.
Pour en savoir plus sur les fonctionnalités et la mise en œuvre d'Amazon Detective, lisez la documentation.
