Amazon Detective facilite l'analyse, l'examen et l'identification rapide de la cause racine des problèmes de sécurité potentiels ou des activités suspectes. Amazon Detective collecte automatiquement les données de journal de vos ressources AWS et utilise le machine learning, l'analyse statistique et la théorie des graphiques pour créer un ensemble de données liées qui vous permet de mener facilement des analyses de sécurité plus rapides et plus efficaces.
Amazon Detective peut analyser des milliards d'événements à partir de plusieurs sources de données, notamment les journaux de flux Amazon Virtual Private Cloud (Amazon VPC), les journaux AWS CloudTrail, les journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS) et les résultats de sécurité de plusieurs services tels qu'Amazon GuardDuty, AWS Security Hub, etc. Detective crée automatiquement une vue unifiée et interactive de vos ressources, de vos utilisateurs et des interactions entre eux au fil du temps. Cette vue unifiée vous permet de visualiser toutes les informations et le contexte dans un seul endroit afin d'identifier les raisons sous-jacentes des résultats, d'explorer en détail les activités historiques pertinentes et de déterminer rapidement la cause principale.
Collecte automatique des données sur tous vos comptes AWS
Amazon Detective ingère et traite automatiquement les données pertinentes de tous les comptes activés. Il n'est pas nécessaire de configurer ou d'activer des sources de données. Amazon Detective collecte et analyse les événements à partir de sources de données comme les journaux AWS CloudTrail, les journaux Amazon VPC Flow, les journaux d'audit Amazon EKS, les résultats d'Amazon GuardDuty, les résultats d'AWS Security Hub et d'autres services de sécurité AWS intégrés et conserve jusqu'à un an de données agrégées pour l'analyse.
Consolide des événements disparates dans un modèle graphique
Amazon Detective peut analyser des milliards d'événements à partir de plusieurs types de données, notamment le trafic IP, les opérations de gestion d'AWS et les activités potentiellement malveillantes ou non autorisées. Detective construit un modèle graphique à l'aide du machine learning, de l'analyse statistique et de la théorie des graphiques afin de créer un ensemble de données liées pour les analyses de sécurité. Le modèle graphique prédéfini intègre des relations liées à la sécurité et fournit des informations contextuelles et comportementales qui vous permettent de valider, de comparer et de corréler rapidement les données pour tirer des conclusions. Les visualisations d'Amazon Detective sont alimentées par le modèle graphique, ce qui vous permet de répondre rapidement à vos questions d'analyse sans avoir à interroger les journaux bruts. Par exemple, le graphique fournit le contexte et les relations, par exemple, le moment où une adresse IP se connecte à une instance EC2 et où un rôle effectue des appels d'API au cours d'une période donnée.
Visualisations interactives pour une analyse efficace
Amazon Detective s'appuie sur l'IA générative pour fournir des visualisations interactives et des informations, ce qui permet d'analyser les problèmes plus rapidement, plus facilement et de manière plus approfondie. Grâce à une vue unifiée qui vous permet de visualiser l'ensemble des informations contextuelles et du langage naturel depuis un seul et même endroit, il devient plus facile d'identifier les modèles susceptibles de valider ou de réfuter un problème de sécurité, et de connaître toutes les ressources concernées d'un résultat de sécurité. Ces visualisations vous permettent de plus facilement filtrer de grands ensembles de données d'événements sur des périodes spécifiques, et toutes les informations, tout le contexte et tous les conseils vous sont fournis pour que vous puissiez effectuer une analyse rapidement. Amazon Detective vous permet d'afficher les tentatives de connexion en fonction de la géolocalisation, d'analyser les activités d'historique pertinentes et de déterminer rapidement une cause racine et, si nécessaire, de prendre des mesures pour résoudre le problème.
Les visualisations graphiques affichent les résultats de sécurité AWS associés et les ressources affectées par un seul événement de sécurité, telles que les instances EC2, les rôles et utilisateurs IAM, les compartiments S3 et les adresses IP. Les informations décrivent les événements qui se sont produits lors de l'événement de sécurité dans un langage naturel pour vous aider à comprendre ce qu'il s'est passé. Cela vous permet d'analyser les activités inhabituelles ou suspectes plus rapidement et plus facilement.
Le volume global des appels de l'API indique les appels réussis et qui ont échoué pendant une période spécifique et le compare à la référence établie. Cela vous aide à identifier les modèles d'activité anormale et à valider une constatation de sécurité.
Intégration transparente pour l'analyse des résultats de sécurité
Amazon Detective est intégré aux services de sécurité AWS tels qu'Amazon GuardDuty, AWS Security Hub, Amazon Inspector, Amazon Security Lake ainsi qu'aux produits de sécurité des partenaires AWS pour permettre d'analyser rapidement les résultats de sécurité identifiés dans ces services. En un seul clic à partir de ces services intégrés, vous pouvez accéder à Amazon Detective et voir immédiatement les événements liés aux résultats, explorer les activités historiques pertinentes et analyser le problème. Par exemple, à partir d'un résultat dans Amazon GuardDuty, vous pouvez lancer Amazon Detective en cliquant sur « Analyser dans Detective » pour obtenir instantanément des informations sur l'activité pertinente pour la ressource concernée. À partir de Detective, vous pouvez interroger et extraire les sources de journaux stockées dans Amazon Security Lake sans avoir à créer de requêtes ni à quitter la console Detective.
Assistance aux analyses de sécurité pour Amazon GuardDuty Runtime Monitoring
Amazon Detective prend en charge les analyses de sécurité pour GuardDuty ECS et EKS Runtime Monitoring, en fournissant des visualisations améliorées et un contexte supplémentaire pour les nouvelles détections de menaces. Vous pouvez utiliser les nouvelles détections de menaces au cours de l'exécution de GuardDuty et les fonctionnalités d'analyse de Detective pour améliorer votre détection et votre réponse aux menaces qui pèsent sur les charges de travail de vos conteneurs. Detective facilite l'analyse de ces nouvelles détections en les incluant dans des groupes de résultats, des visualisations et d'autres résumés pour accélérer les analyses de sécurité.
Déploiement simple sans intégration de source de données initiale ou configurations complexes à gérer
Vous pouvez activer Amazon Detective en quelques clics dans la console de gestion AWS. Aucun logiciel à déployer ni agent à installer, et aucune configuration complexe à gérer. Vous n'avez aucune source de données à activer, et vous n'avez donc pas à supporter les coûts d'activation de source de données, de transfert de données et de stockage de données.
Pour en savoir plus sur les fonctionnalités et la mise en œuvre d'Amazon Detective, lisez la documentation.
