Amazon Detective facilite l'analyse, l'examen et l'identification rapide de la cause racine des problèmes de sécurité potentiels ou des activités suspectes. Amazon Detective collecte automatiquement les données de journal de vos ressources AWS et utilise le machine learning, l'analyse statistique et la théorie des graphiques pour créer un ensemble de données liées qui vous permet de mener facilement des analyses de sécurité plus rapides et plus efficaces.
Amazon Detective peut analyser des milliards d'événements à partir de plusieurs sources de données, notamment les journaux de flux Amazon Virtual Private Cloud (Amazon VPC), les journaux AWS CloudTrail, les journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS) et les résultats d'Amazon GuardDuty. Par ailleurs, cette solution crée automatiquement une vue interactive et unifiée de vos ressources, de vos utilisateurs et des interactions mutuelles au fil du temps. Cette vue unifiée vous permet de visualiser toutes les informations et le contexte dans un seul endroit pour identifier les raisons sous-jacentes des résultats, explorer en détail les activités d'historique pertinentes et déterminer rapidement la cause principale.
Collecte automatique des données sur tous vos comptes AWS
Amazon Detective ingère et traite automatiquement les données pertinentes de tous les comptes activés. Vous n'avez pas besoin de configurer ou d'activer des sources de données. Amazon Detective collecte et analyse les événements à partir de sources de données comme les journaux AWS CloudTrail, les journaux Amazon VPC Flow, les journaux d'audit Amazon EKS et les résultats d'Amazon GuardDuty. La solution conserve également jusqu'à un an de données agrégées pour l'analyse.
Consolide les événements disparates dans un modèle graphique
Amazon Detective peut analyser des milliards d'événements provenant de nombreuses sources de données distinctes sur le trafic IP, les opérations de gestion AWS et les activités malveillantes ou non autorisées pour construire un modèle de graphique qui distille les données de journal à l'aide du machine learning, de l'analyse statistique et de la théorie des graphiques pour créer un ensemble lié des données pour les enquêtes de sécurité. Le modèle graphique est prédéfini avec des relations liées à la sécurité et résume les informations contextuelles et comportementales qui vous permettent de valider, comparer et corréler rapidement les données pour tirer des conclusions. Les visualisations d'Amazon Detective sont alimentées par le modèle graphique qui vous permet de répondre rapidement à vos questions d'investigation sans la complexité d'interroger les journaux bruts. Par exemple, le graphique fournit le contexte et les relations liées au moment où une adresse IP s'est connectée à une instance EC2, et des appels d'API ont été émis par un rôle pendant une période donnée.
Visualisation interactive pour une analyse efficace
Amazon Detective fournit des visualisations interactives qui permettent d'analyser plus facilement et plus rapidement sur les problèmes. Avec une vue unifiée qui vous permet de visualiser tout le contexte et les détails dans un seul endroit, il est plus facile d'identifier les modèles qui peuvent valider ou réfuter un problème de sécurité, et de comprendre toutes les ressources affectées par un résultat de sécurité. À l'aide de ces visualisations, vous pouvez facilement filtrer de grands ensembles de données d'événement dans des chronologies spécifiques, avec toutes les informations, le contexte et les conseils pour vous aider à analyser rapidement. Amazon Detective vous permet d'afficher les tentatives de connexion sur une carte de géolocalisation, d'analyser les activités d'historique pertinentes et de déterminer rapidement une cause racine et, si nécessaire, de prendre des mesures pour résoudre le problème.
La visualisation graphique vous montre les résultats Amazon GuardDuty associés et les ressources affectées par un seul événement de sécurité, telles que les instances EC2, les rôles et utilisateurs IAM, les compartiments S3 et les adresses IP. Cela vous aide à enquêter sur des activités inhabituelles ou suspectes.
Le volume global des appels de l'API indique les appels réussis et qui ont échoué pendant une période spécifique et le compare à la référence établie. Cela vous aide à identifier les modèles d'activité anormale et à valider une constatation de sécurité.
Intégration transparente pour analyser sur une constatation de sécurité
Amazon Detective est intégré aux services de sécurité AWS tels qu'Amazon GuardDuty et AWS Security Hub, ainsi qu'aux produits de sécurité des partenaires AWS pour permettre d'analyser rapidement les résultats de sécurité identifiés dans ces services. En un seul clic à partir de ces services intégrés, vous pouvez accéder à Amazon Detective et voir immédiatement les événements liés aux résultats, explorer les activités historiques pertinentes et analyser sur le problème. Par exemple, à partir d'un résultat Amazon GuardDuty, vous pouvez lancer Amazon Detective en cliquant sur « Investigate » (Analyser) pour afficher instantanément des informations sur l'activité de la ressource concernée, en disposant d'informations contextuelles pour déterminer rapidement si la constatation détectée reflète une activité suspecte réelle .
Déploiement simple sans intégration de source de données initiale ou configurations complexes à gérer
Vous pouvez activer Amazon Detective en quelques clics dans AWS Management Console. Aucun logiciel à déployer ni agent à installer, ni de configuration complexes à gérer. Vous n'avez à activer aucune source de données, ce qui signifie que vous n'avez pas à supporter les coûts d'activation de la source de données, de transfert de données et de stockage de données.
Pour en savoir plus sur les fonctionnalités et la mise en œuvre d'Amazon Detective, lisez la documentation.
