Domande generali

D: Cos'è Amazon Detective?

Amazon Detective ti permette di analizzare, investigare e identificare in modo rapido e semplice le cause principali delle problematiche potenziali relative a sicurezza e attività sospette. Amazon Detective raccoglie automaticamente i dati di log dalle risorse AWS e utilizza machine learning, analisi statistiche e teoria dei grafi per creare un set di dati collegato che ti permette di condurre indagini sulla sicurezza più veloci ed efficienti.

D: Quali sono i vantaggi principali dell'utilizzo di Amazon Detective?

Amazon Detective semplifica il processo di indagine e aiuta i team di sicurezza a condurre indagini più veloci ed efficienti. Sommari, contesto e aggregazioni di dati sono predefiniti in Amazon Detective per aiutarti ad analizzare e determinare velocemente la natura e l'estensione di potenziali problematiche di sicurezza. Amazon Detective conserva fino a un anno di dati aggregati resi facilmente raggiungibili da un set di visualizzazioni che mostrano i cambiamenti nel tipo e volume di attività in un periodo selezionato di tempo e collega tali cambiamenti ai risultati di sicurezza. Per l'utilizzo del servizio non sono previsti costi anticipati; le tariffe si basano sul numero di eventi analizzati, senza dover implementare altri software o abilitare feed di log.

D: In che modo Amazon Detective aiuta ad analizzare le indagini di sicurezza?

Amazon Detective estrae eventi basati sul tempo come tentativi di accesso, chiamate API e traffico di rete da AWS CloudTrail, dai log di flusso di Amazon Virtual Private Cloud (Amazon VPC), dagli esiti di Amazon GuardDuty e della Centrale di sicurezza AWS e, infine, dai log di controllo di Amazon Elastic Kubernetes Service (Amazon EKS). Detective crea un grafico comportamentale che utilizza il machine learning (ML) per creare una visione unificata e interattiva dei comportamenti delle risorse e delle loro interazioni nel tempo, in particolare per questi eventi basati sul tempo. Esplorando il grafico del comportamento, è possibile analizzare gli eventi di sicurezza come tentativi accesso non riusciti,
chiamate API sospette o gruppi di esiti che aiutino a indagare sulla causa principale dei propri esiti AWS Security.

D: Cosa sono i gruppi di esiti e come riducono i tempi di analisi degli esiti?

Gli autori delle minacce spesso eseguono una serie di azioni quando tentano di compromettere il tuo ambiente AWS, il che può portare a più esiti di sicurezza tra le tue risorse AWS. I gruppi di esiti sono raccolte di esiti e risorse di sicurezza associati a un singolo potenziale incidente di sicurezza che dovresti analizzare insieme. I gruppi di esiti possono contribuire a ridurre i tempi di valutazione, perché non è necessario analizzare separatamente ogni singolo esito di sicurezza. È possibile iniziare l'indagine con la ricerca di gruppi di esiti che offrono una comprensione più completa dell'incidente. Offre inoltre visualizzazioni interattive che consentono di esplorare esiti e approfondimenti specifici utilizzando l'IA generativa per descrivere la catena di eventi in linguaggio naturale. Per ulteriori informazioni, leggi Analisi dei gruppi di esiti.

D: Cosa sono le indagini automatizzate e in che modo consentono di ridurre i tempi di analisi delle risorse?

Le indagini automatizzate consentono di esaminare le entità AWS Identity and Access Management (IAM), come utenti o ruoli IAM, per determinare se tali entità sono potenzialmente compromesse. Le indagini automatizzate ottengono questo risultato interrogando il grafico comportamentale e utilizzando il machine learning per identificare se l'entità IAM presenta un comportamento anomalo o mostra indicatori di compromissione (IoC). Questi IoC possono includere attività potenzialmente dannose, come accessi di viaggio negati, associazioni con indirizzi IP errati noti e una cronologia degli esiti di sicurezza. Invece di analizzare i log di AWS CloudTrail e sviluppare script personalizzati per individuare attività sospette, è possibile risparmiare tempo utilizzando indagini automatizzate per rispondere a domande come "questo ruolo IAM è stato utilizzato in accessi di viaggio che sono stati negati?" oppure "questa sessione di ruolo IAM è stata utilizzata da un indirizzo IP noto e errato?" oppure "quali tattiche, tecniche e procedure (TTP) sono state attivate da questo ruolo principale di IAM durante un evento di sicurezza?" Per ulteriori informazioni, consulta la guida per l'utente di Amazon Detective.

D: Quanto costa Amazon Detective?

I prezzi di Amazon Detective si basano sul volume di dati acquisiti dai log di AWS CloudTrail, dai log di flusso di Amazon VPC, dai log di controllo di Amazon Elastic Kubernetes Service (Amazon EKS), dai risultati di Amazon GuardDuty e dai risultati inviati dai servizi AWS integrati alla Centrale di sicurezza AWS. Il prezzo è per gigabyte (GB) acquisito per ogni account/regione/mese. Amazon Detective conserva fino a un anno di dati aggregati per le analisi. Consulta la pagina dei prezzi di Amazon Detective per informazioni aggiornate. Gli esiti di Amazon EKS e della Centrale di sicurezza AWS sono origini dati opzionali che è possibile disattivare se non si desidera che Detective li importi.

D: È disponibile una prova gratuita?

Sì; tutti i nuovi account di Amazon Detective potranno provare gratuitamente il servizio per 30 giorni. Durante tale periodo, saranno disponibili tutte le caratteristiche del servizio.  

D: Amazon Detective è un servizio regionale o globale?

Amazon Detective deve essere abilitato di regione in regione e ti permette di analizzare velocemente l'attività tra i tuoi account in ogni regione. In questo modo tutti i dati analizzati non possono superare i confini di nessuna regione AWS.

D: Quali regioni supporta Amazon Detective?

Per informazioni sulla disponibilità di Amazon Detective, consulta la tabella delle regioni di AWS.

Nozioni di base su Amazon Detective

D: Che cosa occorre per cominciare a utilizzare Amazon Detective?

Per attivare Amazon Detective sono sufficienti pochi clic nella console di gestione AWS. Una volta abilitato, Amazon Detective organizza automaticamente i dati in un modello su grafo che viene continuamente aggiornato man mano che nuovi dati diventano disponibili. Puoi provare Amazon Detective e cominciare a indagare sulle problematiche potenziali di sicurezza.

D: In che modo è possibile attivare Amazon Detective?

Puoi abilitare Amazon Detective dalla console di gestione AWS o utilizzando l'API di Amazon Detective. Se già utilizzi le console di Amazon GuardDuty o di Centrale di sicurezza AWS consigliamo di abilitare Amazon Detective con lo stesso account di amministrazione di questi servizi per sfruttare al meglio l'esperienza su più servizi.

D: Posso gestire più account con Amazon Detective?

Si, Amazon Detective è un servizio multi account che aggrega i dati da account membri monitorati sotto un account di amministrazione singolo nella stessa regione. Puoi configurare le implementazioni del monitoraggio multi-account nello stesso modo in cui configuri gli account membri e di amministrazione in Amazon GuardDuty e Centrale di sicurezza AWS.

D: Quali origini dati è in grado di analizzare Amazon Detective?

Amazon Detective consente ai clienti di visualizzare riepiloghi e dati analitici associati ai log di flusso di Amazon Virtual Private Cloud (Amazon VPC), ai log di AWS CloudTrail, ai log di controllo di Amazon Elastic Kubernetes Service (Amazon EKS) e agli esiti della Centrale di sicurezza AWS e di Amazon GuardDuty.

D: Posso utilizzare Amazon Detective se non ho abilitato Amazon GuardDuty?

Per abilitare Amazon Detective sui tuoi account, è necessario che sia stato abilitato Amazon GuardDuty almeno 48 ore prima sui medesimi account. Tuttavia, oltre ai risultati di Amazon GuardDuty, è possibile utilizzare Amazon Detective per indagare ulteriormente. Amazon Detective fornisce riepiloghi dettagliati, analisi e visualizzazioni dei comportamenti e delle interazioni tra account AWS, istanze EC2, utenti AWS, ruoli e indirizzi IP. Queste informazioni possono essere molto utili per comprendere i problemi di sicurezza o l'attività dell'account operativo.

D: Quanto velocemente Amazon Detective può iniziare a funzionare?

Amazon Detective inizia a raccogliere i dati dei log non appena viene abilitato e fornisce sommari e analisi sui dati acquisiti. Amazon Detective fornisce anche confronti di attività recenti con linee di base cronologiche stabilite dopo due settimane di monitoraggio dell'account.

D: Posso esportare i miei dati di log grezzi da Amazon Detective?

Sì, è possibile esportare i log di AWS CloudTrail e i log di flusso di Amazon VPC utilizzando un'integrazione con Amazon Security Lake. È possibile scoprire come funziona l'integrazione nella sezione "Amazon Detective per Amazon Security Lake".

D: Quali dati vengono archiviati, crittografati da Amazon Detective? Posso controllare quali origini dati sono abilitate?

Amazon Detective è conforme al modello di responsabilità condivisa AWS, che include normative e linee guida per la protezione dei dati. Una volta abilitato, Amazon Detective elaborerà i dati dai log di AWS CloudTrail, dai log di flusso di Amazon VPC, dai log di controllo di Amazon EKS e dai risultati inviati dai servizi AWS integrati alla Centrale di sicurezza AWS e i risultati di Amazon GuardDuty per qualsiasi account sul quale è stato abilitato.

D: Esistono rischi per prestazioni e disponibilità sui miei carichi di lavoro AWS esistenti se abilito Amazon Detective?

Amazon Detective non influisce su prestazioni o disponibilità dell'infrastruttura AWS perché Amazon Detective recupera i dati di log e i risultati direttamente dai servizi AWS.

D: Come fa Amazon Detective a distinguere Amazon GuardDuty e AWS Security Hub?

Amazon GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività maligne e comportamenti non autorizzati e per proteggere i tuoi carichi di lavoro e account AWS. Grazie alla Centrale di sicurezza AWS hai a disposizione un unico posto che aggrega, organizza e assegna le priorità ai tuoi avvisi di sicurezza o ai risultati provenienti da diversi servizi AWS come Amazon GuardDuty, Amazon Inspector e Amazon Macie, oltre che dalle soluzioni di Partner AWS. Amazon Detective semplifica il processo di indagine di risultati di sicurezza e di identificazione della causa principale. Amazon Detective può analizzare trilioni di eventi da numerose origini dati come log di flusso di Amazon VPC, log di AWS CloudTrail, log di controllo di Amazon EKS, risultati inviati dai servizi AWS integrati alla Centrale di sicurezza AWS e i risultati di Amazon GuardDuty e creare automaticamente un modello grafico che offre una panoramica interattiva e unificata di risorse, utenti e le loro interazioni nel tempo.

D: In che modo è possibile interrompere l'analisi di Amazon Detective su log e origini dati?

Amazon Detective permette di analizzare e visualizzare i dati di sicurezza dai log di AWS CloudTrail, dai log di flusso di Amazon VPC, dai log di controllo di Amazon EKS, dagli esiti inviati dai servizi AWS integrati alla Centrale di sicurezza AWS e dagli esiti di Amazon GuardDuty. Per arrestare l'analisi di log e esiti da parte di Amazon Detective sugli account disabilitare il servizio utilizzando l'API o dalla sezione delle impostazioni nella Console AWS per Amazon Detective.

Lavorare con la console di Amazon Detective

D: Quale guida fornisce Amazon Detective per eseguire un'indagine su un problema di sicurezza?

Amazon Detective fornisce una serie di visualizzazioni che offrono contesto e informazioni sulle risorse AWS come account AWS, istanze EC2, utenti, ruoli, indirizzi IP e risultati Amazon GuardDuty. Ogni visualizzazione è progettata per rispondere a domande specifiche che possono emergere durante l'analisi dei risultati e la relativa attività. Ogni visualizzazione fornisce una guida testuale che spiega in modo chiaro come interpretare il pannello e utilizza le informazioni per rispondere alle domande sull'indagine.

D: Come si integra Amazon Detective con gli altri servizi di sicurezza AWS come Amazon GuardDuty, Centrale di sicurezza AWS e Amazon Security Lake?

Amazon Detective supporta i flussi di lavoro dell'utente tra servizi grazie alla integrazione della console con Amazon GuardDuty, la Centrale di sicurezza AWS e Amazon Security Lake. GuardDuty e la Centrale di sicurezza forniscono i collegamenti dalle console che ti reindirizzano dal risultato selezionato a una pagina di Amazon Detective che contiene un set accurato di visualizzazioni per indagare l'esito selezionato. Amazon Detective fornisce query predefinite basate sulle proprie indagini che possono interrogare e scaricare file di log da Amazon Security Lake. La pagina con i dettagli degli esiti in Amazon Detective è già allineata al timeframe dell'esito e mostra i dati rilevanti associati a esso.

D: Come integro i risultati dell'indagine di Amazon Detective con gli strumenti di risposta e rimedio?

Molti provider di soluzioni di sicurezza partner hanno integrato Amazon Detective per permettere le fasi di indagine all'interno dei propri playbook automatizzati e orchestrazioni. Questi prodotti forniscono collegamenti dai flussi di lavoro di risposta che reindirizzano gli utenti alle pagine di Amazon Detective che contengono visualizzazioni accurate per analizzare gli esiti e le risorse identificate all'interno del flusso di lavoro.

Amazon Detective per la Centrale di sicurezza AWS

D: Come funziona Amazon Detective per la Centrale di sicurezza AWS?

Una volta abilitato, Amazon Detective analizza e mette in correlazione automaticamente e continuamente le attività di utenti, rete e configurazione per i servizi AWS integrati con la Centrale di sicurezza AWS. Amazon Detective acquisisce automaticamente gli esiti di sicurezza inoltrati dai servizi di sicurezza AWS alla Centrale di sicurezza AWS tramite l'origine dati facoltativa denominata AWS Security Findings.

D: Cos'è AWS Security Findings?

La Centrale di sicurezza AWS supporta le integrazioni con diversi servizi AWS. Con l'aspettativa di ricevere esiti di dati sensibili da Amazon Macie, accedi automaticamente a tutte le altre integrazioni di servizi AWS con la Centrale di sicurezza. Se hai attivato la Centrale di sicurezza e uno qualsiasi dei servizi integrati, tali servizi invieranno gli esiti alla Centrale di sicurezza. Detective importa questi esiti e li aggiunge al tuo grafo in modo da poter condurre indagini di sicurezza per tutti i servizi AWS integrati. I servizi supportati includono AWS Config, Gestione dei firewall AWS, Amazon GuardDuty, AWS Health, AWS Identity and Access Management Access Analyze, Amazon Inspector, AWS IoT Device Defender, Amazon Macie e Gestione patch di AWS Systems Manager.

D: Devo attivare AWS Security Findings?

Per impostazione predefinita, gli esiti di sicurezza di AWS sono abilitati come origine dati per i nuovi account utilizzando Detective. Potrebbe essere necessario abilitare questa origine dati se si stava utilizzando Detective prima del rilascio del supporto per gli esiti di sicurezza di AWS. È possibile seguire i passaggi elencati inAWS security findings nella Guida amministrativa per confermare le origini dati per Detective. Questa origine dati deve essere abilitata per ogni regione in cui si prevede di utilizzare Detective.

L'utilizzo di AWS Security Findings da parte di Amazon Detective è progettato per non influire sulle prestazioni dei propri servizi di sicurezza AWS, poiché Amazon Detective utilizza gli esiti di sicurezza utilizzando flussi di log indipendenti e ridondanti. In questo modo, l'utilizzo da parte di Amazon Detective di AWS Security Findings non aumenterà i costi per l'utilizzo della Centrale di sicurezza AWS o di qualsiasi servizio di sicurezza AWS integrato.

D: Come viene addebitato l'utilizzo di Amazon Detective per analizzare gli esiti dei servizi di sicurezza AWS?

Il prezzo del consumo di AWS Security Findings da parte di Amazon Detective si basa sul volume di esiti elaborati e analizzati da Amazon Detective. Amazon Detective offre una prova gratuita di 30 giorni a tutti i clienti che attivano AWS Security Findings, consentendo ai clienti di assicurarsi che le funzionalità di Amazon Detective soddisfino le loro esigenze di sicurezza e di ottenere una stima del costo mensile del servizio prima di impegnarsi nell'utilizzo a pagamento.

D: Se inoltro gli esiti di Amazon GuardDuty alla Centrale di sicurezza AWS, riceverò un doppio addebito?

No, Amazon Detective addebiterà una sola volta gli esiti inviati da ciascun servizio. 

Amazon Detective per Amazon Security Lake

D: Come funziona Amazon Detective per Amazon Security Lake?

Dopo aver integrato i due servizi, Amazon Detective può interrogare e recuperare i log di AWS CloudTrail e i log di flusso di Amazon Virtual Private Cloud (Amazon VPC) da Amazon Security Lake per le proprie indagini di sicurezza. È possibile utilizzare questa integrazione per avviare le proprie indagini in Amazon Detective e visualizzare in anteprima o scaricare log specifici di AWS CloudTrail o log di flusso di Amazon VPC se si necessita di ulteriori dettagli archiviati nei log. Ad esempio, se si indaga sulle attività sospette di un utente IAM nelle ultime 24 ore, è possibile utilizzare Amazon Detective per ottenere un riepilogo dei servizi con cui l'utente IAM ha interagito nel pannello dei metodi API. Se si osservano interazioni con servizi che rappresentano un potenziale problema di sicurezza, come le chiamate API per descrivere i ruoli, è possibile scaricare i log di AWS CloudTrail per quell'utente IAM. Amazon Detective fornirà una query SQL precompilata utilizzando Amazon Athena in base all'ora e all'entità (le ultime 24 ore per l'utente IAM) oggetto di indagine, semplificando il recupero delle query e dei log. Questa integrazione aiuta a risparmiare tempo eliminando la necessità di creare la query SQL da zero ed è possibile visualizzare in anteprima e scaricare i risultati senza dover uscire dalla console Amazon Detective.

D: Come posso abilitare l'integrazione tra Amazon Detective e Amazon Security Lake?

Per abilitare l'integrazione tra i due servizi, si dovrà eseguire un modello Amazon CloudFormation. Questo modello crea un account abbonato con autorizzazioni sufficienti per interrogare e utilizzare i log di Amazon Security Lake e implementa servizi AWS aggiuntivi nel proprio account utilizzato per interrogare e scaricare i log. È possibile esaminare cosa implementa il modello Amazon CloudFormation nella Guida all'utente di Amazon Detective.

D: Quanto viene addebitato l'utilizzo dell'integrazione di Amazon Detective con Amazon Security Lake?

Ogni servizio verrà addebitato in base ai prezzi di Amazon Detective e di Amazon Security Lake. Inoltre, verranno addebitati dei costi per ogni query effettuata con Amazon Athena e per i servizi AWS aggiuntivi implementati nel proprio account per supportare l'integrazione. È possibile utilizzare il calcolatore dei prezzi AWS per stimare il costo totale per l'integrazione dei due servizi.

D: Devo abilitare l'integrazione di Amazon Detective con Amazon Security Lake in ogni regione AWS singolarmente?

Sì. Si dovrà eseguire il modello Amazon CloudFormation in ogni regione AWS in cui si desidera integrare Amazon Detective con Amazon Security Lake. 

Amazon Detective per Amazon Elastic Kubernetes Service (Amazon EKS)

Q: Come funziona Amazon Detective per i log di controllo di Amazon EKS?

Una volta abilitato, Amazon Detective analizza e correla automaticamente e continuamente l'attività degli utenti, della rete e della configurazione nei carichi di lavoro di Amazon EKS. Amazon Detective acquisisce automaticamente i registri di controllo di Amazon EKS e correla le attività degli utenti con gli eventi di gestione di AWS CloudTrail e le attività di rete con i log di flusso di Amazon VPC, senza che sia necessario attivare o archiviare manualmente questi registri. Il servizio offre informazioni fondamentali sulla sicurezza da questi log e le mantiene in un database a grafo di sicurezza comportamentale che consente un rapido accesso incrociato a dodici mesi di attività. Amazon Detective fornisce un livello di analisi e visualizzazione dei dati che aiuta a rispondere alle domande più comuni sulla sicurezza, supportato da un database a grafo comportamentale che consente di indagare più rapidamente su potenziali comportamenti dannosi associati ai carichi di lavoro di Amazon EKS.

D: Devo attivare i log di controllo di Amazon EKS?

Per impostazione predefinita, la registrazione di controllo di Amazon EKS è abilitata come origine dati per gli account che utilizzano Detective. Potrebbe essere necessario abilitare questa origine dati se si utilizzava Detective prima del rilascio del supporto per i log di controllo EKS. È possibile seguire i passaggi elencati nei log di controllo di Amazon EKS per Detective nella Guida amministrativa per confermare le origini dati per Detective. Questa fonte di dati deve essere abilitata per ogni regione in cui si prevede di utilizzare Detective.

Il consumo dei log di controllo di Amazon EKS da parte di Amazon Detective è progettato per non influire sulle prestazioni dei propri carichi di lavoro di Amazon EKS, poiché Amazon Detective consuma i log di controllo utilizzando flussi di log di controllo indipendenti e duplicati. In questo modo, il consumo da parte di Amazon Detective dei log di controllo di Amazon EKS non aumenterà i propri costi di utilizzo di Amazon EKS.

D: Come mi viene addebitato l'utilizzo di Amazon Detective per proteggere i miei carichi di lavoro Amazon EKS?

Il consumo dei registri di controllo di Amazon EKS da parte di Amazon Detective viene calcolato in base al volume dei registri di controllo elaborati e analizzati da Amazon Detective. Amazon Detective offre una prova gratuita di 30 giorni a tutti i clienti che attivano la copertura di Amazon EKS, consentendo ai clienti di assicurarsi che le funzionalità di Amazon Detective soddisfino le loro esigenze di sicurezza e di ottenere una stima del costo mensile del servizio prima di impegnarsi nell'utilizzo a pagamento.

D: Amazon Detective fornisce visibilità sui carichi di lavoro Amazon EKS su AWS Fargate, sui Kubernetes non gestiti su EC2 o per ES Anywhere?

Al momento, questa funzionalità supporta solo le implementazioni di Amazon EKS eseguite sulle istanze EC2 nel proprio account AWS. Detective fornisce anche supporto per il monitoraggio di runtime di Amazon GuardDuty EKS e il monitoraggio runtime di ECS (che include il monitoraggio per Amazon ECS su Fargate). Questa funzionalità non fornisce visibilità su Kubernetes non gestiti su EC2 o ES Anywhere.

Read the documentation
Consulta la documentazione

Leggi la documentazione per ulteriori informazioni sulle caratteristiche di Amazon Detective e l'implementazione.

Leggi la documentazione 
Registrati per creare un account AWS
Registrati per creare un account gratuito

Ottieni l'accesso immediato al piano gratuito di AWS. 

Registrati 
Getting started
Inizia a usare Amazon Detective

Inizia a costruire con Amazon Detective.

Nozioni di base