Amazon Detective ti permette di analizzare, investigare e identificare in modo rapido e semplice le cause principali delle problematiche potenziali relative a sicurezza e attività sospette. Amazon Detective raccoglie automaticamente i dati di log dalle risorse AWS e utilizza machine learning, analisi statistiche e teoria dei grafi per creare un set di dati collegato che consente di condurre indagini sulla sicurezza più veloci ed efficienti.
Amazon Detective può analizzare trilioni di eventi da più origini dati, come i log di flusso di Amazon Virtual Private Cloud (Amazon VPC), i log di AWS CloudTrail, i log di controllo di Amazon Elastic Kubernetes Service (Amazon EKS) e gli esiti di sicurezza di diversi servizi come Amazon GuardDuty, la Centrale di sicurezza AWS e molti altri. Detective crea automaticamente una visione unificata e interattiva delle tue risorse, degli utenti e delle interazioni tra loro nel tempo. Grazie a questa panoramica unificata, puoi visualizzare tutti i dettagli e i contesti in un unico luogo per identificare i motivi sottostanti degli esiti, analizzare le attività cronologiche rilevanti e determinare velocemente la causa principale.
Raccolta di dati automatica tra tutti gli account AWS
Amazon Detective immette ed elabora automaticamente i dati rilevanti da tutti gli account abilitati. Non è necessario configurare o abilitare alcuna origine dati. Amazon Detective raccoglie e analizza eventi da origini dati come i log di AWS CloudTrail, i log di flusso di Amazon VPC, i log di controllo di Amazon EKS, gli esiti di Amazon GuardDuty e della Centrale di sicurezza AWS e altri servizi di sicurezza AWS integrati, e conserva per un massimo di un anno i dati aggregati a scopo di analisi.
Elaborazione di eventi diversi in un modello su grafo
Amazon Detective può analizzare migliaia di miliardi di eventi provenienti da vari tipi di dati, tra cui traffico IP, operazioni di gestione AWS e attività potenzialmente dannose o non autorizzate. Detective costruisce un modello grafico utilizzando il machine learning, l'analisi statistica e la teoria dei grafi per creare un set di dati collegato per le indagini di sicurezza. Il modello a grafo predefinito contiene le relazioni correlate alla sicurezza e riassume informazioni dettagliate comportamentali e contestuali che permettono di esaminare, confrontare e collegare velocemente i dati per giungere a una conclusione. Le visualizzazioni di Amazon Detective sono supportate dal modello su grafo consentendo una rapida risposta a domande relative alle indagini senza la complessità data dall'esecuzione di query su log non elaborati. Per esempio, il grafo fornisce contesto e relazioni sul momento in cui un indirizzo IP si collega a un'istanza EC2 e sulle chiamate API effettuate da un ruolo in un determinato periodo di tempo.
Visualizzazioni interattive per indagini efficienti
Amazon Detective fornisce visualizzazioni e approfondimenti interattivi utilizzando l'IA generativa, semplificando l'analisi dei problemi in modo più rapido e approfondito con meno sforzo. Con una visualizzazione unificata che consente di visualizzare tutto il contesto e i riepiloghi in linguaggio naturale in un'unica posizione, diventa più facile identificare i modelli in grado di convalidare o confutare un problema di sicurezza e comprendere tutte le risorse interessate all'interno di un esito di sicurezza. L'utilizzo di queste visualizzazioni permette di filtrare facilmente grandi set di dati in determinate cronologie con dettagli, contesto e guida per indagare velocemente. Amazon Detective permette di visualizzare i tentativi di accesso su una mappa di geolocalizzazione, scendere nei dettagli di attività rilevanti nella cronologia, determinare velocemente la causa principale e, se necessario, agire per risolvere il problema.
Le visualizzazioni del grafo mostrano i relativi esiti di sicurezza AWS e le risorse interessate da un singolo evento di sicurezza, come le istanze EC2, i ruoli e gli utenti IAM, i bucket S3 e gli indirizzi IP. Gli approfondimenti descrivono gli eventi che hanno avuto luogo durante l'evento di sicurezza in un linguaggio naturale per comprendere la catena di eventi. Ciò consente di indagare su attività insolite o sospette più rapidamente e con meno sforzo.
Il volume complessivo di chiamate API mostra le chiamate riuscite e fallite in un determinato periodo di tempo e le confronta con la linea di base stabilita. Questo aiuta l'identificazione di modelli di attività anomale e convalida un risultato di sicurezza.
Integrazione perfetta per l'indagine su un esito di sicurezza
Amazon Detective è integrato con i servizi di sicurezza AWS come Amazon GuardDuty, la Centrale di sicurezza AWS, Amazon Inspector, Amazon Security Lake ma anche con i prodotti di sicurezza dei partner AWS per aiutarti ad analizzare velocemente gli esiti di sicurezza identificati da tali servizi. Con un semplice clic da questi servizi integrati si può passare ad Amazon Detective e visualizzare immediatamente gli eventi relativi agli esiti, scendere nei dettagli delle attività rilevanti nella cronologia e analizzare il problema. Ad esempio, da un risultato di Amazon GuardDuty è possibile avviare Amazon Detective facendo clic su "Investigate in Detective" che fornisce informazioni istantanee sull'attività pertinente per la risorsa coinvolta. Da Detective è possibile interrogare e recuperare le fonti di log archiviate in Amazon Security Lake senza dover creare query o uscire dalla console di Detective.
Supporto alle indagini di sicurezza per Amazon GuardDuty Runtime Monitoring
Amazon Detective supporta le indagini di sicurezza per GuardDuty ECS ed EKS Runtime Monitoring, fornendo visualizzazioni avanzate e contesto aggiuntivo per il rilevamento di nuove minacce. È possibile utilizzare i rilevamenti delle minacce runtime di GuardDuty e le funzionalità investigative di Detective per migliorare il rilevamento e la risposta alle potenziali minacce ai carichi di lavoro dei container. Detective supporta l'indagine su questi nuovi rilevamenti includendoli in gruppi di esiti, visualizzazioni e altri riepiloghi per indagini di sicurezza più rapide.
Implementazione semplice senza necessità di integrazione iniziale dell'origine dati o configurazioni complesse da mantenere
Per attivare Amazon Detective bastano pochi passaggi da eseguire nella Console di gestione AWS. Non è necessario implementare software, installare agenti o gestire configurazioni complesse. Inoltre non c'è bisogno di abilitare origini dati, il che significa che non sono previsti costi per l'abilitazione dell'origine dati, il trasferimento e l'archiviazione di dati.
Leggi la documentazione per ulteriori informazioni sulle caratteristiche di Amazon Detective e l'implementazione.
Ottieni l'accesso immediato al piano gratuito di AWS.