Funzionalità di Amazon Detective

Amazon Detective immette ed elabora automaticamente i dati rilevanti da tutti gli account abilitati. Non è necessario configurare o abilitare alcuna origine dei dati. Amazon Detective raccoglie e analizza eventi da origini dei dati come i registri di AWS CloudTrail, i registri di flusso di Amazon VPC, i registri di controllo di Amazon EKS e i risultati di Amazon GuardDuty, conservando per un massimo di un anno i dati aggregati a scopo di analisi.

Amazon Detective può analizzare trilioni di eventi da origini dati diversificate su traffico IP, operazioni di gestione AWS, attività dannose o non autorizzate per costruire un modello grafico che sintetizza i dati utilizzando machine learning, analisi statistiche e teoria dei grafi per creare un set di dati collegato per le indagini sulla sicurezza. Il modello grafico è predefinito con le relazioni correlate alla sicurezza e riassume informazioni dettagliate comportamentali e contestuali che ti permettono di esaminare, confrontare e collegare velocemente i dati per raggiungere una conclusione. Le visualizzazioni di Amazon Detective sono supportate dal modello grafico permettendoti di rispondere velocemente alle domande relative alle indagini senza la complessità data dall'esecuzione di query su log di dati grezzi. Per esempio, il grafico fornisce contesto e relazioni sul momento in cui gli indirizzi IP si sono collegati all'istanza EC2 e le chiamate PI che un ruolo ha effettuato in un determinato periodo di tempo.

Amazon Detective fornisce visualizzazioni interattive che semplificano e velocizzano l'indagine dei problemi rendendola più efficace. Con una visualizzazione che ti permette di vedere dettagli e contesto in un unico luogo è più facile identificare i modelli che possono confermare o confutare un problema di sicurezza e capire quali sono le risorse influenzate da un risultato di sicurezza. L'utilizzo di queste visualizzazioni permette di filtrare facilmente grandi set di dati in determinate cronologie con dettagli, contesto e guida per aiutarti a indagare velocemente. Amazon Detective ti permette di visualizzare i tentativi di accesso su una mappa di geolocalizzazione, scendere nei dettagli di attività rilevanti nella cronologia, determinare velocemente la causa principale e, se necessario, agire per risolvere il problema.

La mappa di geolocalizzazione di Amazon Detective mostra l'attività da posizioni recenti fino a ora mai osservate. Ciò ti aiuta a identificare attività insolite e capirne l'eventuale legittimità o problematicità.

Il volume complessivo di chiamate API mostra le chiamate riuscite e fallite in un determinato periodo di tempo e le confronta con la linea di base stabilita. Questo aiuta l'identificazione di modelli di attività anomale e convalida un risultato di sicurezza.

Amazon Detective è integrato con i servizi di sicurezza AWS come Amazon GuardDuty e AWS Security Hub ma anche con i prodotti di sicurezza dei partner AWS per aiutarti a indagare velocemente i risultati di sicurezza identificati da tali servizi. Con un semplice clic da questi servizi integrati puoi passare ad Amazon Detective e vedere immediatamente gli eventi relativi al risultato, scendere nei dettagli delle attività rilevanti nella cronologia e indagare il problema. Per esempio, da un risultato di Amazon GuardDuty puoi avviare Amazon Detective facendo clic su "Investigate" (indaga) che fornisce informazioni immediate sull'attività rilevante per la risorsa coinvolta, fornendoti i dettagli e il contesto per capire velocemente se il risultato rilevato è realmente un'attività sospetta.

Per attivare AWS Detective bastano pochi clic nella Console di gestione AWS. Non è necessario distribuire software, installare agenti o conservare configurazioni complesse. Inoltre non c'è bisogno di abilitare origini dati, il che significa che non sono previsti costi per l'abilitazione dell'origine dati, il trasferimento e lo storage di dati.