Publicado: Sep 7, 2021

Em colaboração com o projeto Splunk Trumpet, o Amazon Detective disponibilizou a capacidade de alternar de um achado no Amazon GuardDuty no Splunk diretamente para um perfil de entidade no Amazon Detective, permitindo que os clientes identifiquem rapidamente a causa básica de potenciais problemas de segurança ou atividades suspeitas.

Ao viabilizar uma mudança rápida do Splunk para o Amazon Detective, essa nova capacidade ajudará a simplificar a análise de segurança para suas equipes de segurança e operações. Não será mais necessário copiar e colar URLs ou realizar pesquisas no Detective em busca dos recursos necessários. Em vez disso, o Amazon Detective faz o trabalho pesado enquanto você se concentra em responder rapidamente às perguntas investigativas. Por exemplo, o Amazon Detective pode ajudar você a responder perguntas como: “Há quanto tempo esse endereço IP que estou investigando no Splunk está interagindo com os recursos em minhas contas da AWS?”, “Com quais das minhas instâncias do EC2 esse endereço IP se comunica?”, “Quais foram os volumes de dados trocados com este endereço IP?”, “Em quais portas houve comunicação?” ou “Quais usuários e funções invocaram operações de API com base nesse endereço IP?”.

A nova integração do Amazon Detective já está disponível como parte do projeto Splunk Trumpet em todas as regiões compatíveis com o Amazon Detective. Essa integração é adicional ao pré-processador Lambda, responsável por enviar achados do GuardDuty para o Splunk. O código atualizado recebe os registros de entrada para achados do Amazon GuardDuty e analisa o conteúdo, gerando os URLs adequados do Amazon Detective como campos adicionais no Splunk. Os URLs gerados pelo Splunk usam o formato de URLs de perfil descrito no tópico Como navegar diretamente para um perfil usando um URL no manual do usuário do Amazon Detective. Veja um exemplo de URL para uma instância do EC2: (https://console.aws.amazon.com/detective/home?region=us-east-1#entities/Ec2Instance/i-0149bf6226265a199?scopeStart=1624674429&scopeEnd=1626473483).

Siga as instruções abaixo para concluir a integração inicial do Splunk com a AWS: Como automatizar a ingestão de dados da AWS para o Splunk. Na página de instalação do projeto Splunk Trumpet, selecione Detective GuardDuty URLs (URLs GuardDuty do Detective) no menu suspenso AWS CloudWatch Events.

O Amazon Detective facilita analisar, investigar e identificar rapidamente a causa básica de potenciais problemas de segurança. Para começar, habilite sua avaliação gratuita de 30 dias do Amazon Detective com apenas alguns cliques no Console de Gerenciamento da AWS. Consulte a página de regiões da AWS para conhecer todas as regiões nas quais o Detective está disponível. Para saber mais, acesse a página do produto Amazon Detective.