Geral

P: O que é o Amazon Detective?

O Amazon Detective facilita a análise, a investigação e a identificação rápidas da causa raiz de potenciais problemas de segurança ou atividades suspeitas. O Amazon Detective coleta automaticamente dados de log de seus recursos da AWS e usa aprendizado de máquina, análise estatística e teoria dos gráficos para criar um conjunto de dados vinculados que permite realizar facilmente investigações de segurança mais rápidas e eficientes.

P: Quais são os principais benefícios do Amazon Detective?

O Amazon Detective simplifica o processo de investigação e ajuda as equipes de segurança a conduzir investigações mais rápidas e eficazes. As agregações, resumos e contexto de dados pré-construídos do Amazon Detective ajudam você a analisar e determinar rapidamente a natureza e a extensão de possíveis problemas de segurança. O Amazon Detective mantém até um ano de dados agregados e os torna facilmente disponíveis por meio de um conjunto de visualizações que mostram alterações no tipo e no volume de atividades em uma janela de tempo selecionada e vincula essas alterações às descobertas de segurança. Não há custos iniciais e você paga apenas pelos eventos analisados, sem necessidade de implantar software adicional ou registrar os feeds a serem habilitados.

P: Quanto custa o Amazon Detective?

A definição de preço do Amazon Detective se baseia no volume de dados consumidos dos logs do AWS CloudTrail, Amazon VPC Flow Logs, logs de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS) e descobertas do Amazon GuardDuty. Você é cobrado por Gigabyte (GB) consumido por conta/região/mês. O Amazon Detective mantém até um ano de dados agregados para análise. Consulte a página de definição de preço do Amazon Detective, para obter informações de definição de preço atualizadas.

P: Há um teste gratuito?

Sim. Toda conta nova do Amazon Detective pode experimentar gratuitamente o serviço por 30 dias. Você terá acesso ao conjunto completo de recursos durante o teste gratuito.  

P: O Amazon Detective é um serviço regional ou global?

O Amazon Detective precisa ser ativado de acordo com cada região e permite que você analise rapidamente a atividade em todas as suas contas em cada região. Isso garante que todos os dados analisados sejam baseados em regiões e não cruzem os limites regionais da AWS.

P: A quais regiões o Amazon Detective oferece suporte?

Veja a disponibilidade regional do Amazon Detective na tabela de regiões da AWS.

Conceitos básicos do Amazon Detective

P: Como posso começar a usar o Amazon Detective?

O Amazon Detective pode ser habilitado com alguns cliques no Console de Gerenciamento da AWS. Uma vez ativado, o Amazon Detective organiza automaticamente os dados em um modelo gráfico e o modelo é atualizado continuamente à medida que novos dados ficam disponíveis. Você pode experimentar o Amazon Detective e começar a investigar possíveis problemas de segurança.

P: Como posso habilitar o Amazon Detective?

Você pode ativar o Amazon Detective no Console de Gerenciamento da AWS ou usando a API do Amazon Detective. Se você já estiver usando os consoles do Amazon GuardDuty ou AWS Security Hub, habilite o Amazon Detective com a mesma conta que é a conta principal no Amazon GuardDuty ou no AWS Security Hub, para permitir a melhor experiência entre serviços.

P: Posso gerenciar várias contas com o Amazon Detective?

Sim, o Amazon Detective é um serviço de várias contas que agrega dados de contas de membros monitoradas em uma única conta principal na mesma região. É possível configurar implantações de monitoramento de várias contas da mesma maneira que você configura contas mestre e membro no Amazon GuardDuty e no AWS Security Hub.

P: Quais fontes de dados o Amazon Detective analisa?

O Amazon Detective permite que os clientes visualizem resumos e dados analíticos associados aos logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC), logs do AWS CloudTrail e logs de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS). Para clientes com o Amazon GuardDuty ativado, o Detective também processa as descobertas do Amazon GuardDuty.

P: Poderei usar o Amazon Detective se não tiver o Amazon GuardDuty habilitado?

O Amazon Detective exige que você tenha o Amazon GuardDuty habilitado em suas contas por pelo menos 48 horas antes de habilitar o Detective nessas contas. No entanto, você pode usar o Amazon Detective para investigar mais do que apenas as descobertas do Amazon GuardDuty. O Amazon Detective fornece resumos, análises e visualizações detalhadas dos comportamentos e interações entre suas contas da AWS, instâncias do EC2, usuários da AWS, funções e endereços IP. Essas informações podem ser muito úteis para entender problemas de segurança ou atividades operacionais da conta.

P: Com que rapidez o Amazon Detective começa a funcionar?

O Amazon Detective começa a coletar dados de log assim que ativado e fornece resumos visuais e análises sobre os dados consumidos. O Amazon Detective também fornece comparações de atividades recentes com linhas de base históricas estabelecidas após duas semanas de monitoramento da conta.

P: Posso exportar meus dados brutos de log do Amazon Detective?

O Amazon Detective analisa seus logs do AWS CloudTrail, Amazon VPC Flow Logs e logs de auditoria do Amazon EKS,, mas não disponibiliza os logs brutos para exportação. A AWS permite que você exporte esses logs por meio de outros serviços.

P: Quais dados o Amazon Detective armazena, eles são criptografados e posso controlar quais fontes de dados estão habilitados?

O Amazon Detective está em conformidade com o modelo de responsabilidade compartilhada da AWS, incluindo as regulamentações e diretrizes para proteção de dados. Uma vez habilitado, o Amazon Detective processará dados dos logs do AWS CloudTrail, dos VPC Flow Logs, logs de auditoria do Amazon EKS e descobertas do Amazon GuardDuty para todas as contas em que ele foi ativado.

P: Existe um risco de desempenho ou disponibilidade às minhas workloads existentes da AWS ao habilitar o Amazon Detective?

O Amazon Detective não afeta o desempenho ou a disponibilidade de sua infraestrutura da AWS, pois ele recupera os dados e as descobertas do log diretamente dos serviços da AWS.

P: Como o Amazon Detective difere do Amazon GuardDuty e do AWS Security Hub?

O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas ou e comportamentos não autorizados para proteger suas contas e workloads da AWS. Com o AWS Security Hub, você tem um único local que agrega, organiza e prioriza alertas de segurança, ou descobertas, de vários serviços da AWS, como o Amazon GuardDuty, o Amazon Inspector e o Amazon Macie, bem como de soluções de parceiros da AWS. O Amazon Detective simplifica o processo de investigação de descobertas de segurança e identificação da causa raiz. O Amazon Detective analisa trilhões de eventos de várias fontes de dados, como Amazon VPC Flow Logs, logs do AWS CloudTrail, logs de auditoria do Amazon EKS, descobertas do Amazon GuardDuty e cria automaticamente um modelo de gráfico que fornece uma visão interativa e unificada de seus recursos, usuários e as interações entre eles ao longo do tempo.

P: Como posso impedir que o Amazon Detective examine logs e fontes de dados?

O Amazon Detective permite analisar e visualizar dados de segurança dos seus logs do AWS CloudTrail, Amazon VPC Flow Logs, logs de auditoria do Amazon EKS e descobertas do Amazon GuardDuty. Para impedir que o Amazon Detective analise esses logs e descobertas de suas contas, desabilite o serviço usando a API ou a seção de configurações no Console AWS para Amazon Detective.

Utilização do console Amazon Detective

P: Que orientação o Amazon Detective fornece sobre como investigar um problema de segurança?

O Amazon Detective fornece uma variedade de visualizações que apresentam contexto e informações sobre recursos da AWS, como contas da AWS, instâncias do EC2, usuários, funções, endereços IP e descobertas do Amazon GuardDuty. Cada visualização é projetada para responder a perguntas específicas que podem surgir à medida que você analisa as descobertas e a atividade relacionada. Cada visualização fornece orientação textual que explica claramente como interpretar o painel e usar suas informações para responder às suas perguntas investigativas.

P: Como o Amazon Detective é integrado a outros serviços de segurança da AWS, como o Amazon GuardDuty e o AWS Security Hub?

O Amazon Detective é compatível com fluxos de trabalho de usuário entre serviços, como integrações de console com o Amazon GuardDuty e o AWS Security Hub. Esses serviços fornecem links de seus consoles que o redirecionam de uma descoberta selecionada diretamente para uma página do Amazon Detective que contém um conjunto de visualizações específicas para investigar a descoberta selecionada. A página de detalhes das descobertas no Amazon Detective já está alinhada ao período da descoberta e mostra dados relevantes associados à descoberta.

P: Como integro os resultados da investigação do Amazon Detective às ferramentas de correção e resposta?

Vários fornecedores de soluções de segurança de parceiros se integraram ao Amazon Detective para permitir etapas de investigação em seus playbooks e orquestrações automatizados. Esses produtos apresentam links nos fluxos de trabalho de resposta que redirecionam os usuários para as páginas do Amazon Detective que contêm visualizações selecionadas para investigar descobertas e recursos identificados no fluxo de trabalho.

Amazon Detective for Amazon Elastic Kubernetes Service (Amazon EKS)

Q: Como funcionam os logs de auditoria do Amazon Detective for Amazon EKS?

Após ser ativado, o Amazon Detective analisa e correlaciona automaticamente e continuamente as atividades de usuário, rede e configuração em suas workloads do Amazon EKS. O Amazon Detective ingere automaticamente os logs de auditoria do Amazon EKS e correlaciona as atividades do usuário com os eventos do AWS CloudTrail Management e a atividade da rede com os logs do Amazon VPC Flow sem a necessidade de habilitar ou armazenar esses logs manualmente. O serviço coleta as principais informações de segurança desses logs e as retém em um banco de dados de grafos comportamental de segurança, que permite acesso rápido com referência cruzada a 12 meses de atividade. O Amazon Detective oferece uma camada de análise e visualização de dados para ajudar a responder a perguntas comuns de segurança, respaldadas por um banco de dados de grafos comportamental que permite investigar mais rapidamente possíveis comportamentos maliciosos associados às suas workloads do Amazon EKS.

P: Preciso ativar os logs de auditoria do Amazon EKS?

Não, não é necessário habilitar ou configurar o log de auditoria do Amazon EKS. Você só precisa habilitar os logs de auditoria do Amazon EKS como uma nova fonte de dados no console ou nas APIs do Amazon Detective. O consumo de logs de auditoria do Amazon EKS pelo Amazon Detective foi projetado para não afetar a performance de suas workloads do Amazon EKS, pois o Amazon Detective consome os logs de auditoria usando fluxos de log de auditoria independentes e duplicados. Dessa forma, o consumo do Amazon Detective de seus logs de auditoria do Amazon EKS não aumentará seus custos de uso do Amazon EKS.

P: Como sou cobrado para usar o Amazon Detective para proteger minhas workloads do Amazon EKS?

O consumo de logs de auditoria do Amazon EKS pelo Amazon Detective é cobrado com base no volume de logs de auditoria processados ​​e analisados ​​pelo Amazon Detective. O Amazon Detective oferece uma avaliação gratuita de 30 dias para todos os clientes que habilitam a cobertura do Amazon EKS, permitindo que os clientes garantam que os recursos do Amazon Detective atendam às suas necessidades de segurança e obtenham uma estimativa do custo mensal do serviço antes de se comprometerem com o uso pago.

P: Já estou usando o Amazon Detective; como posso ativar o suporte a logs de auditoria do Amazon EKS no Amazon Detective?

Os clientes existentes que usam o Amazon Detective precisarão ativar os logs de auditoria do Amazon EKS no console do Amazon Detective para suas contas. Os clientes podem alterar essa seleção e ativar/desativar os logs de auditoria do Amazon EKS usando um único clique no console do Amazon Detective.

P: Se eu não usar o Amazon EKS e habilitar os logs de auditoria do Amazon EKS no Amazon Detective, serei cobrado?

Não. Se você não estiver usando o Amazon EKS, não haverá cobrança pelos logs de auditoria do Amazon EKS. No entanto, quando você começar a usar o Amazon EKS, seus clusters serão monitorados automaticamente pelo Amazon Detective e você receberá perfis de cluster, nó e pod para suas workloads do Amazon EKS no Amazon Detective.

P: Posso habilitar apenas os logs de auditoria do Amazon EKS, sem habilitar o serviço do Detective completo (por exemplo, Amazon VPC Flow Logs, descobertas do Amazon GuardDuty e análise de eventos de gerenciamento do AWS CloudTrail)?

O serviço completo do Amazon Detective deve ser habilitado para que os logs de auditoria do Amazon EKS estejam disponíveis.

P: Os logs de auditoria do Amazon EKS oferecem suporte ao gerenciamento de várias contas?

Sim. Os logs de auditoria do Amazon EKS são compatíveis com o gerenciamento de várias contas por meio da integração do AWS Organizations. Essa integração ajuda as equipes de segurança e conformidade a garantir a cobertura total do Amazon Detective em todos os clusters atuais e futuros do Amazon EKS em todas as contas de uma organização.

P: O Amazon Detective oferece visibilidade das workloads do Amazon EKS no AWS Fargate, Kubernetes não gerenciados no EC2 ou para ES Anywhere?

Atualmente, esse recurso só oferece suporte a implantações do Amazon EKS executadas em instâncias do EC2 em sua conta da AWS.

P: Preciso fazer alterações de configuração, implantar qualquer software ou modificar minhas implantações do Amazon EKS?

Não. Uma vez habilitado, o Amazon Detective começa a monitorar os logs de auditoria do Amazon EKS de todos os clusters do Amazon EKS novos e existentes na conta em busca de problemas de segurança, sem nada mais para implantar, sem fontes de log para habilitar e sem alterações de configuração a serem feitas.

P: O uso dos logs de auditoria do Amazon EKS afetará a performance ou o custo da execução de contêineres no Amazon EKS?

Não. Os logs de auditoria do EKS não têm implicações de performance, disponibilidade ou custo para implantações de workloads do Amazon EKS.

P: Preciso habilitar os logs de auditoria do Amazon EKS em cada região da AWS individualmente?

Sim. Os logs de auditoria do Amazon EKS precisam ser habilitados em cada região da AWS separadamente.

Leia a documentação
Leia a documentação

Saiba mais sobre os recursos e a implementação do Amazon Detective lendo a documentação.

Ler documentação 
Cadastre-se para obter uma conta da AWS
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastre-se 
Cadastre-se para uma demonstração
Comece a usar o Amazon Detective

Comece a criar usando o Amazon Detective.

Conceitos básicos