Pular para o conteúdo principal

Recursos do Amazon Detective

Por que o Amazon Detective?

O Amazon Detective torna mais fácil analisar, investigar e identificar rapidamente a causa raiz de possíveis problemas de segurança ou atividades suspeitas. O Amazon Detective coleta automaticamente dados de log de seus recursos da AWS e usa machine learning, análise estatística e teoria dos grafos para criar um conjunto de dados vinculados que permite realizar facilmente investigações de segurança mais rápidas e eficientes.

O Amazon Detective pode analisar trilhões de eventos de várias fontes de dados, como registros de fluxo da Amazon Virtual Private Cloud (Amazon VPC), registros do AWS CloudTrail, registros de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS) e descobertas de segurança de vários serviços, como Amazon GuardDuty, AWS Security Hub, entre outros. O Detective cria automaticamente uma visualização unificada e interativa de seus recursos, usuários e das interações entre eles ao longo do tempo. Com essa visualização unificada, é possível visualizar todos os detalhes e o contexto em um único local para identificar os motivos subjacentes das descobertas, detalhar as atividades históricas relevantes e determinar rapidamente a causa raiz.

Visão geral

Coleta automática de dados em todas as suas contas da AWS

O Amazon Detective ingere e processa automaticamente dados relevantes de todas as contas habilitadas. Não é necessário configurar nem habilitar nenhuma fonte de dados. O Amazon Detective coleta e analisa eventos de fontes de dados, como logs do AWS CloudTrail, logs de fluxo da Amazon VPC, logs de auditoria do Amazon EKS, descobertas do Amazon GuardDuty, descobertas do AWS Security Hub e outros serviços integrados da AWS e mantém até um ano de dados agregados para análise.

Consolida eventos díspares em um modelo de grafo

O Amazon Detective pode analisar trilhões de eventos de vários tipos de dados, incluindo tráfego IP, operações de gerenciamento da AWS e atividades potencialmente maliciosas ou não autorizadas. O Detective constrói um modelo gráfico usando aprendizado de máquina, análise estatística e teoria dos grafos para criar um conjunto vinculado de dados para investigações de segurança. O modelo gráfico pré-construído contém relacionamentos relacionados à segurança e oferece insights contextuais e comportamentais que permitem validar, comparar e correlacionar rapidamente os dados para chegar a conclusões. As visualizações do Amazon Detective são baseadas no modelo gráfico, permitindo que você responda rapidamente às suas perguntas investigativas sem a complexidade de consultar registros brutos. Por exemplo, o gráfico fornece contexto e relacionamentos, como quando um endereço IP se conecta a uma instância do EC2 e às chamadas de API feitas por uma função durante um período específico.

Visualizações interativas para investigação eficiente

O Amazon Detective fornece visualizações e insights interativos usando IA generativa, facilitando a investigação de problemas de forma mais rápida e completa com menos esforço. Com uma exibição unificada que permite visualizar todo o contexto e resumos de linguagem natural em um só lugar, é mais fácil identificar padrões que podem validar ou refutar um problema de segurança e entender todos os recursos afetados por uma descoberta de segurança. Usando essas visualizações e insights, é possível filtrar com mais facilidade grandes conjuntos de dados de eventos em cronogramas específicos, com todos os detalhes, contexto e orientações para ajudar você a investigar de maneira rápida. O Amazon Detective permite que você visualize as tentativas de login em um mapa de localização geográfica, detalhe atividades históricas relevantes, determine com rapidez uma causa raiz e, se necessário, tome medidas para resolver o problema.

Missing alt text value

Volume geral de chamadas de API

A visualização de gráficos mostra as descobertas relacionadas à segurança da AWS e os recursos afetados com base em um único evento de segurança, como instâncias do EC2, usuários e perfis do IAM, buckets do S3 e endereços IP. Os insights descrevem o que ocorreu durante o evento de segurança em uma linguagem natural para ajudar você a entender a cadeia de eventos. Isso ajuda você a investigar atividades incomuns ou suspeitas com mais rapidez e menos esforço. O volume geral de chamadas da API mostra chamadas bem-sucedidas e com falha em um período específico e as compara com a linha de base estabelecida. Isso ajuda a identificar padrões anormais de atividade e a validar uma descoberta de segurança.

Missing alt text value

Mais recursos

Integração contínua para investigar uma descoberta de segurança

O Amazon Detective é integrado aos serviços de segurança da AWS, como Amazon GuardDuty, AWS Security Hub, Amazon Inspector, Amazon Security Lake, bem como aos produtos de segurança de parceiros da AWS para ajudar a investigar rapidamente as descobertas de segurança identificadas nesses serviços. Usando uma única etapa desses serviços integrados, você pode acessar o Amazon Detective e ver imediatamente os eventos relacionados às descobertas, detalhar as atividades históricas relevantes e investigar o problema. Por exemplo, a partir de uma descoberta do Amazon GuardDuty, você pode iniciar o Amazon Detective clicando em “Investigue no Detective”, que fornece informações instantâneas sobre a atividade relevante do recurso envolvido. Com o Detective, você pode consultar e recuperar fontes de log armazenadas no Amazon Security Lake sem precisar criar consultas ou sair do console do Detective.

Suporte de investigação de segurança para o Amazon GuardDuty Runtime Monitoring

O Amazon Detective suporta investigações de segurança para o GuardDuty ECS e o EKS Runtime Monitoring, fornecendo visualizações aprimoradas e contexto adicional para novas detecções de ameaças. Você pode usar as detecções de ameaças em tempo real do GuardDuty e os recursos investigativos do Detective para melhorar sua detecção e resposta a possíveis ameaças às cargas de trabalho de seu contêiner. O Detective apóia a investigação dessas novas detecções incluindo-as em grupos de busca, visualizações e outros resumos para acelerar as investigações de segurança.

Implantação simples sem integração prévia da fonte de dados nem configurações complexas para manter

Com algumas etapas no AWS Management Console, você pode habilitar o Amazon Detective. Não há software para implantar, agentes para instalar ou configurações complexas para manter. Também não há fontes de dados a serem habilitadas, o que significa que você não precisa incorrer nos custos de habilitação da fonte de dados, transferência de dados e armazenamento de dados.