Recursos do Amazon Detective

O Amazon Detective ingere e processa automaticamente dados relevantes de todas as contas habilitadas. Não é necessário configurar nem habilitar nenhuma fonte de dados. O Amazon Detective coleta e analisa eventos de fontes de dados, como logs do AWS CloudTrail, logs de fluxo da Amazon VPC, logs de auditoria do Amazon EKS, descobertas do Amazon GuardDuty, descobertas do AWS Security Hub e outros serviços integrados da AWS e mantém até um ano de dados agregados para análise.

O Amazon Detective pode analisar trilhões de eventos de vários tipos de dados, incluindo tráfego IP, operações de gerenciamento da AWS e atividades potencialmente maliciosas ou não autorizadas.  O Detective estrutura um modelo gráfico usando machine learning, análise estatística e teoria dos gráficos para criar um conjunto vinculado de dados para investigações de segurança. O modelo de gráfico pré-construído contém relacionamentos ligados à segurança e oferece informações contextuais e comportamentais que permitem validar, comparar e correlacionar com rapidez os dados para chegar a conclusões. As visualizações do Amazon Detective são baseadas no modelo de gráficos, permitindo que você responda logo a perguntas investigativas sem a complexidade de consultar logs brutos. Por exemplo, o gráfico oferece contexto e relacionamentos, como quando um endereço IP é conectado a uma instância do EC2 e as chamadas de API feitas por um perfil durante um período específico.

O Amazon Detective permite visualizações e insights interativos usando IA generativa, facilitando a investigação de problemas de forma mais rápida e completa com menos esforço. Com uma visão unificada que permite visualizar todo o contexto e resumos de linguagem natural em um só lugar, é mais fácil identificar padrões que podem validar ou refutar um problema de segurança e entender todos os recursos afetados por uma descoberta de segurança. Usando essas visualizações e insights, é possível filtrar com mais facilidade grandes conjuntos de dados de eventos em linhas de tempo específicas, com todos os detalhes, contexto e orientações para ajudá-lo a investigar de maneira rápida. O Amazon Detective permite visualizar tentativas de login em um mapa de localização geográfica, detalhar atividades históricas relevantes, determinar com rapidez uma causa raiz e, se necessário, tomar medidas para resolver o problema.

A visualização de gráficos mostra as descobertas relacionadas à segurança da AWS e os recursos afetados com base em um único evento de segurança, como instâncias do EC2, perfis e usuários do IAM, buckets do S3 e endereços IP. Os insights descrevem os eventos que ocorreram durante o evento de segurança em uma linguagem natural para ajudar você a entender a cadeia de eventos. Isso ajuda você a investigar atividades incomuns ou suspeitas com mais rapidez e menos esforço.

O volume geral de chamadas da API mostra chamadas bem-sucedidas e com falha em um período específico e as compara com a linha de base estabelecida. Isso ajuda a identificar padrões anormais de atividade e a validar uma descoberta de segurança.

O Amazon Detective está integrado aos serviços de segurança da AWS, como Amazon GuardDuty, AWS Security Hub, Amazon Inspector, Amazon Security Lake, e aos produtos de segurança de parceiros da AWS para ajudar a investigar rapidamente as descobertas de segurança identificadas nesses serviços. Com um clique único nesses serviços integrados, você pode acessar o Amazon Detective e ver imediatamente os eventos relacionados a descobertas, detalhar as atividades históricas relevantes e investigar o problema. Por exemplo, a partir de uma descoberta do Amazon GuardDuty, você pode iniciar o Amazon Detective clicando em “Investigar no Detective”, que oferece uma visão instantânea da atividade relevante do recurso envolvido. Com o Detective, você pode consultar e recuperar fontes de log armazenadas no Amazon Security Lake sem precisar criar consultas ou sair do console do Detective.

O Amazon Detective oferece suporte a investigações de segurança para o GuardDuty ECS e o EKS Runtime Monitoring, permitindo visualizações aprimoradas e contexto adicional para novas detecções de ameaças. Você pode usar as detecções de ameaças de runtime do GuardDuty e os recursos investigativos do Detective para melhorar sua detecção e resposta a possíveis ameaças às suas workloads de contêineres. O Detective apoia a investigação dessas novas detecções incluindo-as em grupos de descoberta, visualizações e outros resumos para investigações de segurança mais rápidas.

Com apenas alguns cliques no Console de Gerenciamento da AWS, você pode habilitar o Amazon Detective. Não há software para implantar, agentes para instalar ou configurações complexas para manter. Também não há fontes de dados a serem habilitadas, o que significa que você não precisa incorrer nos custos de habilitação da fonte, transferência e armazenamento de dados.