Amazon Detective

Анализ и визуализация конфиденциальных данных для быстрого обнаружения первопричин потенциальных проблем безопасности.

Сервис Amazon Detective позволяет просто анализировать, расследовать и быстро определять первопричину потенциальных проблем безопасности или подозрительных действий. Amazon Detective автоматически собирает данные журналов из ресурсов AWS и с помощью машинного обучения, статистического анализа и графовой теории создает связанный набор данных, который позволяет легче, быстрее и эффективнее изучать систему безопасности.

Для выявления потенциальных проблем безопасности (находок) можно использовать сервисы безопасности AWS, такие как Amazon GuardDuty, Amazon Macie и AWS Security Hub, а также партнерские продукты. Эти сервисы полезны тем, что предупреждают о каких-либо неполадках и указывают, где необходимо внести правки. Иногда для выявления первопричины проблемы и принятия мер нужно заглянуть глубже и проанализировать больше информации. Определить первопричины бывает сложно, и для этого требуется собирать и объединять журналы из множества отдельных источников, использовать инструменты извлечения, преобразования и загрузки (ETL) или пользовательские сценарии упорядочивания данных. А после аналитики по вопросам безопасности должны проанализировать данные и провести длительное изучение.

С сервисом Amazon Detective процесс становится проще, и специалисты по вопросам безопасности с легкостью изучают находку и выявляют ее первопричину. Amazon Detective анализирует триллионы событий из нескольких источников данных, таких как журналы потоков Virtual Private Cloud (VPC), AWS CloudTrail и Amazon GuardDuty, и автоматически создает общий интерактивный обзор ресурсов, пользователей и их взаимодействия. Благодаря этому можно визуализировать все сведения и контекст в едином пространстве, что позволит выявить основные причины находок, детально проверить соответствующие выполненные действия и быстро определить первопричину.

Чтобы начать работу с Amazon Detective, достаточно нескольких щелчков мышью в Консоли AWS. Для этого сервиса не требуется развертывать программное обеспечение или поддерживать и обслуживать источники данных.

Что такое Amazon Detective? (1:35)

Преимущества

Более быстрое и эффективное изучение

Amazon Detective собирает весь контекст и сведения в едином пространстве, благодаря чему дает общее представление о взаимодействии пользователей и помогает быстро проанализировать данные и найти первопричину находки. Например, такую находку Amazon GuardDuty, как необычный вызов API для входа в консоль, можно быстро изучить в Amazon Detective благодаря подробным сведениями о типичных вызовах API за время работы и попытках входа пользователя на геолокационной карте. Эта информация позволяет оперативно определить, было ли действие легальным или ресурс AWS скомпрометирован. 

Экономьте время и силы за счет постоянного обновления данных

Amazon Detective автоматически обрабатывает терабайты записей о событиях IP-трафика, операций управления AWS, а также вредоносных или несанкционированных действий. Сервис упорядочивает данные в виде графовой модели, которая объединяет все связанные с вопросами безопасности взаимодействия в среде AWS. Затем Amazon Detective отправляет к модели запрос на создание визуализаций, которые используются при изучении. Графовая модель непрерывно обновляется по мере поступления новых, постоянно меняющихся данных от ресурсов AWS, а значит, не требуется тратить время на управление ими.

Простота использования визуализаций

На основе информации, которая требуется для изучения выявленных в системе безопасности находок и реагирования на них, Amazon Detective создает визуализации. Они помогают ответить на такие вопросы, как «Может ли у этой роли произойти столько неудачных вызовов API?» или «Ожидаем ли подобный всплеск трафика у этого инстанса?», не требуя упорядочивать данные или разрабатывать и настраивать собственные запросы и алгоритмы. Amazon Detective хранит собранные за последний год данные, которые указывают на изменения в типе и уровне активности за выбранный промежуток времени, и связывает их с находками системы безопасности.

Как это работает

Как работает Amazon Detective

Примеры использования

Сортировка находок

В качестве первого этапа процесса изучения часто выступает сортировка, которая помогает определить, является ли находка реальной или ложно положительной проблемой безопасности. Благодаря визуализациям Amazon Detective можно увидеть, какие ресурсы, IP-адреса и учетные записи AWS связаны с этой находкой, другие проблемы, имеющие к ней отношение, а также действия, которые произошли в то же время или в той же локации. Это позволяет быстро определить, является ли находка по-настоящему вредоносным или ложно положительным действием.

Изучение инцидента

В случае с некоторыми находками для определения масштабов вредоносных действий, их последствий и ключевой причины требуется подробное изучение. После того как сервисы безопасности AWS, такие как Amazon GuardDuty, идентифицируют находки, можно перейти в Amazon Detective и сразу просмотреть связанные с ними контекст и действия, чтобы выявить необычные закономерности, быстро определить характер и масштаб первопричины, а также действия, приведшие к находке.

Поиск угроз

Поиск угроз – это упреждающий анализ для выявления скрытых угроз, который выполняется на основе определенных подсказок или гипотез. Amazon Detective позволяет искать угрозы в конкретных ресурсах, таких как IP-адреса, аккаунты AWS, VPC и инстансы EC2, и предоставляет подробные визуализации связанных с этими ресурсами действий. Amazon Detective помогает выполнять поиск угроз, предоставляя аналитику по времени и позволяя детально просматривать все действия за определенный период, а также выявлять отклонения от нормы.

Ознакомиться с документацией
Ознакомиться с документацией

Подробнее о возможностях и реализации Amazon Detective можно прочитать в документации.

Читать документацию 
Зарегистрировать аккаунт AWS
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Регистрация для доступа в ознакомительном режиме
Начать работу с Amazon Detective

Начните разработку с использованием Amazon Detective.

Начать работу