Amazon Detective 讓您可以更輕鬆地分析、調查和快速確定潛在安全問題或可疑活動的根本原因。Amazon Detective 可自動從您的 AWS 資源中收集日誌資料,並使用機器學習、統計分析和圖論來建置關聯的資料集,讓您能夠輕鬆地進行更快、更有效的安全調查。
Amazon Detective 可以分析來自多個資料來源的數万億個事件,如 Amazon Virtual Private Cloud (Amazon VPC) 流量日誌、AWS CloudTrail 日誌、Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌,以及來自 Amazon GuardDuty、AWS Security Hub 等多種服務的安全調查結果。Detective 會自動建立統一的互動式檢視,顯示您的資源、使用者,及其在一段時間內的互動。透過這種統一的檢視,您可在一處視覺化呈現所有詳細資訊和內容,以識別調查結果的根本原因,向下鑽研相關的歷史活動,并快速確定根本原因。
跨所有 AWS 帳戶自動收集資料
Amazon Detective 可自動從所有啟用的帳戶中擷取並處理相關資料。您不必設定或啟用任何資料來源。Amazon Detective 從資料來源 (如 AWS CloudTrail 日誌、Amazon VPC 流量日誌、Amazon EKS 稽核日誌和 Amazon GuardDuty 調查結果、AWS Security Hub 調查結果、其他整合 AWS 安全服務) 中收集並分析事件,並保留長達一年的彙總資料以進行分析。
將不同的事件整合至圖形模型中
Amazon Detective 可分析來自眾多不同資料來源有關 IP 流量、AWS 管理操作,以及惡意或未經授權活動的數万億個事件,以建構一個圖形模型,其利用機器學習、統計分析和圖論來提取日誌資料,從而建立關聯的資料集來進行安全調查。圖形模型使用與安全相關的關係預先建置,並彙總內容和行為方面的洞見,讓您能夠快速驗證、比較和關聯資料來得出結論。圖形模型支援 Amazon Detective 視覺化,讓您能夠快速回覆調查性問題,而無須查詢原始日誌。例如,該圖形提供 IP 地址連線至 EC2 執行個體,以及角色在特定時段發出 API 叫用時的內容和關係。
互動式視覺化檢視以便進行有效調查
Amazon Detective 提供互動式視覺化檢視,讓您可以更快,更徹底地調查問題,而且輕而易舉。透過統一檢視,您可在一處視覺化呈現所有內容和詳細資訊,從而更容易識別可驗證或反駁安全問題的模式,以及了解受安全調查結果影響的所有資源。憑藉這些視覺化檢視,您可以輕鬆地將大量事件資料按特定時間範圍篩選,並提供所有詳細資訊、內容和指導,以協助您快速進行調查。Amazon Detective 讓您能夠在地理位置地圖上檢視登入嘗試,向下鑽研相關歷史活動,并快速確定根本原因,並在必要時採取措施解決問題。
圖形視覺化可顯示來自單一安全事件的相關 AWS Security 調查結果及受影響的資源,例如 EC2 執行個體、IAM 角色和使用者、S3 儲存貯體和 IP 地址。這可以協助您調查異常或可疑的活動。
整體 API 叫用量顯示在特定時段成功和失敗的叫用,並將其與已建立的基准作比較。這可協助您識別異常活動的模式,並驗證安全性問題清單。
無縫整合以調查安全性調查結果
Amazon Detective 與 AWS 安全服務 (如 Amazon GuardDuty、AWS Security Hub、Amazon Inspector) 以及 AWS 合作夥伴安全產品整合,以協助快速調查這些服務中確定的安全性調查結果。只需點按這些整合式服務,即可移至 Amazon Detective,立即查看與調查結果相關的事件,向下鑽研相關的歷史活動並對問題展開調查。例如,您可在 Amazon GuardDuty 調查結果中,按一下「在 Detective 中調查」即可啟動 Amazon Detective,其中提供對所涉及資源的相關活動的即時洞見,為您提供詳細資訊和內容,以便快速確定偵測到的調查結果是否反映了實際的可疑活動。
部署簡單,無須前期資料來源整合,或維護複雜的組態
在 AWS 管理主控台中點按幾下,即可啟用 Amazon Detective。無須部署軟體,安裝代理程序,或維護複雜的組態。此外,您也不必啟用資料來源,這意味著無須承擔啟用資料來源、資料傳輸和資料儲存存儲方面的費用。
