Amazon Detective

Phân tích và trực quan hóa dữ liệu bảo mật để nhanh chóng tìm ra nguyên nhân cốt lõi của các vấn đề bảo mật tiềm ẩn

Amazon Detective giúp dễ dàng phân tích, điều tra và nhanh chóng xác định nguyên nhân gốc rễ của các sự cố bảo mật tiềm ẩn hoặc các hoạt động đáng ngờ. Amazon Detective tự động thu thập dữ liệu nhật ký từ các tài nguyên AWS của bạn và sử dụng máy học, phân tích thống kê và lý thuyết đồ thị để xây dựng một tập hợp dữ liệu được liên kết cho phép bạn dễ dàng tiến hành các cuộc điều tra bảo mật nhanh hơn và hiệu quả hơn.

Các dịch vụ bảo mật AWS như Amazon GuardDuty, Amazon Macie và AWS Security Hub cũng như các sản phẩm bảo mật của đối tác có thể được sử dụng để xác định các vấn đề hoặc phát hiện tiềm ẩn về bảo mật. Những dịch vụ này thực sự hữu ích trong việc cảnh báo bạn khi có điều gì đó không ổn và chỉ ra nơi cần đến để sửa chữa nó. Nhưng đôi khi có thể có một phát hiện bảo mật mà bạn cần phải tìm hiểu sâu hơn và phân tích thêm thông tin để cô lập nguyên nhân gốc rễ và thực hiện hành động. Việc xác định nguyên nhân gốc rễ của các phát hiện bảo mật có thể là một quá trình phức tạp thường bao gồm việc thu thập, kết hợp nhật ký từ nhiều nguồn dữ liệu riêng biệt, sử dụng các công cụ trích xuất, chuyển đổi và tải (ETL) hoặc tập lệnh tùy chỉnh để tổ chức dữ liệu, sau đó các nhà phân tích bảo mật phải phân tích dữ liệu và tiến hành các cuộc điều tra kéo dài.

Amazon Detective đơn giản hóa quy trình này bằng cách cho phép các nhóm bảo mật của bạn dễ dàng điều tra và nhanh chóng tìm ra nguyên nhân gốc rễ của phát hiện. Amazon Detective có thể phân tích hàng nghìn tỷ sự kiện từ nhiều nguồn dữ liệu như Bản ghi lưu lượng của Đám mây riêng ảo của Amazon (Amazon VPC), bản ghi của AWS CloudTrail, bản ghi kiểm tra của Dịch vụ Kubernetes linh hoạt Amazon (Amazon EKS) và các phát hiện của Amazon GuardDuty, đồng thời tự động tạo chế độ xem thống nhất, tương tác về tài nguyên, người dùng của bạn và tương tác giữa chúng theo thời gian. Với chế độ xem thống nhất này, bạn có thể hình dung tất cả các chi tiết và bối cảnh ở một nơi để xác định lý do cơ bản cho các phát hiện, đi sâu vào các hoạt động lịch sử có liên quan và nhanh chóng xác định nguyên nhân gốc rễ.

Bạn có thể bắt đầu với Amazon Detective chỉ bằng một vài cú nhấp chuột trong Bảng điều khiển AWS. Không có phần mềm để triển khai hoặc các nguồn dữ liệu để kích hoạt và duy trì.

Amazon Detective là gì? (1:35)

Lợi ích

Điều tra nhanh hơn và hiệu quả hơn

Amazon Detective trình bày cái nhìn thống nhất về tương tác của người dùng và tài nguyên theo thời gian, với tất cả bối cảnh và chi tiết ở cùng một nơi để giúp bạn nhanh chóng phân tích và tìm ra nguyên nhân gốc rễ của một phát hiện bảo mật. Ví dụ: một phát hiện của Amazon GuardDuty, như lệnh gọi API đăng nhập bảng điều khiển bất thường, có thể nhanh chóng được điều tra trong Amazon Detective với thông tin chi tiết về xu hướng lệnh gọi API theo thời gian và những lần đăng nhập của người dùng trên bản đồ vị trí địa lý. Những chi tiết này cho phép bạn nhanh chóng xác định được phát hiện này là hợp pháp hay là dấu hiệu của một tài nguyên AWS bị xâm phạm. 

Tiết kiệm thời gian và công sức với việc cập nhật dữ liệu liên tục

Amazon Detective tự động xử lý hàng terabyte bản ghi dữ liệu sự kiện về lưu lượng IP, hoạt động quản lý AWS và hoạt động độc hại hoặc trái phép. Nó tổ chức dữ liệu thành một mô hình đồ thị tóm tắt tất cả các mối quan hệ liên quan đến bảo mật trong môi trường AWS của bạn. Sau đó, Amazon Detective truy vấn mô hình này để tạo ra các hình ảnh trực quan được sử dụng trong các cuộc điều tra. Mô hình biểu đồ liên tục được cập nhật khi có dữ liệu mới từ các tài nguyên AWS, vì vậy bạn tốn ít thời gian hơn để quản lý dữ liệu thay đổi liên tục.

Hình ảnh trực quan dễ sử dụng

Amazon Detective tạo hình ảnh trực quan với thông tin bạn cần để điều tra và phản hồi các phát hiện bảo mật. Nó giúp bạn trả lời các câu hỏi như “vai trò này có bình thường khi có quá nhiều lệnh gọi API không thành công không?” hoặc “việc tăng đột biến trong lưu lượng truy cập từ trường hợp này có nằm trong dự kiến không?” mà không cần phải sắp xếp bất kỳ dữ liệu nào hoặc phát triển, định cấu hình hay điều chỉnh truy vấn và thuật toán của riêng bạn. Amazon Detective duy trì dữ liệu tổng hợp trong tối đa 1 năm, cho thấy những thay đổi về loại và khối lượng hoạt động trong một khoảng thời gian đã chọn, đồng thời liên kết những thay đổi đó với các phát hiện bảo mật.

Cách thức hoạt động

Cách hoạt động của Amazon Detective

Trường hợp sử dụng

Phân loại phát hiện bảo mật

Phân loại thường là giai đoạn đầu tiên của quá trình điều tra, quyết định xem phát hiện là sự cố bảo mật thực sự hay báo lỗi giả. Sử dụng tính năng hình ảnh hóa của Amazon Detective, bạn có thể xem tài nguyên, địa chỉ IP và tài khoản AWS nào được kết nối với phát hiện đó, các phát hiện có liên quan và hoạt động xảy ra gần thời gian hoặc vị trí với phát hiện đó, để nhanh chóng xác định xem phát hiện có phải là hoạt động độc hại thực sự hay không hay là báo lỗi giả.

Điều tra sự cố

Một số phát hiện bảo mật cần được điều tra sâu để xác định mức độ của hoạt động độc hại, tác động của nó và nguyên nhân cơ bản. Khi các phát hiện được các dịch vụ Bảo mật AWS xác định, chẳng hạn như Amazon GuardDuty, bạn có thể truy cập Amazon Detective để xem ngay bối cảnh và hoạt động liên quan đến phát hiện, đi sâu vào các hoạt động trước đây có liên quan để xác định các mẫu bất thường, nhanh chóng xác định bản chất và mức độ của nguyên nhân gốc rễ cũng như hoạt động đã tạo nên phát hiện.

Tìm kiếm mối đe dọa

Tìm kiếm mối đe dọa là một phân tích chủ động để phát hiện ra các mối đe dọa tiềm ẩn dựa trên các manh mối hoặc giả thuyết nhất định. Amazon Detective giúp tìm kiếm mối đe dọa bằng cách cho phép bạn tập trung vào các tài nguyên cụ thể như địa chỉ IP, tài khoản AWS, VPC, phiên bản EC2 và cung cấp hình ảnh trực quan chi tiết về các hoạt động liên quan đến các tài nguyên đó. Amazon Detective hỗ trợ quá trình săn tìm bằng cách cung cấp phân tích dựa trên thời gian và khả năng đi sâu vào, xem tất cả các hoạt động trong một khoảng thời gian cụ thể và phát hiện những thay đổi so với chuẩn mực.

Đọc tài liệu
Đọc tài liệu

Tìm hiểu thêm về khả năng và triển khai của Amazon Detective bằng cách đọc tài liệu.

Đọc tài liệu 
Đăng ký tài khoản AWS
Đăng ký tài khoản miễn phí

Nhận ngay quyền sử dụng Bậc miễn phí của AWS. 

Đăng ký 
Đăng ký để nhận bản xem trước
Bắt đầu với Amazon Detective

Bắt đầu xây dựng với Amazon Detective.

Bắt đầu