¿Qué es Amazon Detective? - Amazon Detective
Características de Amazon DetectiveAcceso a Amazon DetectivePrecios de Amazon Detective¿Cómo funciona Detective?¿Quiénes usan Detective?Servicios relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué es Amazon Detective?

Amazon Detective le ayuda a analizar, investigar e identificar rápidamente la causa raíz de resultados de seguridad o actividades sospechosas. Detective recopila automáticamente los datos de registro de sus recursos de AWS . A continuación, utiliza el machine learning, el análisis estadístico y la teoría de grafos para generar visualizaciones que lo ayuden a realizar investigaciones sobre la seguridad con mayor rapidez y de forma más eficaz. Las agregaciones de datos, los resúmenes y los contextos prediseñados de Detective ayudan a analizar y determinar rápidamente la naturaleza y el alcance de los posibles problemas de seguridad.

Con Detective, puede acceder a datos de eventos históricos de hasta un año de antigüedad. Estos datos están disponibles a través de un conjunto de visualizaciones que muestran los cambios en el tipo y el volumen de actividad durante un intervalo de hora seleccionado. El Detective relaciona estos cambios con los GuardDuty hallazgos. Para obtener más información sobre los datos de origen en Detective, consulte Datos fuente utilizados en un gráfico de comportamiento de un Detective.

Al agregar datos automáticamente y proporcionar herramientas visuales, Amazon Detective le permite llevar a cabo investigaciones de seguridad más rápidas y eficientes. Puede analizar rápidamente los posibles problemas y determinar el alcance de las amenazas a la seguridad.

Características de Amazon Detective

Estas son algunas de las principales formas en las que Amazon Detective es útil para investigar actividades sospechosas en su AWS entorno y analizar los recursos para identificar la causa raíz de los problemas de seguridad.

Detective buscando grupos

La búsqueda de grupos por parte de Detectives le permite examinar múltiples actividades en relación con un posible incidente de seguridad. Puede analizar la causa raíz de los GuardDuty hallazgos de alta gravedad mediante la búsqueda de grupos. Si un agente de amenazas intenta poner en peligro su AWS entorno, normalmente lleva a cabo una secuencia de acciones que generan varios hallazgos de seguridad y comportamientos inusuales.

La página de búsqueda de grupos de Detective muestra todos los grupos de búsqueda relacionados extraídos de su gráfico de comportamiento. Para obtener más información sobre cómo aprovechar la búsqueda de grupos para analizar la causa raíz de los hallazgos de seguridad, consulte Análisis de la búsqueda de grupos en Detective.

Detective proporciona una visualización interactiva de cada grupo de búsqueda para ayudarle a investigar los problemas de seguridad de forma más rápida y exhaustiva. La visualización está diseñada para mostrar las entidades y los hallazgos relacionados con un incidente de seguridad, lo que facilita la comprensión de las conexiones y las causas fundamentales. Le ayuda a investigar los problemas de forma más rápida y exhaustiva con menos esfuerzo. El panel de visualización del grupo de búsqueda muestra los hallazgos y las entidades que participan en un grupo de búsqueda.

Investigación de Detectives para clasificar los hallazgos

Con Detective Investigation, puede investigar a los usuarios de IAM y las funciones de IAM mediante indicadores de compromiso, que pueden ayudarlo a determinar si un recurso está involucrado en un incidente de seguridad. Un indicador de riesgo (IOC) es un artefacto observado en una red, un sistema o un entorno que puede identificar (con alto nivel de confianza) una actividad malintencionada o un incidente de seguridad. Con las investigaciones de Detectives, puede maximizar la eficiencia, centrarse en las amenazas a la seguridad y reforzar las capacidades de respuesta a los incidentes.

Detective Investigation utiliza modelos de aprendizaje automático e inteligencia de amenazas para descubrir solo los problemas más críticos y sospechosos, lo que le permite centrarse en investigaciones de alto nivel. Analiza automáticamente los recursos de su AWS entorno para identificar posibles indicadores de peligro o actividad sospechosa. Esto le permite identificar patrones y comprender qué recursos se ven afectados por los eventos de seguridad, ofreciendo un enfoque proactivo para la identificación y mitigación de las amenazas.

Puedes utilizar Iniciar una investigación detectivesca desde la consola de Detectives con Ejecutar una investigación detectivesca. Para ejecutar una investigación mediante programación, utilice la StartInvestigationoperación de la API Detective. Para ejecutar una investigación con el comando AWS Command Line Interface (AWS CLI), ejecute el comando start-investigation.

Integración de Detective con Amazon Security Lake

Detective se integra con Amazon Security Lake, lo que significa que puede consultar y recuperar los datos de registro sin procesar almacenados por Security Lake. Con esta integración, puede recopilar registros y eventos de las siguientes fuentes que Security Lake admite de forma nativa.

  • AWS CloudTrail eventos de administración (versión 1.0 y posteriores)

  • Registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) versión 1.0 y versiones posteriores

  • Registro de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS) versión 2.0

Tras integrar Detective con Security Lake, Detective comienza a extraer registros sin procesar de Security Lake relacionados con los eventos de AWS CloudTrail administración y los registros de flujo de Amazon VPC. Puede consultar los registros sin procesar para ver los registros y los eventos en Detective.

Investigue el volumen de flujo de VPC

Con Detective, puede examinar de forma interactiva los detalles de la actividad de los flujos de red de la nube privada virtual (VPC) de sus instancias de Amazon Elastic Compute Cloud ( EC2Amazon) y los pods de Kubernetes. Detective recopila automáticamente los registros de flujo de VPC de sus cuentas monitoreadas, los agrega por EC2 instancia y presenta resúmenes visuales y análisis sobre estos flujos de red.

EC2 Por ejemplo, los detalles de la actividad del volumen total del flujo de la VPC muestran las interacciones entre la EC2 instancia y las direcciones IP durante un intervalo de tiempo seleccionado.

En el caso de un pod de Kubernetes, Volumen total del flujo de la VPC muestra el volumen total de bytes que entran y salen de la dirección IP asignada al pod de Kubernetes para todas las direcciones IP de destino.

Acceso a Amazon Detective

Amazon Detective está disponible en la mayoría Regiones de AWS. Para obtener una lista de las regiones en las que Detective está disponible actualmente, consulte los puntos de conexión y las cuotas de Amazon Detective en. Referencia general de AWS Para obtener información sobre cómo gestionar Regiones de AWS su cuenta Cuenta de AWS, consulte Especificar qué Regiones de AWS cuenta puede utilizar en la Guía de AWS Account Management referencia.

En cada región, puedes trabajar con Detective de cualquiera de las siguientes maneras.

Consola de administración de AWS

Consola de administración de AWS Se trata de una interfaz basada en un navegador que puede utilizar para crear y gestionar AWS recursos. Como parte de esa consola, la consola Amazon Detective proporciona acceso a tu cuenta, datos y recursos de Detective. Puede realizar cualquier tarea de Detective mediante la consola Detective: revise las posibles amenazas a la seguridad y analice, investigue e identifique la causa raíz de los hallazgos de seguridad.

AWS herramientas de línea de comandos

Con las herramientas de línea de AWS comandos, puede emitir comandos en la línea de comandos de su sistema para realizar tareas y AWS tareas de Detective. Usar la línea de comandos puede ser más rápido y práctico que usar la consola. Las herramientas de línea de comandos también son útiles si desea crear scripts que realicen tareas.

AWS proporciona dos conjuntos de herramientas de línea de comandos: el AWS Command Line Interface (AWS CLI) y el Herramientas de AWS para PowerShell. Para obtener información sobre la instalación y el uso de AWS CLI, consulte la Guía del AWS Command Line Interface usuario. Para obtener información sobre la instalación y el uso de las herramientas PowerShell, consulte la Guía del Herramientas de AWS para PowerShell usuario.

AWS SDKs

AWS proporciona información SDKs que consta de bibliotecas y código de muestra para varios lenguajes de programación y plataformas, por ejemplo, Java, Go, Python, C++ y.NET. SDKs Proporcionan un acceso cómodo y programático a Detective y otros Servicios de AWS. También permiten realizar tareas como firmar solicitudes criptográficamente, administrar errores y reintentar solicitudes automáticamente. Para obtener información sobre la instalación y el uso de AWS SDKs, consulte Herramientas sobre AWS las que construir.

API REST de Amazon Detective

La API REST de Amazon Detective le proporciona un acceso completo y programático a su cuenta, datos y recursos de Detective. Con esta API, puede enviar solicitudes HTTPS directamente a Detective. Sin embargo, a diferencia de las herramientas de línea de AWS comandos SDKs, el uso de esta API requiere que su aplicación gestione detalles de bajo nivel, como la generación de un hash para firmar una solicitud. Para obtener información sobre esta API, consulte la Referencia de la API de Detective.

Precios de Amazon Detective

Al igual que con otros AWS productos, no hay contratos ni compromisos mínimos para usar Amazon Detective.

Los precios de Detective se basan en varias dimensiones y cobran una tarifa plana escalonada por GB para todos los datos, independientemente de la fuente. Para obtener más información, consulta los precios de Amazon Detective.

Para ayudarlo a comprender y pronosticar el costo de usar Detective, Detective proporciona los costos de uso estimados de su cuenta. Puedes revisar estas estimaciones en la consola de Amazon Detective y acceder a ellas con la API de Amazon Detective. Según cómo utilice el servicio, es posible que incurra en costes adicionales por utilizar otras funciones Servicios de AWS en combinación con determinadas funciones de Detective, como la integración de Security Lake y Detective Investigations.

Al activar Detective por primera vez, Cuenta de AWS se inscribe automáticamente en la versión de prueba gratuita de 30 días de Detective. Esto incluye cuentas individuales habilitadas como parte de una organización en AWS Organizations. Durante la prueba gratuita, el uso de Detective en la versión correspondiente es gratuita Región de AWS.

Para ayudarlo a comprender y pronosticar el costo de usar Detective una vez que finalice la prueba gratuita, Detective le proporciona una estimación de los costos de uso en función de su uso de Detective durante la prueba. Sus datos de uso también indican el tiempo que queda hasta que finalice la prueba gratuita. Puedes revisar los datos relacionados con el uso de tu cuenta de Detective en la consola de Amazon Detective y acceder a ellos con la API de Amazon Detective.

¿Cómo funciona Detective?

Detective extrae automáticamente los eventos en función del tiempo, como los intentos de inicio de sesión, las llamadas a la API y el tráfico de red, de los AWS CloudTrail registros de flujo de Amazon VPC. También ingiere los hallazgos detectados por. GuardDuty

A partir de esos eventos, Detective usa el machine learning y la visualización para crear una vista unificada e interactiva del comportamiento de los recursos y de las interacciones entre ellos a lo largo del tiempo. Puede explorar este gráfico de comportamiento para examinar las acciones discrepantes, como los intentos de inicio de sesión fallidos o las llamadas sospechosas a la API. También puedes ver cómo afectan estas acciones a recursos como las AWS cuentas y las EC2 instancias de Amazon. Puede ajustar el alcance y el cronograma del gráfico de comportamiento para diversas tareas:

  • Investigue rápidamente cualquier actividad que se salga de la normalidad.

  • Identifique patrones que puedan indicar un problema de seguridad.

  • Descubra todos los recursos a los que afecta un resultado.

Las visualizaciones personalizadas de Detective proporcionan una base y un resumen de la información de la cuenta. Estos resultados pueden ayudar a responder a preguntas como “¿Es esta una llamada a la API inusual para este rol?”. O “¿Se espera un aumento del tráfico a partir de esta instancia?”.

Con Detective, ya no tendrá que organizar los datos ni desarrollar, configurar o adaptar sus propias consultas y algoritmos. No hay costos iniciales y solo pagará por los eventos analizados, sin necesidad de implementar ningún software adicional ni de suscribirse a otras fuentes.

¿Quiénes usan Detective?

Cuando una cuenta habilita Detective, se convierte en la cuenta de administrador de un gráfico de comportamiento. Un gráfico de comportamiento es un conjunto vinculado de datos extraídos y analizados de una o más AWS cuentas. Las cuentas de administrador invitan a cuentas de miembro a contribuir con sus datos al gráfico de comportamiento de la cuenta de administrador.

Detective también está integrado con AWS Organizations. La cuenta de administración de su organización designa una cuenta de administrador de Detective para la organización. La cuenta de administrador de Detective habilita las cuentas de la organización como cuentas de miembro en el gráfico de comportamiento de la organización.

Para obtener información sobre cómo Detective usa los datos de origen de las cuentas de gráficos de comportamiento, consulte Datos fuente utilizados en un gráfico de comportamiento de un Detective.

Para obtener información sobre cómo las cuentas de administrador tratan los gráficos de comportamiento, consulte Gestión de cuentas en Detective. Para obtener información sobre cómo las cuentas de miembro administran las invitaciones y pertenencias a sus gráficos de comportamiento, consulte Para cuentas de miembros: administración de las invitaciones y suscripciones a gráficos de comportamiento.

La cuenta de administrador utiliza los análisis y las visualizaciones generados a partir del gráfico de comportamiento para investigar AWS los recursos y los GuardDuty hallazgos. Al utilizar las integraciones de Detective con GuardDuty y AWS Security Hub CSPM, puede pasar de un GuardDuty hallazgo en estos servicios directamente a la consola de Detective.

Una investigación de Detective se centra en la actividad relacionada con los recursos de AWS implicados. Para obtener información general sobre el proceso de investigación en Detective, consulte Cómo usar Amazon Detective con fines de investigación en la Guía del usuario de Detective.

Para proteger aún más sus datos, cargas de trabajo y aplicaciones AWS, considere la posibilidad de utilizar lo siguiente Servicios de AWS en combinación con Amazon Detective.

AWS Security Hub CSPM

AWS Security Hub CSPM le ofrece una visión completa del estado de seguridad de sus AWS recursos y le ayuda a comprobar si su AWS entorno se ajusta a los estándares y las mejores prácticas del sector de la seguridad. Esto lo consigue, en parte, consumiendo, agrupando, organizando y priorizando los hallazgos de seguridad de varios productos Servicios de AWS (incluido Detective) y de AWS Partner Network (APN) compatibles. Security Hub le ayuda a analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios en todo su AWS entorno.

Para obtener más información sobre Security Hub, consulte la Guía del usuario de AWS Security Hub CSPM.

Amazon GuardDuty

Amazon GuardDuty es un servicio de supervisión de seguridad que analiza y procesa determinados tipos de AWS registros, como los registros de eventos de AWS CloudTrail datos para Amazon S3 y los registros CloudTrail de eventos de administración. Utiliza fuentes de inteligencia sobre amenazas, como listas de direcciones IP y dominios maliciosos, y el aprendizaje automático para identificar actividades inesperadas y potencialmente no autorizadas y maliciosas en su AWS entorno.

Para obtener más información GuardDuty, consulta la Guía del GuardDuty usuario de Amazon.

Amazon Security Lake

Amazon Security Lake es un servicio de lago de datos de seguridad totalmente gestionado. Puede usar Security Lake para centralizar automáticamente los datos de seguridad de los AWS entornos, los proveedores de SaaS, las fuentes locales, las fuentes en la nube y las fuentes de terceros en un lago de datos diseñado específicamente que se almacena en su cuenta. AWS Security Lake le ayuda a analizar los datos de seguridad para que pueda comprender mejor su postura de seguridad en toda la organización. Con Security Lake, también puede mejorar la protección de sus cargas de trabajo, aplicaciones y datos.

Para obtener más información sobre Security Lake, consulte la Guía del usuario de Amazon Security Lake. Para obtener más información sobre el uso conjunto de Detective y Security Lake, consulteIntegración de Amazon Detective con Amazon Security Lake.

Para obtener más información sobre los servicios de AWS seguridad adicionales, consulte Seguridad, identidad y conformidad en AWS.