Integração com o Amazon Detective - Amazon GuardDuty
Habilitar a integraçãoPassar para o Amazon Detective a partir de uma descoberta do GuardDutyUsar a integração com um ambiente de várias contas GuardDuty

Integração com o Amazon Detective

O Amazon Detective ajuda você a analisar e investigar rapidamente eventos de segurança em uma ou mais contas da AWS, gerando visualizações de dados que representam a forma como seus recursos se comportam e interagem ao longo do tempo. O Detective cria visualizações das descobertas do GuardDuty.

O Detective ingere detalhes de descoberta para todos os tipos de descoberta e fornece acesso aos perfis de entidades para investigar diferentes entidades envolvidas na descoberta. Uma entidade pode ser uma Conta da AWS, um recurso AWS dentro de uma conta ou um endereço IP externo que tenha interagido com seus recursos. O console do GuardDuty é compatível com a migração para o Amazon Detective a partir das seguintes entidades, dependendo do tipo de descoberta: Conta da AWS, perfil do IAM, usuário ou sessão de função, agente do usuário, usuário federado, instância do Amazon EC2 ou endereço IP.

Habilitar a integração

Para usar o Amazon Detective com o GuardDuty, você deve primeiro habilitar o Amazon Detective. Para informações sobre como habilitar o Detective, consulte Introdução ao Amazon Detective no Guia do usuário do Amazon Detective.

Ao habilitar tanto o GuardDuty quanto o Detective, a integração é habilitada automaticamente. Depois de habilitado, o Detective consumirá imediatamente seus dados de descobertas do GuardDuty.

nota

O GuardDuty envia as descobertas ao Detective com base na frequência de exportação das descobertas do GuardDuty. Por padrão, a frequência de exportação para atualizações das descobertas existentes é de 6 horas. Para garantir que o Detective receba as atualizações mais recentes de suas descobertas, é recomendável alterar a frequência de exportação para 15 minutos em cada região em que você usa o Detective com o GuardDuty. Para obter mais informações, consulte Etapa 5: Definir a frequência para exportar descobertas ativas atualizadas.

Passar para o Amazon Detective a partir de uma descoberta do GuardDuty

  1. Faça login no console em https://console.aws.amazon.com/guardduty.

  2. Selecione uma única descoberta da sua tabela de descobertas.

  3. Selecione Investigar com Detective no painel de detalhes da descoberta.

  4. Selecione um aspecto da descoberta para investigar com o Amazon Detective. Isso abre o console do Detective para essa descoberta ou entidade.

Se o pivô não se comportar conforme o esperado, consulte Solução de problemas do pivô no Guia do usuário do Amazon Detective.

nota

Se você arquivar uma descoberta do GuardDuty no console do Detective, essa descoberta também será arquivada no console do GuardDuty.

Usar a integração com um ambiente de várias contas GuardDuty

Se você estiver gerenciando um ambiente de várias contas no GuardDuty, você deve adicionar suas contas de membros ao Amazon Detective para ver as visualizações de dados do Detective para descobertas e entidades nessas contas.

É recomendável usar a mesma conta de administrador do GuardDuty que a conta de administrador de Detective. Para obter mais informações sobre como adicionar contas de membros no Detective, consulte Gerenciamento de contas no Guia do usuário do Amazon Detective.

nota

Detective é um serviço regional, o que significa que você deve habilitar o Detective e adicionar suas contas-membro em cada região na qual deseja usar a integração.