什么是 Amazon Detective? - Amazon Detective
Amazon Detective 的特点访问 Amazon DetectiveAmazon Detective 的定价Detective 是如何运作的?谁在用 Detective?相关服务

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Detective?

Amazon Detective 有助于分析、调查和快速识别安全调查发现或可疑活动的根本原因。Detective 会自动从AWS资源收集日志数据。然后,它使用机器学习、统计分析和图形理论生成可视化效果,帮助更快、更高效地进行安全调查。Detective 的预构建数据聚合、摘要和上下文可有助于分析和确定潜在安全问题的性质和程度。

使用 Detective,您最多可以访问一年的历史事件数据。这些数据可通过一组可视化图表显示,在选定的时间窗口内,活动的类型和数量发生了变化。Detective 将这些变化与 GuardDuty 调查结果联系起来。有关 Detective 中源数据的更多信息,请参阅Detective 行为图中使用的源数据

通过自动聚合数据和提供可视化工具,Amazon Detective 使您可以更快、更高效地进行安全调查。您可以快速分析潜在问题并确定安全威胁的范围。

Amazon Detective 的特点

以下是 Amazon Detective 有助于调查AWS环境中的可疑活动和分析资源以确定安全问题的根本原因的一些关键方法。

Detective 寻找小组

Det@@ ective 查找组允许您检查与潜在安全事件相关的多项活动。您可以使用查找组来分析高严重性 GuardDuty 发现的根本原因。如果威胁行为者试图破坏您的AWS环境,他们通常会执行一系列操作,这些操作会生成多个安全发现和异常行为。

Detective 中的查找组页面显示了从行为图中提取的所有相关查找组。有关如何利用查找组来分析安全发现的根本原因的更多信息,请参阅 Detective 中分析查找结果组

Detective 提供每个发现组的交互式可视化,以帮助您更快、更彻底地调查安全问题。该可视化旨在显示安全事件中涉及的实体和调查结果,从而更容易理解联系和根本原因。帮助您以更少的精力更快、更彻底地调查问题。“查找结果组可视化” 面板显示查找结果和查找结果组中涉及的实体。

Detective 调查将对调查结果进行分类

借助 Det ective Investication,您可以使用泄露指标调查 IAM 用户和 IAM 角色,这可以帮助您确定安全事件中是否涉及资源。漏洞指标(IOC)是在网络、系统或环境中观察到的一种构件,它可以(以高置信度)识别恶意活动或安全事件。借助 Detective 调查,您可以最大限度地提高效率,专注于安全威胁,并增强事件响应能力。

Detective Invertivation 使用机器学习模型和威胁情报来仅发现最关键的可疑问题,从而使您能够专注于高级调查。它会自动分析您AWS环境中的资源,以识别潜在的泄露或可疑活动的迹象。这使您可以识别模式并了解哪些资源受到安全事件的影响,从而为识别和缓解威胁提供了一种主动的方法。

你可以使用 “运行侦探调查” 从 Detective 控制台开始侦探调查。要以编程方式运行调查,请使用 Detective API 的StartInvestigation操作。要使用AWS Command Line Interface(AWS CLI) 运行调查,请运行开始调查命令。

Detective 与 Amazon 安全湖集成

Detective 与 Amazon Security Lake 集成,这意味着你可以查询和检索 Security Lake 存储的原始日志数据。通过此集成,您可以从 Security Lake 原生支持的以下来源收集日志和事件。

  • AWS CloudTrail管理事件版本 1.0 及更高版本

  • 亚马逊 Virtual Private Cloud(亚马逊 VPC)流日志 1.0 及更高版本

  • 亚马逊 Elastic Kubernetes Service(亚马逊 EKS)审核日志版本 2.0

将 Detective 与 Security Lake 集成后,Detective 开始从安全湖中提取与AWS CloudTrail管理事件和 Amazon VPC 流日志相关的原始日志。您可以在 Detective 中查询原始日志以查看日志和事件。

调查 VPC 的流量

借助 Detect ive,您可以交互式检查亚马逊弹性计算云 (Amazon) 实例和 Kubernetes 容器的虚拟私有云 (VPC EC2) 网络流的活动详情。Detective 会自动从您的受监控账户收集 VPC 流量日志,按 EC2 实例汇总这些日志,并提供有关这些网络流的可视化摘要和分析。

对于 EC2 实例,“整体 VPC 流量量” 的活动详细信息显示了选定时间范围内 EC2 实例与 IP 地址之间的交互情况。

对于 Kubernetes 容器组,VPC 的总流量显示所有目标 IP 地址的 Kubernetes 容器组(pod)分配的 IP 地址的进出字节总量。

访问 Amazon Detective

Amazon Detective 在大多数版本中都可用AWS 区域。有关目前可用 Detective 的区域列表,请参阅中的 Amazon Detective 终端节点和配额AWS 一般参考。有关管理AWS 区域您的账户的信息AWS 账户,请参阅《AWS 账户管理参考指南》中的指定AWS 区域您的账户可以使用

在每个区域,你可以通过以下任何一种方式与 Detective 合作。

AWS 管理控制台

AWS 管理控制台是一个基于浏览器的界面,可用于创建和管理AWS资源。作为该控制台的一部分,Amazon Detective 控制台提供对你的 Detective 账户、数据和资源的访问权限。您可以使用 Detective 控制台执行任何侦探任务,即查看潜在的安全威胁并分析、调查和确定安全发现的根本原因。

AWS命令行工具

使用AWS命令行工具,你可以在系统的命令行中发出命令来执行 Detective 任务和AWS任务。与控制台相比,使用命令行更快、更方便。如果要构建执行任务的脚本,命令行工具也会十分有用。

AWS提供了两组命令行工具:AWS Command Line Interface(AWS CLI) 和AWS Tools for PowerShell。有关安装和使用的信息AWS CLI,请参阅《AWS Command Line Interface用户指南》。有关安装和使用工具的信息 PowerShell,请参阅《AWS Tools for PowerShell用户指南》

AWS SDKs

AWS由各种编程语言和平台(例如 Java、Go、Python、C++ 和.NET)的库和示例代码组成。 SDKs 它们 SDKs 提供了对 Detective 和其他人的便捷编程访问AWS 服务。它们可以执行多种任务,例如以加密方式对请求进行签名、管理错误以及自动重试请求等。有关安装和使用的信息AWS SDKs,请参阅构建工具AWS

亚马逊 Detective REST API

Amazon Detective REST API 允许你以编程方式全面访问你的侦探账户、数据和资源。使用此 API,你可以直接向 Detective 发送 HTTPS 请求。但是,与AWS命令行工具和不同 SDKs,使用此 API 需要您的应用程序处理低级细节,例如生成哈希值来签署请求。有关此 API 的信息,请参阅 Detect ive API 参考

Amazon Detective 的定价

与其他AWS产品一样,使用 Amazon Detective 没有合同或最低承诺。

Detective 的定价基于多个维度,对所有数据按每 GB 的分层统一费率收费,无论其来源如何。有关更多信息,请参阅 Amazon Detective 定价

为了帮助您了解和预测使用 Detective 的成本,Detective 提供了您账户的估计使用成本。你可以在 Amazon Detective 控制台上查看这些估算值,然后使用 Amazon Detective API 进行访问。根据您使用服务的方式,将其他AWS 服务功能与某些侦探功能(例如 Security Lake 集成和 Detective Investivations)结合使用可能会产生额外费用。

首次启用 Detective 时,系统会自动注册AWS 账户 Detective 的 30 天免费试用版。这包括作为AWS Organizations中组织的一部分启用的个人账户。在免费试用期间,在适用情况下使用 Detective 不收取任何费用AWS 区域。

为了帮助你了解和预测免费试用期结束后使用 Detective 的费用,Detective 会根据你在试用期间使用 Detective 的情况为你提供估算的使用成本。您的使用数据还会显示免费试用期结束之前的剩余时间。你可以在亚马逊侦探控制台上查看你的 Detective 账户的使用相关数据,然后使用 Amazon Detective API 进行访问。

Detective 是如何运作的?

Detective 会自动从 Amazon VPC 流日志中提取基于时间的事件,例如登录尝试、API 调用AWS CloudTrail和网络流量。它还会摄取由检测到的 GuardDuty结果。

根据这些事件,Detective 利用机器学习和可视化效果,创建统一的交互式视图,可供了解资源行为及此类行为随时间推移的相互作用。您可以浏览该行为图,检查不同的操作,如登录尝试失败或可疑的 API 调用。您还可以查看这些操作如何影响诸如AWS账户和 Amazon EC2 实例之类的资源。您可以针对各种任务调整行为图的范围和时间轴:

  • 迅速调查任何超出常规的活动。

  • 确定可能表明存在安全问题的模式。

  • 了解受调查发现影响的所有资源。

Detective 量身定制的可视化工具为账户信息提供了基准并对其进行了汇总。这些调查发现有助于回答诸如“这是否是该角色的异常 API 调用?”之类的问题。或者“预计该实例的流量会达到峰值吗?”

使用 Detective,无需整理任何数据,也无需开发、配置或调整自己的查询和算法。无需预付费用,只需为分析的事件付费,无需部署其他软件或订阅其他信息源。

谁在用 Detective?

某个账户启用 Detective 后,就会成为行为图的管理员账户。行为图是从一个或多个AWS账户中提取和分析的一组关联数据。管理员账户可以邀请成员账户向管理员账户的行为图提供数据。

Detective 还集成AWS Organizations了. 组织管理账户为组织指定了 Detective 管理员账户。Detective 管理员账户可以将组织账户成为组织行为图中的成员账户。

有关 Detective 如何使用行为图账户中的源数据的信息,请参阅Detective 行为图中使用的源数据

有关管理员账户如何管理行为图的信息,请参阅在 Detective 中管理账户。有关成员账户如何管理其行为图邀请和成员资格的信息,请参阅对于成员账号:管理行为图邀请和成员资格

管理员帐户使用行为图生成的分析和可视化来调查AWS资源和 GuardDuty 发现。使用 Detective 与 GuardDuty和的集成AWS Security Hub CSPM,您可以将这些服务中的 GuardDuty 发现直接切换到 Detective 控制台。

Detective 的调查侧重于与所涉AWS资源相关的活动。有关 Detective 调查流程的概述,请参阅《Detective 用户指南》中的如何使用 Amazon Detective 进行调查

为了进一步保护您的数据、工作负载和应用程序AWS,请考虑将以下内容与 Amazon D AWS 服务 etective 结合使用。

AWS Security Hub CSPM

AWS Security Hub CSPM为您提供AWS资源安全状态的全面视图,并帮助您根据安全行业标准和最佳实践检查您的AWS环境。其部分原因是使用、汇总、整理来自多个AWS 服务(包括 Detective)和支持的AWS合作伙伴网络 (APN) 产品的安全调查结果,并对其进行优先排序。Security Hub CSPM 可帮助您分析安全趋势并确定环境中优先级最高的安全问题。AWS

要了解有关 Security Hub CSPM 的更多信息,请参阅《AWS Security Hub CSPM用户指南》。

Amazon GuardDuty

Amazon GuardDuty 是一项安全监控服务,用于分析和处理某些类型的AWS日志,例如 Amazon S3 AWS CloudTrail的数据事件日志 CloudTrail 和管理事件日志。它使用威胁情报源(例如恶意 IP 地址和域名列表)以及机器学习来识别AWS环境中意外且可能未经授权的恶意活动。

要了解更多信息 GuardDuty,请参阅 Amazon GuardDuty 用户指南

Amazon Security Lake

Amazon Security Lake 是一项完全托管的安全数据湖服务。您可以使用 Security Lake 自动将来自AWS环境、SaaS 提供商、本地资源、云源和第三方来源的安全数据集中到存储在您账户中的专用数据湖中。AWS Security Lake 可以帮助您分析安全数据,让您更全面地了解整个组织的安全状况。借助 Security Lake,您还可以改善对工作负载、应用程序和数据的保护。

要了解有关安全湖的更多信息,请参阅 Amazon 安全湖用户指南。要了解有关同时使用 Detective 和 Security Lake 的更多信息,请参阅Amazon Detective 与亚马逊安全湖集成

要了解其他AWS安全服务,请参阅上的 “安全、身份和合规性”AWS