Seguridad

Investigación de incidentes de seguridad con Amazon Detective - Identificación de causas raíz mediante análisis de grafos

Explicamos la investigación de hallazgos de GuardDuty con Detective, perfiles de entidades y el uso de grafos de comportamiento.

約 7 分で読めます

Descripción general de Detective

Detective es un servicio que analiza automáticamente los hallazgos de seguridad e investiga las causas raíz. Después de que GuardDuty notifica que se ha detectado una llamada API sospechosa, Detective apoya la fase de investigación para profundizar en quién, cuándo, desde dónde y qué se hizo. Agrega automáticamente CloudTrail, VPC Flow Logs, hallazgos de GuardDuty, logs de auditoría de EKS y eventos de datos de S3, y visualiza patrones anómalos mediante grafos de comportamiento. Detective utiliza modelos ML internos para puntuar automáticamente la desviación respecto a las líneas base, eliminando la necesidad de que los analistas de seguridad correlacionen manualmente enormes volúmenes de logs.

Grafos de comportamiento y perfiles de entidades

Los grafos de comportamiento agregan automáticamente CloudTrail, VPC Flow Logs y los hallazgos de GuardDuty, construyendo las relaciones entre entidades (usuarios IAM, roles, EC2, direcciones IP) en una base de datos de grafos. Los perfiles de entidades mantienen como línea base los patrones de comportamiento de los últimos 12 meses de un usuario IAM o instancia EC2 específicos (frecuencia de llamadas API, IPs de destino de comunicación, volumen de transferencia de datos), y resaltan las actividades anómalas. Al pivotar desde un hallazgo de GuardDuty a Detective, se muestra la línea temporal de comportamiento de las entidades relacionadas, permitiendo rastrear la ruta del acceso no autorizado. La estructura del grafo se construye por región, y la integración con Organizations permite agregar datos de hasta 1200 cuentas en un solo grafo de comportamiento.

Flujo de trabajo de investigación

El flujo de trabajo de investigación de Detective comienza desde los hallazgos de GuardDuty. Al hacer clic en un hallazgo, se muestran los perfiles de entidades de los roles IAM, instancias EC2 y direcciones IP relacionados. Los perfiles visualizan en serie temporal los patrones de llamadas API, conexiones de red y orígenes geográficos de conexión de los últimos 12 meses. Se pueden identificar visualmente patrones anómalos como "este rol accedió repentinamente a un servicio al que normalmente no accede" o "aumentaron las conexiones desde una dirección IP diferente a la habitual". La función Investigation amplía automáticamente el alcance de la investigación, rastreando entidades relacionadas de forma encadenada. La función Finding Group agrupa hallazgos de GuardDuty relacionados en un solo escenario de ataque y proporciona una puntuación que indica la prioridad de investigación. Para explicaciones más detalladas sobre investigación de seguridad, también puede consultar libros relacionados en Amazon.

Precios de Detective

Los precios de Detective se cobran según el volumen de datos ingeridos. Los eventos de administración de CloudTrail cuestan aproximadamente 2 dólares por GB, y VPC Flow Logs aproximadamente 0.75 dólares por GB. Los primeros 30 días son una prueba gratuita, lo que permite estimar los costos reales de antemano. Al integrar con Organizations para agregar datos de todas las cuentas, el volumen de datos puede ser grande, por lo que se deben verificar los costos previamente. Se utilizan los datos de GuardDuty como fuente principal, y la ingesta de VPC Flow Logs se habilita según los requisitos de seguridad. Durante la prueba gratuita, la consola muestra los costos mensuales estimados, permitiendo confirmar antes de la habilitación en producción.

Integración con GuardDuty y Security Hub

Detective se integra estrechamente con GuardDuty y Security Hub, pero cada servicio tiene un rol claramente diferente. GuardDuty se encarga de la detección de amenazas (notificar "qué ocurrió"), Security Hub se encarga de la agregación y priorización de hallazgos (decidir "cuál es importante"), y Detective se encarga de la investigación posterior (analizar "por qué ocurrió y cuál es el alcance del impacto"). Se puede pivotar directamente desde la consola de Security Hub a Detective, e iniciar una investigación con un solo botón "Investigate in Detective" en los hallazgos de GuardDuty. Sin embargo, Detective no puede realizar detecciones por sí solo. Si GuardDuty no se ha habilitado previamente, Detective carece de datos fuente suficientes para analizar. En la práctica, el flujo estándar es habilitar GuardDuty en todas las regiones y cuentas, agregar los hallazgos en Security Hub, y luego usar Detective para investigación profunda en alertas críticas.

Mejores prácticas y errores comunes en la investigación

Hay consideraciones clave al usar Detective en la práctica. Primero, inmediatamente después de la habilitación, el grafo de comportamiento no está completamente poblado, por lo que la precisión de la línea base es baja. Los perfiles de comportamiento normal comienzan a acumularse aproximadamente 2 semanas después de la habilitación, reduciendo los falsos positivos. Segundo, cuando las entidades sospechosas detectadas por la función Investigation requieren respuesta inmediata a incidentes (como deshabilitar claves de acceso o revocar permisos de roles IAM), Detective no puede ejecutar estas acciones directamente. Se recomienda una arquitectura que integre con runbooks de Systems Manager Automation o Step Functions. Un error común es que Detective construye grafos de comportamiento por región, por lo que si operas en múltiples regiones, la actividad del atacante que abarca regiones no se consolida en un solo grafo. Los entornos multi-región requieren verificar Detective en cada región por separado.

Resumen

Detective es un servicio que investiga las causas raíz de incidentes de seguridad mediante grafos de comportamiento y perfiles de entidades. Inicia la investigación desde los hallazgos de GuardDuty, agrega automáticamente datos de CloudTrail y VPC Flow Logs, y visualiza en serie temporal las anomalías en patrones de llamadas API y conexiones de red de los últimos 12 meses. GuardDuty se encarga de la "detección", Security Hub de la "priorización" y Detective de la "investigación" - combinando los tres se optimiza el ciclo de respuesta a incidentes.

Servicios relacionados

Amazon DetectiveUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAmazon GuardDutyUn servicio de detección de amenazas impulsado por aprendizaje automáticoAWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticas

Artículos relacionados

Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.Gestión centralizada de la postura de seguridad con AWS Security Hub - Agregación de hallazgos y respuesta automatizadaAgregamos los hallazgos de GuardDuty, Inspector y Macie en formato ASFF, cuantificamos la puntuación mediante la evaluación automática de estándares de seguridad y presentamos la remediación automática con integración de EventBridge.Construcción de un data lake de seguridad con Amazon Security Lake - Análisis integrado en formato OCSFExplicamos la agregación automática de CloudTrail, VPC Flow Logs y logs de Route 53 con Security Lake, la normalización OCSF y la integración con suscriptores.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Investigación de seguridad y análisis de amenazas - Eficiencia en la respuesta a incidentes con Amazon DetectiveExplicamos las técnicas de investigación de incidentes de seguridad y análisis de amenazas utilizando Amazon Detective. Presentamos el flujo de trabajo desde la detección hasta la investigación mediante la integración con GuardDuty y el método de identificación de causas raíz mediante análisis basado en grafos.Amazon DetectiveServicio que recopila y analiza automáticamente VPC Flow Logs, CloudTrail y hallazgos de GuardDuty para agilizar la investigación de la causa raíz de incidentes de seguridadCadena de herramientas de respuesta a incidentes de AWS - Plataforma de investigación integrada desde CloudTrail hasta Security HubExplicamos la cadena de herramientas de respuesta a incidentes de AWS que combina CloudTrail, Config, Detective y Security Hub, comparando las diferencias en el enfoque de investigación con Azure Sentinel.Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.