セキュリティ

Amazon Detective

Servicio que recopila y analiza automáticamente VPC Flow Logs, CloudTrail y hallazgos de GuardDuty para agilizar la investigación de la causa raíz de incidentes de seguridad

Unos 5 min de lectura

Descripción general

Amazon Detective es un servicio que recopila automáticamente datos de logs del entorno AWS, construye un modelo de grafos y asiste en la investigación y análisis de causa raíz de incidentes de seguridad. Analiza de forma integrada VPC Flow Logs, eventos de gestión de CloudTrail, hallazgos de GuardDuty y logs de auditoría de EKS, visualizando las relaciones entre direcciones IP, principales IAM y cuentas de AWS. Mediante análisis de línea base con machine learning, detecta desviaciones de los patrones de comportamiento normales y apoya la priorización de investigaciones.

Innovación en investigación de seguridad mediante modelo de grafos

En la investigación de seguridad tradicional, era necesario consultar logs de CloudTrail con Athena, analizar VPC Flow Logs por separado y correlacionar manualmente con los hallazgos de GuardDuty. Detective ingiere automáticamente estas fuentes de datos y construye una base de datos de grafos con las relaciones entre entidades (direcciones IP, usuarios IAM, roles, instancias EC2, etc.). Por ejemplo, investigaciones como "¿desde qué instancia EC2 se hizo AssumeRole del rol IAM que realizó llamadas API sospechosas?" o "¿con qué direcciones IP se comunicaba esa instancia?" se pueden ejecutar intuitivamente como recorridos del grafo. La ingesta y análisis de datos están completamente automatizados, sin necesidad de que el usuario escriba consultas o diseñe índices. Detective retiene hasta 12 meses de datos, permitiendo también análisis de correlación con eventos pasados.

Flujo de investigación desde hallazgos de GuardDuty

El patrón de uso más común de Detective es la investigación profunda de amenazas de seguridad detectadas por GuardDuty. Al seleccionar un hallazgo en la consola de GuardDuty y hacer clic en "Investigar en Detective", se navega directamente a la página de perfil de la entidad relacionada. En la página de perfil se muestran en línea de tiempo y grafos los patrones de llamadas API pasadas de esa entidad, el volumen de comunicaciones de red y la distribución geográfica de los orígenes de acceso. Mediante la comparación con la línea base de machine learning, se pueden identificar inmediatamente anomalías como "un rol que normalmente solo accede desde la región de Tokio ejecutó repentinamente un gran número de S3 GetObject desde la región de Virginia". Libros relacionados con investigación de seguridad en la nube (Amazon) explican enfoques sistemáticos de respuesta a incidentes. Los resultados de investigación se pueden mostrar como Finding Groups que agrupan hallazgos relacionados, visualizando que múltiples alertas de GuardDuty pertenecen en realidad a la misma campaña de ataque.

Operación multi-cuenta y optimización de costos en la práctica

En entornos de Organizations, se recomienda una configuración donde la cuenta administradora de Detective agregue y analice los datos de las cuentas miembro. Al igual que GuardDuty, se puede configurar un administrador delegado, permitiendo realizar investigaciones de seguridad de toda la organización de forma centralizada desde una cuenta dedicada del equipo de seguridad. Al agregar nuevas cuentas miembro, la ingesta de datos se inicia automáticamente, minimizando la carga operativa. En cuanto a costos, la tarificación de Detective se basa en el volumen de datos ingeridos. En entornos con grandes volúmenes de VPC Flow Logs y CloudTrail, los costos pueden aumentar, por lo que es necesario considerar la exclusión de fuentes de datos innecesarias o la configuración de muestreo de VPC Flow Logs. Se ofrece una prueba gratuita de 30 días, durante la cual se puede verificar el volumen real de datos y costos antes de decidir la implementación en producción. Detective también se integra con Security Hub, permitiendo construir flujos de trabajo que navegan directamente desde los hallazgos de Security Hub a la pantalla de investigación de Detective. Combinando los tres servicios GuardDuty, Security Hub y Detective, se completa el flujo de operaciones de seguridad de detección → priorización → investigación.

共有するXB!

Términos relacionados

Amazon GuardDutyAWS Security HubAWS CloudTrailAmazon VPCAWS Organizations

Servicios relacionados

Amazon GuardDutyAWS Security HubAWS CloudTrailAmazon VPC

Artículos relacionados

Registro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridadRegistre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.Protección de privacidad de datos - Detección automática de datos confidenciales y defensa contra amenazas con Amazon Macie y GuardDutyDetección automática de datos confidenciales en S3 con Amazon Macie e inteligencia de amenazas con Amazon GuardDuty para protección integral de privacidad de datos. Desde identificación de información personal hasta detección de amenazas en tiempo real.Investigación de incidentes de seguridad con Amazon Detective - Identificación de causas raíz mediante análisis de grafosExplicamos la investigación de hallazgos de GuardDuty con Detective, perfiles de entidades y el uso de grafos de comportamiento.Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.

Términos y artículos similares

Investigación de incidentes de seguridad con Amazon Detective - Identificación de causas raíz mediante análisis de grafosExplicamos la investigación de hallazgos de GuardDuty con Detective, perfiles de entidades y el uso de grafos de comportamiento.Investigación de seguridad y análisis de amenazas - Eficiencia en la respuesta a incidentes con Amazon DetectiveExplicamos las técnicas de investigación de incidentes de seguridad y análisis de amenazas utilizando Amazon Detective. Presentamos el flujo de trabajo desde la detección hasta la investigación mediante la integración con GuardDuty y el método de identificación de causas raíz mediante análisis basado en grafos.Amazon DetectiveUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízCadena de herramientas de respuesta a incidentes de AWS - Plataforma de investigación integrada desde CloudTrail hasta Security HubExplicamos la cadena de herramientas de respuesta a incidentes de AWS que combina CloudTrail, Config, Detective y Security Hub, comparando las diferencias en el enfoque de investigación con Azure Sentinel.El poder de integración de los servicios de seguridad de AWS - Detección nativa de amenazas sin SIEM, de GuardDuty a DetectiveExplicamos el mecanismo de detección nativa de amenazas mediante la integración de GuardDuty, Security Hub, Detective y Macie, comparando la diferencia de filosofía de diseño con Azure Sentinel.