Amazon Detective のアイコン

Amazon Detective Especializado2019年〜

Un servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raíz

Unos 3 min de lectura

Qué hace

Amazon Detective es un servicio de investigación de seguridad que recopila automáticamente datos de log de tus recursos AWS (VPC Flow Logs, CloudTrail, GuardDuty findings, EKS audit logs) y utiliza aprendizaje automático, análisis estadístico y teoría de grafos para construir visualizaciones interactivas que facilitan la investigación de la causa raíz de problemas de seguridad.

Casos de uso

Se utiliza para investigar alertas de seguridad de GuardDuty, analizar actividad sospechosa de usuarios o roles IAM, rastrear el origen de tráfico de red inusual, investigar compromisos de instancias EC2, y determinar el alcance de incidentes de seguridad. Reduce el tiempo de investigación de horas a minutos.

Analogía cotidiana

Piensa en él como un detective privado digital. Cuando GuardDuty (el sistema de alarma) detecta algo sospechoso, Detective (el investigador) recopila todas las pruebas disponibles (logs, conexiones de red, actividad de API), las organiza cronológicamente y las presenta de forma visual para que puedas entender rápidamente qué pasó, quién lo hizo y qué fue afectado.

¿Qué es Amazon Detective?

Amazon Detective es un servicio que facilita la investigación de incidentes de seguridad. Cuando GuardDuty o Security Hub generan un hallazgo de seguridad, necesitas investigar: ¿es un falso positivo? ¿Cuál es el alcance? ¿Qué recursos están afectados? Detective automatiza la recopilación y análisis de datos relevantes, presentando visualizaciones que responden estas preguntas.

Grafos de comportamiento

Detective construye un grafo de comportamiento que modela las relaciones entre entidades (usuarios IAM, roles, instancias EC2, direcciones IP, buckets S3) y sus actividades a lo largo del tiempo. Esto permite visualizar patrones de comportamiento normal y detectar desviaciones. Puedes explorar las conexiones entre entidades para entender cómo se propagó un incidente.

Investigación de hallazgos

Desde GuardDuty o Security Hub, puedes hacer clic en "Investigar en Detective" para ver inmediatamente el contexto completo de un hallazgo: la actividad histórica de la entidad involucrada, las conexiones de red, las llamadas API realizadas y las anomalías detectadas. Detective muestra líneas de tiempo y comparaciones con el comportamiento normal. Para más información sobre investigación de seguridad, los libros en Amazon son útiles.

Cómo empezar

Habilita Amazon Detective en la consola (requiere que GuardDuty esté activo). Detective comienza automáticamente a ingerir datos de CloudTrail, VPC Flow Logs y hallazgos de GuardDuty. Después de 48 horas de recopilación de datos, las visualizaciones y análisis están disponibles. Investiga hallazgos directamente desde la consola de GuardDuty con el enlace "Investigar".

Aspectos a tener en cuenta

  • Detective を有効化する前に GuardDuty を有効にしておく必要がある。GuardDuty の検出結果が Detective の主要なデータソースとなる
  • ログデータの取り込み量に応じた従量課金のため、大規模環境ではコストを事前に見積もること
  • Detective は調査・分析ツールであり、脅威の検出は GuardDuty、対応の自動化は Security Hub が担当する。3 つのサービスを組み合わせて使うのが効果的
共有するXB!

Servicios relacionados

Amazon GuardDuty iconoAmazon GuardDutyUn servicio de detección de amenazas impulsado por aprendizaje automáticoAWS Security Hub iconoAWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticasAWS CloudTrail iconoAWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWSAmazon VPC iconoAmazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursos

Artículos relacionados

CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.Investigación de incidentes de seguridad con Amazon Detective - Identificación de causas raíz mediante análisis de grafosExplicamos la investigación de hallazgos de GuardDuty con Detective, perfiles de entidades y el uso de grafos de comportamiento.Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.Investigación de seguridad y análisis de amenazas - Eficiencia en la respuesta a incidentes con Amazon DetectiveExplicamos las técnicas de investigación de incidentes de seguridad y análisis de amenazas utilizando Amazon Detective. Presentamos el flujo de trabajo desde la detección hasta la investigación mediante la integración con GuardDuty y el método de identificación de causas raíz mediante análisis basado en grafos.

Más en esta categoría

IAM Access Analyzer iconoIAM Access Analyzer SpecializedUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS Certificate Manager iconoAWS Certificate Manager EssentialUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Artifact iconoAWS Artifact SpecializedUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS Audit Manager iconoAWS Audit Manager SpecializedUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAWS CloudHSM iconoAWS CloudHSM EspecializadoUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAmazon Cognito iconoAmazon Cognito PopularUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAWS Directory Service iconoAWS Directory Service EspecializadoUn servicio que proporciona Active Directory administrado en AWSAWS Firewall Manager iconoAWS Firewall Manager EspecializadoUn servicio para gestionar centralmente reglas de firewall en toda su organización de AWS

Artículos y servicios similares

Investigación de incidentes de seguridad con Amazon Detective - Identificación de causas raíz mediante análisis de grafosExplicamos la investigación de hallazgos de GuardDuty con Detective, perfiles de entidades y el uso de grafos de comportamiento.Investigación de seguridad y análisis de amenazas - Eficiencia en la respuesta a incidentes con Amazon DetectiveExplicamos las técnicas de investigación de incidentes de seguridad y análisis de amenazas utilizando Amazon Detective. Presentamos el flujo de trabajo desde la detección hasta la investigación mediante la integración con GuardDuty y el método de identificación de causas raíz mediante análisis basado en grafos.Amazon DetectiveServicio que recopila y analiza automáticamente VPC Flow Logs, CloudTrail y hallazgos de GuardDuty para agilizar la investigación de la causa raíz de incidentes de seguridadCadena de herramientas de respuesta a incidentes de AWS - Plataforma de investigación integrada desde CloudTrail hasta Security HubExplicamos la cadena de herramientas de respuesta a incidentes de AWS que combina CloudTrail, Config, Detective y Security Hub, comparando las diferencias en el enfoque de investigación con Azure Sentinel.Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.