Amazon Detective
自动收集和分析 VPC Flow Logs、CloudTrail、GuardDuty 检测结果,提高安全事件根因调查效率的服务
概述
Amazon Detective 是一项自动收集 AWS 环境日志数据并构建图模型,支持安全事件调查和根因分析的服务。它综合分析 VPC Flow Logs、CloudTrail 管理事件、GuardDuty 检测结果和 EKS 审计日志,可视化 IP 地址、IAM 主体、AWS 账户之间的关系。通过机器学习的基线分析检测偏离正常行为模式的异常,辅助调查优先级排序。
图模型驱动的安全调查革新
传统的安全调查需要用 Athena 查询 CloudTrail 日志、单独分析 VPC Flow Logs、再手动与 GuardDuty 检测结果进行关联。Detective 自动摄取这些数据源,将实体(IP 地址、IAM 用户、角色、EC2 实例等)之间的关系构建为图数据库。例如,可以直观地执行「发起可疑 API 调用的 IAM 角色是从哪个 EC2 实例 AssumeRole 的」「该实例与哪些 IP 地址通信」等调查。数据的摄取和分析完全自动化,用户无需编写查询或设计索引。Detective 最多保留 12 个月的数据,支持与历史事件的关联分析。Azure Sentinel 也提供类似的安全分析平台,但 Detective 与 AWS 原生数据源的集成更深入,且只需几次点击即可完成设置。
从 GuardDuty 检测结果出发的调查工作流
Detective 最常见的使用模式是对 GuardDuty 检测到的安全威胁进行深入调查。在 GuardDuty 控制台中选择检测结果并点击「在 Detective 中调查」,即可直接跳转到相关实体的配置文件页面。配置文件页面以时间线和图表形式显示该实体过去的 API 调用模式、网络通信量、访问来源的地理分布。通过与机器学习基线的比较,可以立即掌握「通常只从东京区域访问的角色突然从弗吉尼亚区域执行大量 S3 GetObject」等异常。云安全调查相关书籍 (Amazon) 中介绍了系统化的事件响应方法。调查结果可以作为 Finding Group 将相关检测结果汇总显示,可视化多个 GuardDuty 告警实际上属于同一攻击活动。
多账户运营与成本优化实务
在 Organizations 环境中,推荐由 Detective 管理员账户汇聚成员账户的数据进行分析。与 GuardDuty 类似,可以设置委托管理员,从安全团队的专用账户对整个组织进行统一的安全调查。添加新成员账户时会自动开始数据摄取,运维工作量最小。在成本方面,Detective 按摄取的数据量进行按量计费。在 VPC Flow Logs 和 CloudTrail 数据量较大的环境中成本会增加,因此需要考虑排除不必要的数据源或设置 VPC Flow Logs 的采样。提供 30 天免费试用,可以在试用期间确认实际数据量和成本后再决定正式导入。Detective 还与 Security Hub 集成,可以构建从 Security Hub 检测结果直接跳转到 Detective 调查界面的工作流。结合 GuardDuty、Security Hub、Detective 三项服务,可以完成检测 → 优先级排序 → 调查的完整安全运营流程。