Amazon Detective のアイコン

Amazon Detective 专业2020年〜

自动分析安全检测结果并调查根本原因的服务

阅读约需 1 分钟

它能做什么

Amazon Detective 是一项自动收集和分析 AWS 环境中的日志数据,帮助安全团队调查安全事件根本原因的服务。自动从 CloudTrailVPC Flow Logs、GuardDuty 等来源收集数据,使用图分析和机器学习构建行为模型,可视化资源间的关系和活动时间线。

使用场景

用于 GuardDuty 检测结果的深入调查、可疑 IAM 活动的根本原因分析、异常网络流量的来源追踪、安全事件的影响范围评估、合规调查中的证据收集等。帮助安全团队从“发生了什么”快速推进到“为什么发生”和“影响范围有多大”。

日常类比

可以将其比作侦探的调查工具。GuardDuty 像是报警器,告诉您“有可疑活动”。Detective 则像侦探的调查板,将所有线索(日志数据)整理成时间线和关系图,帮助您追踪嫌疑人(攻击者)的行动轨迹,找出事件的来龙去脉。

什么是 Detective

Amazon Detective 是一项安全调查服务,帮助分析和可视化安全事件的根本原因。当 GuardDutySecurity Hub 检测到安全问题时,安全团队需要调查“这是怎么发生的”“影响了哪些资源”“攻击者做了什么”。Detective 自动收集和关联相关数据,大幅缩短调查时间。

数据收集与分析

Detective 自动从 CloudTrail 日志、VPC Flow Logs、GuardDuty 检测结果、EKS 审计日志等来源持续收集数据。使用图数据库存储资源间的关系,使用机器学习建立正常行为基线。当需要调查时,可以快速查看特定资源或 IP 地址的完整活动历史。

可视化与调查

Detective 提供多种可视化工具辅助调查。行为图显示资源间的交互关系。活动时间线显示特定实体在特定时间段的所有活动。地理位置图显示 API 调用的来源地。异常高亮显示偏离正常模式的活动。从 GuardDuty 检测结果可以一键跳转到 Detective 开始调查。 关于安全调查的方法,也可以参考相关书籍(Amazon)

开始使用

在 Detective 控制台中启用服务。Detective 会自动开始从 CloudTrail 和 VPC Flow Logs 收集数据(需要先启用这些服务)。数据积累约 2 周后,行为基线建立完成,即可开始有效的调查。建议同时启用 GuardDuty,以便从检测结果直接跳转到 Detective 进行调查。

注意事项

  • Detective 按摄入的数据量计费,大量 VPC Flow Logs 会显著增加成本
  • 需要约 2 周的数据积累才能建立有效的行为基线,刚启用时调查能力有限
  • Detective 是调查工具而非检测工具,建议与 GuardDuty 配合使用
共有するXB!

相关服务

Amazon GuardDuty 图标Amazon GuardDuty利用机器学习的威胁检测服务AWS Security Hub 图标AWS Security Hub集中管理 AWS 安全状态和合规性的服务AWS CloudTrail 图标AWS CloudTrail记录和监控 AWS 账户 API 活动的服务Amazon Macie 图标Amazon Macie利用机器学习自动检测和保护 S3 存储桶中敏感数据的服务

相关文章

CloudTrail 看到一切 - API 调用记录机制与取证调查实践详细介绍 CloudTrail 记录 AWS API 调用的机制、管理事件与数据事件的区别、CloudTrail Lake 的 SQL 分析以及安全事件发生时的取证调查方法。通过 Amazon Detective 调查安全事件 - 基于图分析的根本原因定位解说通过 Detective 调查 GuardDuty 发现结果、实体画像和行为图的活用。Amazon GuardDuty 实现威胁检测 - 基于 ML 的异常检测与事件响应解析 GuardDuty 的威胁检测机制、检测结果分类,以及通过 Security Hub 集成实现事件响应的方法。安全调查与威胁分析 - 用 Amazon Detective 实现高效事件响应解析利用 Amazon Detective 进行安全事件调查和威胁分析的方法。介绍与 GuardDuty 联动的从检测到调查的工作流,以及基于图的分析定位根本原因的方法。

本分类的更多服务

IAM Access Analyzer 图标IAM Access Analyzer 专业检测可从外部访问的资源和未使用的访问权限的服务AWS Certificate Manager 图标AWS Certificate Manager 基础自动化 SSL/TLS 证书的配置、管理和部署的服务AWS Artifact 图标AWS Artifact 专业按需获取 AWS 合规报告和协议的服务AWS Audit Manager 专业自动化合规审计的证据收集和评估的服务AWS CloudHSM 图标AWS CloudHSM 专业使用专用硬件安全模块管理加密密钥的服务Amazon Cognito 图标Amazon Cognito 热门为 Web 和移动应用程序提供认证、授权和用户管理的服务AWS Directory Service 图标AWS Directory Service 专业在 AWS 上提供托管 Active Directory 的服务AWS Firewall Manager 图标AWS Firewall Manager 专业集中管理 AWS Organizations 全组织防火墙规则的服务

相似的文章与服务

Amazon Detective自动收集和分析 VPC Flow Logs、CloudTrail、GuardDuty 检测结果,提高安全事件根因调查效率的服务安全调查与威胁分析 - 用 Amazon Detective 实现高效事件响应解析利用 Amazon Detective 进行安全事件调查和威胁分析的方法。介绍与 GuardDuty 联动的从检测到调查的工作流,以及基于图的分析定位根本原因的方法。通过 Amazon Detective 调查安全事件 - 基于图分析的根本原因定位解说通过 Detective 调查 GuardDuty 发现结果、实体画像和行为图的活用。Amazon GuardDuty 实现威胁检测 - 基于 ML 的异常检测与事件响应解析 GuardDuty 的威胁检测机制、检测结果分类,以及通过 Security Hub 集成实现事件响应的方法。AWS 事件响应工具链 - 从 CloudTrail 到 Security Hub 的集成调查平台解析 CloudTrail、Config、Detective、Security Hub 组合而成的 AWS 事件响应工具链,并与 Azure Sentinel 的调查方法进行比较。