Passa al contenuto principale

Funzionalità di Amazon Detective

Perché Amazon Detective?

Amazon Detective ti permette di analizzare, investigare e identificare in modo rapido e semplice le cause principali delle problematiche potenziali relative a sicurezza e attività sospette. Amazon Detective raccoglie automaticamente i dati di log dalle risorse AWS e utilizza machine learning, analisi statistiche e teoria dei grafi per creare un set di dati collegato che consente di condurre indagini sulla sicurezza più veloci ed efficienti.

Amazon Detective può analizzare trilioni di eventi da più origini dati, come i log di flusso di Amazon Virtual Private Cloud (Amazon VPC), i log di AWS CloudTrail, i log di controllo di Amazon Elastic Kubernetes Service (Amazon EKS) e gli esiti di sicurezza di diversi servizi come Amazon GuardDuty, la Centrale di sicurezza AWS e molti altri. Detective crea automaticamente una visione unificata e interattiva delle tue risorse, degli utenti e delle interazioni tra loro nel tempo. Grazie a questa panoramica unificata, puoi visualizzare tutti i dettagli e i contesti in un unico luogo per identificare i motivi sottostanti degli esiti, analizzare le attività cronologiche rilevanti e determinare velocemente la causa principale.

Panoramica

Raccolta di dati automatica tra tutti gli account AWS

Amazon Detective immette ed elabora automaticamente i dati rilevanti da tutti gli account abilitati. Non è necessario configurare o abilitare alcuna origine dati. Amazon Detective raccoglie e analizza eventi da origini dati come i log di AWS CloudTrail, i log di flusso di Amazon VPC, i log di controllo di Amazon EKS, gli esiti di Amazon GuardDuty e della Centrale di sicurezza AWS e altri servizi di sicurezza AWS integrati, e conserva per un massimo di un anno i dati aggregati a scopo di analisi.

Elaborazione di eventi diversi in un modello su grafo

Amazon Detective è in grado di analizzare trilioni di eventi provenienti da vari tipi di dati, tra cui traffico IP, operazioni di gestione AWS e attività potenzialmente dannose o non autorizzate. Detective costruisce un modello grafico utilizzando l'apprendimento automatico, l'analisi statistica e la teoria dei grafi per creare un set collegato di dati per le indagini sulla sicurezza. Il modello grafico predefinito contiene relazioni relative alla sicurezza e offre approfondimenti contestuali e comportamentali che consentono di convalidare, confrontare e correlare rapidamente i dati per giungere a conclusioni. Le visualizzazioni di Amazon Detective sono basate sul modello grafico, che ti consente di rispondere rapidamente alle tue domande investigative senza la complessità di interrogare i log grezzi. Ad esempio, il grafico fornisce il contesto e le relazioni, ad esempio quando un indirizzo IP si connette a un'istanza EC2 e le chiamate API effettuate da un ruolo durante un periodo di tempo specifico.

Visualizzazioni interattive per indagini efficienti

Amazon Detective fornisce visualizzazioni e approfondimenti interattivi utilizzando l'IA generativa, semplificando l'analisi dei problemi in modo più rapido e approfondito con meno sforzo. Con una visualizzazione unificata che consente di visualizzare tutto il contesto e i riepiloghi in linguaggio naturale in un'unica posizione, diventa più facile identificare i modelli in grado di convalidare o confutare un problema di sicurezza e comprendere tutte le risorse interessate all'interno di un esito di sicurezza. L'utilizzo di queste visualizzazioni permette di filtrare facilmente grandi set di dati in determinate cronologie con dettagli, contesto e guida per indagare velocemente. Amazon Detective permette di visualizzare i tentativi di accesso su una mappa di geolocalizzazione, scendere nei dettagli di attività rilevanti nella cronologia, determinare velocemente la causa principale e, se necessario, agire per risolvere il problema.

Missing alt text value

Volume complessivo di chiamate API

Le visualizzazioni del grafo mostrano i relativi esiti di sicurezza AWS e le risorse interessate da un singolo evento di sicurezza, come le istanze EC2, i ruoli e gli utenti IAM, i bucket S3 e gli indirizzi IP. Gli approfondimenti descrivono gli eventi che hanno avuto luogo durante l'evento di sicurezza in un linguaggio naturale per comprendere la catena di eventi. Ciò consente di indagare su attività insolite o sospette più rapidamente e con meno sforzo. Il volume complessivo di chiamate API mostra le chiamate riuscite e fallite in un determinato periodo di tempo e le confronta con la linea di base stabilita. Questo aiuta l'identificazione di modelli di attività anomale e convalida un risultato di sicurezza.

Missing alt text value

Altre funzionalità

Integrazione perfetta per l'indagine su un esito di sicurezza

Amazon Detective è integrato con i servizi di sicurezza AWS come Amazon GuardDuty, AWS Security Hub, Amazon Inspector, Amazon Security Lake e con i prodotti di sicurezza AWS Partner per aiutare a indagare rapidamente sui risultati di sicurezza identificati in questi servizi. Utilizzando un solo passaggio da questi servizi integrati puoi accedere ad Amazon Detective e visualizzare immediatamente gli eventi relativi ai risultati, approfondire le attività storiche pertinenti e indagare sul problema. Ad esempio, da una scoperta di Amazon GuardDuty, puoi avviare Amazon Detective facendo clic su «Investigate in Detective» che fornisce informazioni istantanee sull'attività pertinente per la risorsa coinvolta. Da Detective puoi interrogare e recuperare le fonti di log archiviate in Amazon Security Lake senza dover creare query o uscire dalla console Detective.

Supporto alle indagini di sicurezza per Amazon GuardDuty Runtime Monitoring

Amazon Detective supporta le indagini di sicurezza per GuardDuty ECS ed EKS Runtime Monitoring, fornendo visualizzazioni migliorate e contesto aggiuntivo per il rilevamento di nuove minacce. Puoi utilizzare i rilevamenti delle minacce in fase di esecuzione di GuardDuty e le funzionalità investigative di Detective per migliorare il rilevamento e la risposta alle potenziali minacce ai carichi di lavoro dei container. Detective supporta l'analisi di questi nuovi rilevamenti includendoli in gruppi di ricerca, visualizzazioni e altri riepiloghi per indagini di sicurezza più rapide.

Implementazione semplice senza necessità di integrazione iniziale dell'origine dati o configurazioni complesse da mantenere

Con pochi passaggi nella Console di gestione AWS, puoi abilitare Amazon Detective. Non è necessario distribuire software, installare agenti o conservare configurazioni complesse. Inoltre non c'è bisogno di abilitare origini dati, il che significa che non sono previsti costi per l'abilitazione dell'origine dati, il trasferimento e lo storage di dati.