Amazon Detective facilita el análisis, la investigación y la rápida identificación de la causa raíz de posibles problemas de seguridad o actividades sospechosas. Amazon Detective recopila datos de registro de manera automática a partir de sus recursos de AWS y utiliza el machine learning, el análisis estadístico y la teoría de gráficos para crear un conjunto de datos vinculados que le permite llevar a cabo fácilmente investigaciones sobre la seguridad más rápidas y eficientes.
Amazon Detective puede analizar billones de eventos de varios orígenes de datos, como los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC), los registros de AWS CloudTrail, los registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS) y los resultados de seguridad de varios servicios, como Amazon GuardDuty, AWS Security Hub y más. Detective crea automáticamente una vista unificada e interactiva de sus recursos, usuarios y las interacciones entre ellos a lo largo del tiempo. Gracias a esta perspectiva unificada, puede visualizar todos los detalles y el contexto en un solo lugar a fin de identificar las razones subyacentes que explican los resultados, profundizar en actividades históricas relevantes y determinar con rapidez la causa raíz.
Recopilación automática de datos en todas sus cuentas de AWS
Amazon Detective incorpora y procesa los datos relevantes de todas las cuentas habilitadas de manera automática. No tiene que configurar ni habilitar los orígenes de datos. Amazon Detective recopila y analiza eventos de fuentes de datos, como registros de AWS CloudTrail, registros de flujo de Amazon VPC, registros de auditoría de Amazon EKS, resultados de Amazon GuardDuty, resultados de AWS Security Hub, otros servicios de seguridad integrados de AWS, y mantiene hasta un año de datos agregados para su análisis.
Consolidación de eventos diversos en un modelo gráfico
Amazon Detective puede analizar billones de eventos de varios tipos de datos, incluido el tráfico IP, las operaciones de administración de AWS y las actividades potencialmente maliciosas o no autorizadas. Detective genera un modelo gráfico mediante machine learning, el análisis estadístico y la teoría de gráficos para crear un conjunto de datos enlazados para las investigaciones de seguridad. El modelo de gráfico prediseñado cuenta con relaciones de seguridad y brinda la información de contexto y de comportamiento que permite que usted valide, compare y establezca una correlación de datos con rapidez para llegar a una conclusión. Las visualizaciones de Amazon Detective cuentan con un modelo gráfico que permite que usted responda de manera rápida sus preguntas en relación con la investigación, sin preocuparse por la complejidad de consultar los registros sin procesar. Por ejemplo, el gráfico proporciona el contexto y las relaciones, como la que se establece cuando una dirección IP está conectada a una instancia EC2 y, también, las llamadas a la API emitidas durante un período específico.
Visualizaciones interactivas para llevar a cabo una investigación eficiente
Amazon Detective proporciona visualizaciones e información interactivas mediante IA generativa, lo que facilita que la investigación de los problemas sea más rápida y exhaustiva, y que conlleve menos esfuerzo. Gracias a una vista unificada que le permite visualizar todo el contexto y los resúmenes de lenguaje natural en un solo lugar, ahora es más fácil identificar aquellos patrones que pueden validar o refutar problemas de seguridad, además de comprender todos los recursos afectados en un resultado de seguridad. Cuando utilice estas visualizaciones e información, puede filtrar de manera más fácil grandes conjuntos de datos de eventos en plazos específicos con todos los detalles, el contexto y la orientación para investigar con rapidez. Amazon Detective le permite ver los intentos de inicio de sesión mediante geolocalización, explorar actividades históricas relevantes, determinar con rapidez la causa raíz y, si fuera necesario, tomar medidas para resolver el problema.
La visualización gráfica le muestra resultados de AWS Security relacionados y los recursos afectados por un solo evento de seguridad, como instancias de EC2, roles y usuarios de IAM, buckets de S3 y direcciones IP. La información describe lo que sucedió durante el evento de seguridad en un lenguaje natural para ayudarle a comprender la cadena de eventos. Esto le ayuda a investigar actividades inusuales o sospechosas con mayor rapidez y menos esfuerzo.
El volumen general de llamadas a la API le muestra las llamadas con errores y aquellas que se realizaron correctamente en un periodo específico, y lo compara con la base de referencia establecida. Esto le ayuda a identificar patrones de actividad anormal y validar un hallazgo de seguridad.
Integración absoluta para la investigación de un resultado de seguridad
Amazon Detective tiene integrados servicios de seguridad de AWS, como Amazon GuardDuty, AWS Security Hub, Amazon Inspector,Amazon Security Lake, así como también productos de seguridad de socios de AWS que ayudan a investigar con rapidez los resultados de seguridad que se han identificado en estos servicios. En un solo paso en estos servicios integrados, ahora puede ir a Amazon Detective y ver de inmediato los eventos relacionados con los resultados, explorar las actividades históricas relevantes e investigar el problema. Por ejemplo, a partir de un resultado de Amazon GuardDuty, puede iniciar Amazon Detective haciendo clic en “Investigate in Detective” (Investigar en Detective), para obtener información instantánea sobre la actividad relevante para el recurso en cuestión. Desde Detective puede consultar y recuperar las fuentes de registro almacenadas en Amazon Security Lake sin la necesidad de crear consultas ni salir de la consola de Detective.
Soporte de investigación de seguridad para el monitoreo de la versión ejecutable de Amazon GuardDuty
Amazon Detective respalda las investigaciones de seguridad del monitoreo de las versiones ejecutables de GuardDuty ECS y EKS, y cuenta con visualizaciones mejoradas y contexto adicional para la detección de nuevas amenazas. Puede utilizar las detecciones de amenazas de versiones ejecutables de GuardDuty y las capacidades de investigación de Detective para mejorar la detección y la respuesta ante posibles amenazas a las cargas de trabajo de los contenedores. Detective respalda la investigación de estas detecciones nuevas al incluirlas en los grupos de resultados, las visualizaciones y otros resúmenes para acelerar las investigaciones de seguridad.
Despliegue simple sin integración inicial de origen de datos ni configuraciones complejas para mantener
Puede habilitar Amazon Detective tan solo siguiendo unos pasos en la consola de administración de AWS. No hay ningún software para implementar, agentes para instalar ni configuraciones complejas para mantener. Además, no hay orígenes de datos para habilitar, lo que significa que no tiene que afrontar los costos de habilitación de dichos orígenes, ni de transferencias y almacenamiento de datos.
Obtenga más información acerca de las capacidades y la implementación de Amazon Detective en la documentación correspondiente.
Obtenga acceso instantáneo a la capa gratuita de AWS.