Perguntas frequentes do Amazon Detective

Geral

O Amazon Detective torna mais fácil analisar, investigar e identificar rapidamente a causa raiz de possíveis problemas de segurança ou atividades suspeitas. O Amazon Detective coleta automaticamente dados de log de seus recursos da AWS e usa machine learning, análise estatística e teoria dos grafos para criar um conjunto de dados vinculados que permite realizar facilmente investigações de segurança mais rápidas e eficientes.

O Amazon Detective simplifica o processo de investigação e ajuda as equipes de segurança a conduzir investigações mais rápidas e eficazes. As agregações, resumos e contexto de dados pré-construídos do Amazon Detective ajudam você a analisar e determinar rapidamente a natureza e a extensão de possíveis problemas de segurança. O Amazon Detective mantém até um ano de dados agregados e os torna facilmente disponíveis por meio de um conjunto de visualizações que mostram alterações no tipo e no volume de atividades em uma janela de tempo selecionada e vincula essas alterações às descobertas de segurança. Não há custos iniciais e você paga apenas pelos eventos analisados, sem necessidade de implantar software adicional ou registrar em log os feeds a serem habilitados.

O Amazon Detective extrai eventos baseados em tempo, como tentativas de login, chamadas de API e tráfego de rede do AWS CloudTrail, logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC), descobertas do Amazon GuardDuty, descobertas do AWS Security Hub e logs de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS). O Detective cria um grafo de comportamento que utiliza machine learning (ML) para criar uma visualização unificada e interativa de seus comportamentos de recursos e suas interações ao longo do tempo, especificamente para esses eventos baseados em tempo. Ao explorar o gráfico de comportamento, você pode analisar eventos de segurança, como tentativas fracassadas de login, chamadas suspeitas às APIs ou grupos de descobertas que ajudam a investigar a causa raiz das descobertas de segurança da AWS.

Os agentes de ameaças geralmente executam uma série de ações ao tentar comprometer seu ambiente da AWS, o que pode resultar em várias descobertas de segurança em seus recursos da AWS. Os grupos de descoberta são coleções de descobertas e recursos de segurança associados a um único possível incidente de segurança que devem ser investigados em conjunto. Os grupos de descoberta podem ajudar a reduzir o tempo de triagem, pois você não precisa investigar cada descoberta de segurança individual separadamente. Você pode começar sua investigação com grupos de descobertas, que oferecem uma compreensão mais completa do incidente. Eles também oferecem visualizações interativas que permitem explorar descobertas e insights específicos usando a IA generativa para descrever a cadeia de eventos em linguagem natural. Para obter mais informações, leia Analisar grupos de descobertas.

As investigações automatizadas permitem investigar entidades do AWS Identity and Access Management (IAM), como usuários ou funções do IAM, para determinar se elas estão potencialmente comprometidas. Para isso, as investigações automatizadas consultam seu gráfico de comportamento e usam o machine learning para identificar se a entidade IAM exibe um comportamento anômalo ou mostra indicadores de comprometimento (IoC). Esses IOCs podem incluir atividades potencialmente maliciosas, como logins de viagem impossíveis, associações a endereços IP inválidos conhecidos e um histórico de descobertas de segurança. Em vez de analisar os logs do AWS CloudTrail e desenvolver seus próprios scripts para identificar atividades suspeitas, você pode economizar tempo usando investigações automatizadas para responder a perguntas como: “Essa função do IAM foi usada em logins de viagem impossíveis?” ou “Essa sessão de perfil do IAM foi usada por um endereço IP inválido conhecido?” ou “Quais táticas, técnicas e procedimentos (TTP) essa função principal do IAM acionou durante um evento de segurança?” Para obter mais informações, consulte o Guia do usuário do Amazon Detective.

A definição de preço do Amazon Detective é baseada no volume de dados ingeridos de logs do AWS CloudTrail, Amazon VPC Flow Logs, logs de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS), descobertas do Amazon GuardDuty e descobertas enviadas de serviços integrados da AWS para o AWS Security Hub. Você é cobrado por Gigabyte (GB) consumido por conta/região/mês. O Amazon Detective mantém até um ano de dados agregados para análises. Consulte a página de preços do Amazon Detective para obter informações de definição de preço atualizadas. As descobertas do Amazon EKS e do AWS Security Hub são fontes de dados opcionais que você pode desativar se não quiser que o Detective ingira essas fontes de dados.

Sim. Toda conta nova do Amazon Detective pode experimentar gratuitamente o serviço por 30 dias. Você terá acesso ao conjunto completo de recursos durante o teste gratuito.  

O Amazon Detective precisa ser ativado de acordo com cada região e permite que você analise rapidamente a atividade em todas as suas contas em cada região. Isso garante que todos os dados analisados ​​tenham base regional e não ultrapassem os limites regionais da AWS.

Consulte a disponibilidade regional do Amazon Detective na tabela de regiões da AWS.

Conceitos básicos do Amazon Detective

O Amazon Detective pode ser habilitado com alguns cliques no Console de Gerenciamento da AWS. Uma vez ativado, o Amazon Detective organiza automaticamente os dados em um modelo gráfico e o modelo é atualizado continuamente à medida que novos dados ficam disponíveis. Você pode experimentar o Amazon Detective e começar a investigar possíveis problemas de segurança.

Você pode ativar o Amazon Detective no Console de Gerenciamento da AWS ou usando a API do Amazon Detective. Se você já estiver usando os consoles do Amazon GuardDuty ou AWS Security Hub, habilite o Amazon Detective com a mesma conta que seja a conta administrativa no Amazon GuardDuty ou no AWS Security Hub, para permitir a melhor experiência entre os serviços.

Sim, o Amazon Detective é um serviço de várias contas que agrega dados de contas de membros monitoradas em uma única conta administrativa na mesma região. É possível configurar implantações de monitoramento de várias contas da mesma maneira que você configura contas administrativas e de membros no Amazon GuardDuty e no AWS Security Hub.

O Amazon Detective permite que os clientes visualizem resumos e dados analíticos associados aos logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC), logs do AWS CloudTrail, logs de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS), descobertas do AWS Security Hub e descobertas do Amazon GuardDuty.

Sim, você pode usar o Amazon Detective se não tiver o Amazon GuardDuty habilitado na conta. Você pode usar o Amazon Detective para obter resumos, análises e visualizações detalhadas dos comportamentos e interações entre suas contas da AWS, instâncias do EC2, usuários da AWS, funções e endereços IP. Essas informações podem ser muito úteis para entender problemas de segurança ou atividades operacionais da conta. O Amazon GuardDuty é um serviço presente nas Recomendações da AWS Security Reference Architecture (SRA), como parte das “Key implementation guidelines of the AWS SRA”.

O Amazon Detective começa a coletar dados de log assim que ativado e fornece resumos visuais e análises sobre os dados consumidos. O Amazon Detective também fornece comparações de atividades recentes com linhas de base históricas estabelecidas após duas semanas de monitoramento da conta.

Sim, você pode exportar os logs do AWS CloudTrail e os logs de fluxo do Amazon VPC usando uma integração com o Amazon Security Lake. Você pode analisar como a integração funciona na seção “Amazon Detective para Amazon Security Lake”.

O Amazon Detective está em conformidade com o modelo de responsabilidade compartilhada da AWS, incluindo as regulamentações e diretrizes para proteção de dados. Uma vez ativado, o Amazon Detective processará dados de logs do AWS CloudTrail, logs de fluxo do Amazon VPC, logs de auditoria do Amazon EKS, descobertas enviadas de serviços integrados da AWS para o AWS Security Hub e descobertas do Amazon GuardDuty para todas as contas nas quais ele foi ativado.

O Amazon Detective não afeta o desempenho ou a disponibilidade de sua infraestrutura da AWS, pois ele recupera os dados e as descobertas do log diretamente dos serviços da AWS.

O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas ou e comportamentos não autorizados para proteger suas contas e workloads da AWS. Com o AWS Security Hub, você tem um único local que agrega, organiza e prioriza alertas de segurança, ou descobertas, de vários serviços da AWS, como o Amazon GuardDuty, o Amazon Inspector e o Amazon Macie, bem como de soluções de parceiros da AWS. O Amazon Detective simplifica o processo de investigação de descobertas de segurança e identificação da causa raiz. O Amazon Detective analisa trilhões de eventos de várias fontes de dados, como Amazon VPC Flow Logs, AWS CloudTrail logs, Amazon EKS audit logs, descobertas enviadas de serviços integrados da AWS para o AWS Security Hub e descobertas do Amazon GuardDuty e cria automaticamente um modelo de gráfico que fornece a você com uma visão unificada e interativa de seus recursos, usuários e as interações entre eles ao longo do tempo.

O Amazon Detective permite que você analise e visualize dados de segurança de logs do AWS CloudTrail, logs de Amazon VPC Flow, logs de auditoria do Amazon EKS, descobertas enviadas de serviços integrados da AWS para o AWS Security Hub e descobertas do Amazon GuardDuty. Para impedir que o Amazon Detective analise esses logs e descobertas de suas contas, desabilite o serviço usando a API ou a seção de configurações no Console da AWS para Amazon Detective.

Utilização do console Amazon Detective

O Amazon Detective fornece uma variedade de visualizações que apresentam contexto e informações sobre recursos da AWS, como contas da AWS, instâncias do EC2, usuários, funções, endereços IP e descobertas do Amazon GuardDuty. Cada visualização é projetada para responder a perguntas específicas que podem surgir à medida que você analisa as descobertas e a atividade relacionada. Cada visualização fornece orientação textual que explica claramente como interpretar o painel e usar suas informações para responder às suas perguntas investigativas.

O Amazon Detective é compatível com fluxos de trabalho de usuário entre serviços, como integrações de console com o Amazon GuardDuty, o AWS Security Hub e o Amazon Security Lake. O GuardDuty e o Security Hub fornecem links de seus consoles que o redirecionam de uma descoberta selecionada diretamente para uma página do Amazon Detective que contém um conjunto de visualizações específicas para investigar a descoberta selecionada. O Amazon Detective fornece consultas pré-criadas com base em suas investigações, que podem consultar e baixar arquivos de log do Amazon Security Lake. A página de detalhes das descobertas no Amazon Detective já está alinhada ao período da descoberta e mostra dados relevantes associados à descoberta.

Vários fornecedores de soluções de segurança de parceiros se integraram ao Amazon Detective para permitir etapas de investigação em seus playbooks e orquestrações automatizados. Esses produtos apresentam links nos fluxos de trabalho de resposta que redirecionam os usuários para as páginas do Amazon Detective que contêm visualizações selecionadas para investigar descobertas e recursos identificados no fluxo de trabalho.

Amazon Detective para AWS Security Hub

Após habilitado, o Amazon Detective analisa e correlaciona, de maneira automática e contínua, as atividades de usuário, rede e configuração dos serviços da AWS integrados ao AWS Security Hub. O Amazon Detective ingere automaticamente as descobertas de segurança encaminhadas dos serviços de segurança da AWS para o AWS Security Hub por meio da fonte de dados opcional chamada AWS Security Findings.

O AWS Security Hub oferece suporte a integrações com vários serviços da AWS. Com a expectativa de descobertas de dados sigilosos do Amazon Macie, você opta automaticamente por todas as outras integrações de serviços da AWS com o Security Hub. Se você ativou o Security Hub e qualquer um dos serviços integrados, esses serviços enviarão as descobertas ao Security Hub. O Detective ingere essas descobertas e as adiciona a seu grafo para que você possa realizar investigações de segurança com todos os serviços integrados da AWS. Esses serviços incluem: AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS Health, AWS Identity and Access Management Access Analyzer, Amazon Inspector, AWS IoT Device Defender, Amazon Macie e Gerenciador de Patches do AWS Systems Manager.

Por padrão, as descobertas de segurança da AWS são habilitadas como fonte de dados para novas contas usando o Detective. Talvez seja necessário habilitar essa fonte de dados se você estiver usando o Detective antes do lançamento do suporte às descobertas de segurança da AWS. Você pode seguir as etapas listadas nas AWS security findings no Guia administrativo para confirmar as fontes de dados do Detective. Essa fonte de dados deve ser habilitada para cada região em que você planeja usar o Detective.

O consumo das descobertas de segurança da AWS pelo Amazon Detective foi criado de modo a não afetar a performance de seus serviços de segurança da AWS, pois o Amazon Detective consome as descobertas de segurança usando fluxos de logs independentes e duplicativos. Dessa forma, o consumo das descobertas de segurança da AWS pelo Amazon Detective não aumentará seus custos de uso do AWS Security Hub ou de qualquer serviço de segurança integrado da AWS.

O preço do consumo das descobertas de segurança da AWS pelo Amazon Detective é baseado no volume de descobertas processadas e analisadas pelo Amazon Detective. O Amazon Detective oferece uma avaliação gratuita de 30 dias para todos os clientes que habilitam a cobertura das descobertas de segurança da AWS, permitindo que os clientes garantam que os recursos do Amazon Detective atendam a suas necessidades de segurança e obtenham uma estimativa do custo mensal do serviço antes de se comprometerem com o uso pago.

Não, o Amazon Detective cobrará apenas uma vez pelas descobertas enviadas por cada serviço. 

Amazon Detective para Amazon Security Lake

Depois de integrar os dois serviços, o Amazon Detective pode consultar e recuperar os logs do AWS CloudTrail e os logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC) do Amazon Security Lake para suas investigações de segurança. Você pode usar essa integração para iniciar suas investigações no Amazon Detective e visualizar ou baixar logs específicos do AWS CloudTrail ou do Amazon VPC Flow Logs se precisar de detalhes adicionais armazenados nos logs. Por exemplo, se você estava investigando atividades suspeitas de um usuário do IAM nas últimas 24 horas, poderá usar o Amazon Detective para obter um resumo dos serviços com os quais o usuário do IAM interagiu no painel de métodos da API. Se você observar interações com serviços que representam um possível problema de segurança, como chamadas de API para descrever funções, poderá baixar os logs do AWS CloudTrail para esse usuário do IAM. O Amazon Detective fornecerá uma consulta SQL pré-criada usando o Amazon Athena com base na hora e na entidade (as últimas 24 horas para o usuário do IAM) sob investigação, facilitando sua consulta e a recuperação do log. Essa integração ajuda a economizar tempo, eliminando a necessidade de criar a consulta SQL do zero, e você pode visualizar e baixar os resultados sem precisar sair do console do Amazon Detective.

Para permitir a integração entre os dois serviços, você precisará executar um modelo do Amazon CloudFormation. Esse modelo cria uma conta de assinante com permissões suficientes para consultar e consumir logs do Amazon Security Lake e implanta serviços adicionais da AWS em sua conta, usados para consultar e baixar logs. Você pode analisar os itens implantados pelo modelo do Amazon CloudFormation no Guia do usuário do Amazon Detective.

A cobrança é feita para cada serviço de acordo com os preços do Amazon Detective e os preços do Amazon Security Lake. Além disso, você incorrerá em cobranças a cada consulta usando o Amazon Athena, e haverá cobranças pelos serviços adicionais da AWS implantados em sua conta para o suporte à integração. Você pode usar a calculadora de preços da AWS para estimar o custo total da integração dos dois serviços.

Sim. Você precisará executar o modelo do Amazon CloudFormation em cada região da AWS em que deseja integrar o Amazon Detective com o Amazon Security Lake. 

Amazon Detective para Amazon Elastic Kubernetes Service (Amazon EKS)

Amazon Detective para Amazon Elastic Kubernetes Service (Amazon EKS)

Após ser ativado, o Amazon Detective analisa e correlaciona automaticamente e continuamente as atividades de usuário, rede e configuração em suas workloads do Amazon EKS. O Amazon Detective ingere automaticamente os logs de auditoria do Amazon EKS e correlaciona as atividades do usuário com os eventos do AWS CloudTrail Management e a atividade da rede com os logs do Amazon VPC Flow sem a necessidade de habilitar ou armazenar esses logs manualmente. O serviço extrai as principais informações de segurança desses logs e as retém em um banco de dados de grafos comportamental de segurança, que permite acesso rápido com referência cruzada a 12 meses de atividade. O Amazon Detective oferece uma camada de análise e visualização de dados para ajudar a responder a perguntas comuns de segurança, respaldadas por um banco de dados de grafos comportamental que permite investigar mais rapidamente possíveis comportamentos maliciosos associados às suas workloads do Amazon EKS.

Por padrão, o log de auditoria do Amazon EKS é ativado como fonte de dados para as contas que usam o Detective. Talvez seja necessário habilitar essa fonte de dados se você estiver usando o Detective antes do lançamento do suporte aos logs de auditoria do EKS. Você pode seguir as etapas listadas nos logs de auditoria do Amazon EKS para o Detective no Guia administrativo para confirmar as fontes de dados do Detective. Essa fonte de dados deve ser habilitada para cada região em que você planeja usar o Detective.

O consumo de logs de auditoria do Amazon EKS pelo Amazon Detective foi projetado para não afetar a performance de suas workloads do Amazon EKS, pois o Amazon Detective consome os logs de auditoria usando fluxos de logs de auditoria independentes e duplicados. Dessa forma, o consumo do Amazon Detective de seus logs de auditoria do Amazon EKS não aumentará seus custos de uso do Amazon EKS.

O consumo de logs de auditoria do Amazon EKS pelo Amazon Detective é cobrado com base no volume de logs de auditoria processados ​​e analisados pelo Amazon Detective. O Amazon Detective oferece uma avaliação gratuita de 30 dias para todos os clientes que habilitam a cobertura do Amazon EKS, permitindo que os clientes garantam que os recursos do Amazon Detective atendam às suas necessidades de segurança e obtenham uma estimativa do custo mensal do serviço antes de se comprometerem com o uso pago.

Atualmente, esse recurso oferece suporte a implantações do Amazon EKS executadas em instâncias do EC2 em sua conta da AWS. O Detective também fornece suporte para o Amazon GuardDuty EKS Runtime Monitoring e o ECS Runtime Monitoring (que inclui o monitoramento do Amazon ECS no Fargate). Esse recurso não fornece visibilidade de Kubernetes não gerenciados no EC2 ou no ES Anywhere.