BlogTécnico

Conheça o Amazon Detective

O Amazon Detective facilita a análise, a investigação e a identificação rápidas da causa raiz de potenciais problemas de segurança ou atividades suspeitas.

O Amazon Detective coleta automaticamente dados de log de seus recursos da AWS e usa machine learning, análise estatística e teoria dos gráficos para criar um conjunto de dados vinculados que permite realizar facilmente investigações de segurança mais rápidas e eficientes.

Serviços de segurança da AWS, como Amazon GuardDuty, Amazon Macie e AWS Security Hub, bem como produtos de segurança de parceiros, podem ser usados para identificar possíveis problemas ou descobertas de segurança. Esses serviços são realmente úteis para alertar quando algo está errado e apontar o caminho para a correção.

Porém, algumas vezes pode haver uma descoberta de segurança em que você precisa se aprofundar mais e analisar mais informações para isolar a causa raiz e tomar uma medida.

Determinar a causa raiz das descobertas de segurança pode ser um processo complexo que geralmente envolve a coleta e a combinação de logs de muitas fontes de dados separadas, usando ferramentas de extração, transformação e carregamento (ETL) ou scripts personalizados para organizar os dados. Em seguida, os analistas de segurança precisam analisar os dados e conduzir longas investigações.

O Amazon Detective simplifica esse processo, permitindo que suas equipes de segurança investiguem facilmente e cheguem rapidamente à causa-raiz de uma descoberta.

O Amazon Detective pode analisar trilhões de eventos de várias fontes de dados, como logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC), logs do AWS CloudTrail, logs de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS) e descobertas do Amazon GuardDuty, e criar automaticamente uma visualização interativa e unificada de seus recursos, usuários e interações entre eles ao longo do tempo.

Com essa visualização unificada, você pode ver todos os detalhes e o contexto em um único local para identificar os motivos subjacentes das descobertas, detalhar as atividades históricas relevantes e determinar rapidamente a causa-raiz.

Você pode começar a usar o Amazon Detective com apenas alguns cliques no Console AWS. Não há software para implantar ou fontes de dados para habilitar e manter.

Benefícios

Investigações mais rápidas e eficazes

O Amazon Detective apresenta uma visão unificada das interações de usuários e recursos ao longo do tempo, com todo o contexto e detalhes em um único local para ajudá-lo a analisar rapidamente e chegar à causa raiz de uma descoberta de segurança.

Por exemplo, uma descoberta do Amazon GuardDuty, como uma chamada incomum da API Console Login, pode ser rapidamente investigada no Amazon Detective com detalhes sobre as tendências de chamadas da API ao longo do tempo e tentativas de logon do usuário em um mapa de localização geográfica.

Esses detalhes permitem identificar rapidamente se você considera as tentativas legítimas ou um indício de um recurso da AWS comprometido.

Economize tempo e esforço com atualizações contínuas de dados

O Amazon Detective processa automaticamente terabytes de registros de dados de eventos sobre tráfego IP, operações de gerenciamento da AWS e atividades maliciosas ou não autorizadas.

Ele organiza os dados em um modelo gráfico que resume todos os relacionamentos relacionados à segurança em seu ambiente da AWS.

O Amazon Detective então consulta esse modelo para criar as visualizações usadas nas investigações. O modelo gráfico é atualizado continuamente à medida que novos dados são disponibilizados pelos recursos da AWS, para que você gaste menos tempo gerenciando dados em constante mudança.

Visualizações fáceis de usar

O Amazon Detective produz visualizações com as informações necessárias para investigar e responder a descobertas de segurança.

Isso ajuda você a responder perguntas como “é normal que essa função tenha tantas chamadas de API com falha?” ou “esse aumento no tráfego dessa instância é esperado?” em ter que organizar nenhum dado ou desenvolver, configurar ou ajustar suas próprias consultas e algoritmos.

O Amazon Detective mantém até um ano de dados agregados que mostram alterações no tipo e no volume de atividades em uma janela de tempo selecionada e vincula essas alterações às descobertas de segurança.

Casos de uso do Amazon Detective

Faça a triagem das descobertas de segurança

A triagem geralmente é a primeira fase do processo de investigação usada para decidir se a descoberta é um problema de segurança real ou um falso positivo.

Usando as visualizações do Amazon Detective, você pode ver quais recursos, endereços IP e contas da AWS estão conectados a essa descoberta, as descobertas relacionadas e as atividades que ocorreram perto do horário ou do local dessa descoberta a fim de determinar rapidamente se a descoberta é uma atividade maliciosa real ou um falso positivo.

Investigação de incidentes

Algumas descobertas de segurança exigem uma investigação aprofundada para determinar a extensão da atividade maliciosa, o impacto dela e a causa subjacente.

Quando as descobertas são identificadas pelos serviços de segurança da AWS, como o Amazon GuardDuty, você pode acessar o Amazon Detective e ver imediatamente o contexto e a atividade relacionados à descoberta, pesquisar atividades históricas relevantes para identificar padrões incomuns e determinar rapidamente a natureza e a extensão da causa raiz, além da atividade que contribuiu para a descoberta.

Caça às ameaças

A caça às ameaças é uma análise proativa para descobrir ameaças ocultas com base em certas pistas ou hipóteses. O Amazon Detective ajuda na caça |às ameaças, permitindo que você se concentre em recursos específicos como endereços IP, contas da AWS, VPC e instâncias do EC2, além de fornecer visualizações detalhadas das atividades associadas a esses recursos.

O Amazon Detective ajuda no processo de caça, fornecendo análises baseadas no tempo e a capacidade de detalhar, ver todas as atividades durante um período de tempo específico e identificar mudanças na norma.

Fique por dentro das tendências e inovações educacionais aqui no blog da ITExperts!

Originalmente publicado em: https://aws.amazon.com/pt/detective/?nc2=h_ql_prod_se_ad

Conheça ITExperts e nossas soluções em cloud para Educação.

Solução em infraestrutura educacional.

Mantenha-se atualizado

Leia também

BlogNoticias

A COMPUTAÇÃO EM NUVEM JÁ FAZ PARTE DO SEU DIA A DIA

Quero saber mais
BlogTecnologia e Educação

Escola na nuvem para professores

Quero saber mais
BlogNoticias

Novo mecanismo generativo AWS

Quero saber mais
Abra o chat
Olá, gostaria de um atendimento?
Olá! No que podemos te ajudar?