HAQM Detective FAQs

HAQM Detective wird nur mithilfe weniger Mausklicks in der AWS-Managementkonsole aktiviert. Wenn HAQM Detective einmal aktiviert ist, organisiert es automatisch Daten und ordnet sie in einem Graphenmodell an. Dieses Modell wird kontinuierlich aktualisiert und erweitert, je mehr neue Daten erfasst werden. Sie können HAQM Detective kennenlernen und sofort nach potenziellen Sicherheitsproblemen suchen.

Sie können HAQM Detective über die AWS Management Console oder über die HAQM Detective-API aktivieren. Wenn Sie bereits die HAQM GuardDuty- oder AWS Security Hub-Konsolen verwenden, sollten Sie HAQM Detective mit demselben Konto aktivieren, das auch das Administratorkonto in HAQM GuardDuty oder AWS Security Hub ist, um die bestmögliche dienstübergreifende Benutzererfahrung zu erzielen.

Ja, HAQM Detective ist ein Dienst für mehrere Konten, der Daten von überwachten Mitgliedskonten unter einem einzigen administrativen Konto in derselben Region zusammenfasst. Sie können Überwachungsbereitstellungen für mehrere Konten auf dieselbe Weise konfigurieren wie administrativen und Mitgliedskonten in HAQM GuardDuty und AWS Security Hub.

Ja, Sie können HAQM Detective verwenden, wenn HAQM GuardDuty im Konto nicht aktiviert ist. Mit HAQM Detective können Sie detaillierte Zusammenfassungen, Analysen und Visualisierungen der Verhaltensweisen und Interaktionen zwischen Ihren AWS-Konten, EC2-Instances, AWS-Benutzern, Rollen und IP-Adressen erhalten. Diese Informationen können auch sehr nützlich sein, um Sicherheitsprobleme oder die betriebliche Kontoaktivität zu verstehen. HAQM GuardDuty ist ein Service im Rahmen der Prescriptive Guidance – AWS Security Reference Architecture (SRA) als Teil der „Wichtige Implementierungsrichtlinien des AWS SRA“.

HAQM Detective beginnt mit der Erfassung von Logdaten, sobald es aktiviert ist, und bietet visuelle Zusammenfassungen und Analysen der empfangenen Daten. HAQM Detective bietet auch Vergleiche der jüngsten Aktivitäten mit historischen Basisdaten, die nach zweiwöchiger Kontoüberwachung erstellt wurden.

Ja, Sie können AWS-CloudTrail-Protokolle und HAQM VPC Flow Logs mithilfe einer Integration mit HAQM Security Lake exportieren. Sie können im Abschnitt „HAQM Detective für HAQM Security Lake“ nachlesen, wie die Integration funktioniert.

HAQM Detective hat keinen Einfluss auf die Leistung oder Verfügbarkeit Ihrer AWS-Infrastruktur, da HAQM Detective die Protokolldaten und -ergebnisse direkt von den AWS-Diensten abruft.

HAQM GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads kontinuierlich auf böswilliges und unbefugtes Verhalten überwacht und dadurch schützt. Mit AWS Security Hub können Sie Ihre Sicherheitsmeldungen und Ergebnisse aus mehreren AWS-Services wie HAQM GuardDuty, HAQM Inspector und HAQM Macie sowie von AWS Partner-Lösungen an einem zentralen Ort aggregieren, organisieren und priorisieren. HAQM Detective vereinfacht den Prozess der Untersuchung von Sicherheitserkenntnissen und der Ermittlung der Ursache. HAQM Detective analysiert Billionen von Ereignissen aus mehreren Datenquellen, z. B. aus HAQM-VPC-Flow-Protokollen, AWS-CloudTrail-Protokollen, HAQM-EKS-Prüfungsprotokollen, von integrierten AWS-Services an AWS Security Hub gesendeten Erkenntnissen und HAQM-GuardDuty-Erkenntnissen und erstellt automatisch ein Diagramm-Modell, das Ihnen eine einheitliche, interaktive Ansicht Ihrer Ressourcen, Benutzer und der Interaktionen zwischen diesen über einen Zeitraum bietet.

Mit HAQM Detective können Sie Sicherheitsdaten aus Ihren AWS-CloudTrail-Protokollen, HAQM-VPC-Flow-Protokollen, HAQM-EKS-Prüfungsprotokollen, von integrierten AWS-Services an AWS Security Hub gesendeten Erkenntnissen und HAQM-GuardDuty-Erkenntnissen analysieren und visualisieren. Um zu verhindern, dass HAQM Detective diese Protokolle und Erkenntnisse für Ihre Konten analysiert, deaktivieren Sie den Service mithilfe der API oder im Bereich Einstellungen in der AWS-Konsole für HAQM Detective.

HAQM Detective unterstützt dienstübergreifende Benutzerworkflows, indem Konsolenintegrationen mit HAQM GuardDuty, AWS Security Hub und HAQM Security Lake unterstützt werden. GuardDuty und Security Hub stellen Links von ihren Konsolen aus bereit, die Sie von einem ausgewählten Befund direkt zu einer HAQM-Detective-Seite weiterleiten, die eine Sammlung von Visualisierungen zur Untersuchung des ausgewählten Befunden enthält. HAQM Detective bietet auf der Grundlage Ihrer Untersuchungen vorgefertigte Abfragen, mit denen Protokolldateien von HAQM Security Lake abgefragt und heruntergeladen werden können. Die Befunddetailseite in HAQM Detective ist bereits auf den Zeitrahmen des Befundes ausgerichtet und zeigt relevante Daten für den Befund an.

Verschiedene Anbieter von Partner-Sicherheitslösungen haben HAQM Detective integriert, um Untersuchungsschritte in ihren automatisierten Playbooks und Orchestrierungen zu ermöglichen. Diese Produkte enthalten Links aus den Antwortworkflows, über die Benutzer zu HAQM-Detective-Seiten mit Visualisierungen weitergeleitet werden, die zur Untersuchung der im Workflow identifizierten Erkenntnissen und Ressourcen erstellt wurden.

Nach der Aktivierung analysiert und korreliert HAQM Detective automatisch und kontinuierlich Benutzer-, Netzwerk- und Konfigurationsaktivitäten für AWS-Services, die in AWS Security Hub integriert sind. HAQM Detective erfasst automatisch Sicherheitserkenntnisse, die von den AWS-Sicherheitsservices über die optionale Datenquelle „AWS-Sicherheitserkenntnisse“ an den AWS Security Hub weitergeleitet werden.

Standardmäßig sind AWS-Sicherheitsfeststellungen als Datenquelle für neue Konten aktiviert, die Detective verwenden. Möglicherweise müssen Sie diese Datenquelle aktivieren, wenn Sie Detective verwendet haben, bevor der Support für AWS-Sicherheitsergebnisse veröffentlicht wurde. Sie können die in den AWS-Sicherheitsergebnissen im Administrationshandbuch aufgeführten Schritte befolgen, um die Datenquellen für Detective zu bestätigen. Diese Datenquelle sollte für jede Region aktiviert sein, in der Sie Detective verwenden möchten.

HAQM Detective verbraucht die AWS-Sicherheitserkenntnisse so, dass die Leistung Ihrer AWS-Sicherheitsservices nicht beeinträchtigt wird, da HAQM Detective die Sicherheitserkenntnisse mithilfe unabhängiger und doppelter Protokollstreams verarbeitet. Auf diese Weise erhöht der Verbrauch Ihrer AWS-Sicherheitserkenntnisse durch HAQM Detective Ihre Kosten für die Nutzung von AWS Security Hub oder eines integrierten AWS-Sicherheitsservices nicht.

Der Preis für den Verbrauch von AWS-Sicherheitserkenntnissen durch HAQM Detective basiert auf der Menge der von HAQM Detective verarbeiteten und analysierten Erkenntnisse. HAQM Detective bietet allen Kunden, die AWS-Sicherheitserkenntnisse nutzen, eine kostenlose 30-Tage-Testversion. So können Kunden sicherstellen, dass die Funktionen von HAQM Detective ihren Sicherheitsanforderungen entsprechen, und eine Schätzung der monatlichen Kosten des Services erhalten, bevor sie sich für die kostenpflichtige Nutzung entscheiden.

Nein, HAQM Detective berechnet für die von jedem Service gesendeten Erkenntnisse nur einmal eine Gebühr. 

Nach der Integration der beiden Services kann HAQM Detective AWS-CloudTrail-Protokolle und HAQM Virtual Private Cloud (HAQM VPC) Flow Logs von HAQM Security Lake für Ihre Sicherheitsuntersuchungen abfragen und abrufen. Sie können diese Integration verwenden, um Ihre Untersuchungen in HAQM Detective zu starten und bestimmte AWS-CloudTrail-Protokolle oder HAQM VPC Flow Logs in der Vorschau anzuzeigen oder herunterzuladen, falls Sie zusätzliche Informationen benötigen, die in den Protokollen gespeichert werden. Wenn Sie beispielsweise verdächtige Aktivitäten eines IAM-Benutzers in den letzten 24 Stunden untersuchen, können Sie HAQM Detective verwenden, um im API-Methodenbereich eine Zusammenfassung der Dienste abzurufen, mit denen der IAM-Benutzer interagiert hat. Wenn Sie Interaktionen mit Diensten beobachten, die ein potenzielles Sicherheitsproblem darstellen, wie API-Aufrufe zur Beschreibung von Rollen, können Sie AWS-CloudTrail-Protokolle für diesen IAM-Benutzer herunterladen. HAQM Detective stellt mithilfe von HAQM Athena eine vorgefertigte SQL-Abfrage bereit, die auf die zu untersuchende Zeit und Entität (die letzten 24 Stunden für den IAM-Benutzer) zugeschnitten ist, was Ihre Anfrage und das Abrufen von Protokollen erleichtert. Diese Integration hilft Ihnen, Zeit zu sparen, da Sie die SQL-Abfrage nicht von Grund auf neu erstellen müssen. Sie können die Ergebnisse in der Vorschau anzeigen und herunterladen, ohne die HAQM Detective-Konsole verlassen zu müssen.

Um die Integration zwischen den beiden Services zu aktivieren, müssen Sie eine HAQM-CloudFormation-Vorlage ausführen. Diese Vorlage erstellt ein Abonnentenkonto mit ausreichenden Berechtigungen zum Abfragen und Verwenden von Protokollen von HAQM Security Lake und stellt zusätzliche AWS-Services in Ihrem Konto bereit, die zum Abfragen und Herunterladen von Protokollen verwendet werden. Sie können im HAQM-Detective-Benutzerhandbuch nachlesen, was die HAQM-CloudFormation-Vorlage bereitstellt.

Jeder Service wird Ihnen gemäß den HAQM-Detective-Preisen und HAQM-Security-Lake-Preisen in Rechnung gestellt. Darüber hinaus fallen Gebühren für jede Abfrage über HAQM Athena an, und es fallen Gebühren für die zusätzlichen AWS-Services an, die in Ihrem Konto zur Unterstützung der Integration bereitgestellt werden. Sie können den AWS Pricing Calculator verwenden, um die Gesamtkosten für die Integration der beiden Services abzuschätzen.

Ja. Sie müssen die HAQM-CloudFormation-Vorlage in jeder AWS-Region ausführen, in der Sie HAQM Detective in HAQM Security Lake integrieren möchten. 

HAQM Detective für HAQM Elastic Kubernetes Service (HAQM EKS)

Nach der Aktivierung analysiert und korreliert HAQM Detective automatisch und kontinuierlich die Benutzer-, Netzwerk- und Konfigurationsaktivitäten in Ihren HAQM-EKS-Workloads. HAQM Detective nimmt automatisch HAQM-EKS-Audit-Protokolle auf und korreliert Benutzeraktivitäten mit AWS-CloudTrail-Management-Ereignissen und Netzwerkaktivitäten mit HAQM-VPC-Flow-Protokollen, ohne dass Sie diese Protokolle manuell aktivieren oder speichern müssen. Der Service extrahiert wichtige Sicherheitsinformationen aus diesen Protokollen und speichert sie in einer Datenbank mit Sicherheitsverhaltensgraphen, die einen schnellen Zugriff auf zwölf Monate Aktivität mit Querverweisen ermöglicht. HAQM Detective bietet eine Datenanalyse- und Visualisierungsebene, die Ihnen bei der Beantwortung gängiger Sicherheitsfragen hilft. Unterstützt wird dies durch eine Verhaltens-Graphdatenbank, mit der Sie potenziell bösartiges Verhalten im Zusammenhang mit Ihren HAQM-EKS-Workloads schneller untersuchen können.

Standardmäßig ist die HAQM-EKS-Auditprotokollierung als Datenquelle für Konten aktiviert, die Detective verwenden. Möglicherweise müssen Sie diese Datenquelle aktivieren, wenn Sie Detective verwendet haben, bevor die Unterstützung für EKS-Auditprotokolle veröffentlicht wurde. Sie können die in den HAQM-EKS-Auditprotokollen für Detective im Verwaltungshandbuch aufgeführten Schritte befolgen, um die Datenquellen für Detective zu bestätigen. Diese Datenquelle sollte für jede Region aktiviert sein, in der Sie Detective verwenden möchten.

Die Nutzung der HAQM-EKS-Auditprotokolle durch HAQM Detective ist so konzipiert, dass die Leistung Ihrer HAQM-EKS-Workloads nicht beeinträchtigt wird, da HAQM Detective die Audit-Protokolle mithilfe unabhängiger und doppelter Audit-Protokollströme nutzt. Auf diese Weise wird der Verbrauch Ihrer HAQM-EKS-Prüfprotokolle durch HAQM Detective Ihre Kosten für die Nutzung von HAQM EKS nicht erhöhen.

Der Preis für den Verbrauch von HAQM-EKS-Audit-Protokollen durch HAQM Detective richtet sich nach dem Volumen der von HAQM Detective verarbeiteten und analysierten Audit-Protokolle. HAQM Detective bietet allen Kunden, die die HAQM-EKS-Abdeckung aktivieren, eine kostenlose 30-tägige Testphase an. So können die Kunden sicherstellen, dass die Funktionen von HAQM Detective ihren Sicherheitsanforderungen entsprechen und eine Einschätzung der monatlichen Kosten für den Service erhalten, bevor sie sich für eine kostenpflichtige Nutzung entscheiden.

Derzeit unterstützt diese Funktion HAQM-EKS-Bereitstellungen, die auf EC2-Instances in Ihrem AWS-Konto ausgeführt werden. Detective bietet auch Unterstützung für HAQM GuardDuty EKS Runtime Monitoring und ECS Runtime Monitoring (einschließlich der Überwachung von HAQM ECS auf Fargate). Diese Funktion bietet keinen Einblick in nicht verwaltete Kubernetes in EC2 oder ES Anywhere.