Preguntas frecuentes sobre HAQM Detective

HAQM Detective se puede activar con unos pocos clics en la consola de administración de AWS. Una vez habilitado, HAQM Detective organiza automáticamente los datos en un modelo gráfico y este se actualiza continuamente a medida que hay nuevos datos disponibles. Puede probar HAQM Detective y comenzar a investigar posibles problemas de seguridad.

Puede habilitar HAQM Detective desde la consola de administración de AWS o mediante la API de HAQM Detective. Si ya está utilizando las consolas de HAQM GuardDuty o AWS Security Hub, debe habilitar HAQM Detective con la misma cuenta administrativa de HAQM GuardDuty o AWS Security Hub para habilitar la mejor experiencia entre servicios.

Sí, HAQM Detective es un servicio de varias cuentas que incorpora datos de las cuentas miembro monitoreadas en una sola cuenta administrativa dentro de la misma región. Puede configurar implementaciones de monitoreo de varias cuentas de la misma forma que configura las cuentas administrativas y cuentas miembro en HAQM GuardDuty y AWS Security Hub.

Sí, puede utilizar HAQM Detective si no tiene HAQM GuardDuty activado en la cuenta. Puede utilizar HAQM Detective para obtener resúmenes detallados, análisis y visualizaciones de los comportamientos e interacciones entre sus cuentas de AWS, instancias EC2, usuarios de AWS, roles y direcciones IP. Esta información puede ser muy útil para comprender los problemas de seguridad o la actividad de la cuenta operativa. HAQM GuardDuty es un servicio incluido en la Guía prescriptiva: Arquitectura de referencia de seguridad de AWS (AWS SRA) como parte de las “Pautas clave de implementación de AWS SRA”.

HAQM Detective comienza a recopilar datos de registro en el momento en que se habilita y proporciona resúmenes visuales y análisis de los datos incorporados. HAQM Detective también proporciona comparaciones entre la actividad reciente y las bases de referencia históricas que se establecen después de dos semanas de monitoreo de la cuenta.

Sí, puede exportar los registros de AWS CloudTrail y los registros de flujo de HAQM VPC mediante una integración con HAQM Security Lake. Puedes ver cómo funciona la integración en la sección “HAQM Detective para HAQM Security Lake”.

HAQM Detective no tiene ningún impacto en el rendimiento o la disponibilidad de su infraestructura de AWS, ya que HAQM Detective recupera los datos de registro y los hallazgos directamente de los servicios de AWS.

HAQM GuardDuty es un servicio de detección de amenazas que monitorea de manera continua para detectar actividades maliciosas y comportamientos no autorizados con el fin de proteger sus cargas de trabajo y cuentas de AWS. Con AWS Security Hub, dispone de un único lugar donde se incorporan, organizan y priorizan las alertas de seguridad, o los hallazgos, de múltiples servicios de AWS, como HAQM GuardDuty, HAQM Inspector y HAQM Macie, así como los de las soluciones de socios de AWS. HAQM Detective simplifica el proceso de investigación de los resultados de seguridad y de identificación de la causa raíz. HAQM Detective analiza billones de eventos de múltiples orígenes de datos, como los registros de flujo de HAQM VPC, los registros de AWS CloudTrail, los registros de auditoría de HAQM EKS, los resultados enviados desde servicios de AWS integrados a AWS Security Hub y los resultados de HAQM GuardDuty, además de crear de manera automática un modelo gráfico que ofrece una visión unificada e interactiva de los recursos, los usuarios y las interacciones entre ellos a lo largo del tiempo.

HAQM Detective le permite analizar y visualizar datos de seguridad de los registros de AWS CloudTrail, los registros de flujo de HAQM VPC, los registros de auditoría de HAQM EKS, los resultados enviados desde servicios de AWS integrados a AWS Security Hub y los resultados de HAQM GuardDuty. Para que HAQM Detective deje de analizar estos registros y resultados en sus cuentas, desactive el servicio con la API o desde la sección de configuración de la Consola de AWS para HAQM Detective.

HAQM Detective admite flujos de trabajo de usuarios entre servicios, ya que admite las integraciones de la consola a HAQM GuardDuty, AWS Security Hub y HAQM Security Lake. GuardDuty y Security Hub ofrecen enlaces desde sus consolas que lo redirigen desde un resultado seleccionado de forma directa a una página de HAQM Detective que contiene un conjunto de visualizaciones seleccionadas con el fin de investigar dicho resultado. HAQM Detective proporciona consultas prediseñadas basadas en sus investigaciones que pueden consultar y descargar archivos de registro de HAQM Security Lake. La página de detalles de los resultados en HAQM Detective ya está alineada con el marco temporal del resultado y muestra los datos relevantes asociados con dicho resultado.

Varios proveedores de soluciones de seguridad de los socios se han integrado a HAQM Detective para permitir que haya pasos de investigación dentro de sus organizaciones y guías automatizadas. Estos productos presentan enlaces desde los flujos de trabajo de respuesta que redirigen a los usuarios a las páginas de HAQM Detective que contienen visualizaciones seleccionadas para investigar los resultados y los recursos identificados dentro del flujo de trabajo.

Una vez habilitado, HAQM Detective analiza y correlaciona de forma automática y continua la actividad de los usuarios, la red y la configuración para los servicios de AWS integrados con AWS Security Hub. HAQM Detective ingiere automáticamente los resultados de seguridad reenviados desde los servicios de seguridad de AWS a AWS Security Hub a través del origen de datos opcional denominado AWS Security Findings.

De forma predeterminada, los resultados de seguridad de AWS están habilitados como origen de datos para las cuentas nuevas que utilizan Detective. Es posible que deba habilitar este origen de datos si utilizaba Detective antes de que fuera compatible con los resultados de seguridad de AWS. Puede seguir los pasos que se enumeran en Resultados de seguridad de AWS de la Guía administrativa para confirmar los orígenes de datos de Detective. Este origen de datos debe estar habilitado para cada región en la que vaya a utilizar Detective.

El uso de HAQM Detective de resultados de seguridad de AWS está diseñado para no afectar al rendimiento de sus servicios de seguridad de AWS, ya que HAQM Detective consume los resultados de seguridad mediante secuencias de registro independientes y duplicadas. De esta manera, el uso por parte de HAQM Detective de los resultados de seguridad de AWS no aumentará los costos de uso de AWS Security Hub ni de ningún servicio de seguridad integrado de AWS.

El precio del consumo de resultados de seguridad de AWS por parte de HAQM Detective se basa en el volumen de resultados procesados y analizados por HAQM Detective. HAQM Detective ofrece una prueba gratuita de 30 días a todos los clientes que habilitan los resultados de seguridad de AWS, lo que les permite asegurarse de que las funciones de HAQM Detective satisfacen sus necesidades de seguridad y obtener una estimación del costo mensual del servicio antes de comprometerse a un uso de pago.

No, HAQM Detective solo cobrará una vez por los resultados enviados desde cada servicio. 

Tras integrar los dos servicios, HAQM Detective puede consultar y recuperar los registros de AWS CloudTrail y los registros de flujo de HAQM Virtual Private Cloud (HAQM VPC) de HAQM Security Lake para sus investigaciones de seguridad. Puede utilizar esta integración para iniciar sus investigaciones en HAQM Detective y obtener una vista previa o descargar registros específicos de AWS CloudTrail o registros de flujo de HAQM VPC si necesita información adicional almacenada en los registros. Por ejemplo, si está investigando actividades sospechosas de un usuario de IAM durante las últimas 24 horas, puede utilizar HAQM Detective para obtener un resumen de los servicios con los que ha interactuado el usuario de IAM en el panel de métodos de la API. Si observa interacciones con los servicios que representen un posible problema de seguridad, como llamadas a la API para describir roles, puede descargar los registros de AWS CloudTrail para ese usuario de IAM. HAQM Detective proporcionará una consulta SQL prediseñada con HAQM Athena en función de la hora y la entidad (las últimas 24 horas para el usuario de IAM) objeto de investigación, lo que facilitará la consulta y la recuperación de registros. Esta integración le ayuda a ahorrar tiempo al eliminar la necesidad de crear la consulta SQL desde cero, y puede obtener una vista previa de los resultados y descargarlos sin tener que salir de la consola de HAQM Detective.

Para habilitar la integración entre los dos servicios, tendrá que ejecutar una plantilla de HAQM CloudFormation. Esta plantilla crea un cuenta de suscriptor con permisos suficientes para consultar y consumir registros de HAQM Security Lake e implementa servicios de AWS adicionales en su cuenta que se utilizan para consultar y descargar registros. Puede revisar lo que implementa la plantilla de HAQM CloudFormation en la Guía del usuario de HAQM Detective.

Se le cobrará por cada servicio de acuerdo con los precios de HAQM Detective y HAQM Security Lake. Además, se le cobrarán cargos por cada consulta que utilice HAQM Athena y se cobrarán por los servicios adicionales de AWS implementados en su cuenta para respaldar la integración. Puede utilizar la calculadora de precios de AWS para estimar el costo total de la integración de los dos servicios.

Sí. Deberá ejecutar la plantilla de HAQM CloudFormation en cada región de AWS en la que desee integrar HAQM Detective con HAQM Security Lake. 

HAQM Detective para HAQM Elastic Kubernetes Service (HAQM EKS)

Una vez habilitado, HAQM Detective analiza y correlaciona de forma automática y continua la actividad de los usuarios, la red y la configuración en las cargas de trabajo de HAQM EKS. HAQM Detective incorpora automáticamente los registros de auditoría de HAQM EKS y correlaciona las actividades de los usuarios con los eventos de administración de AWS CloudTrail y la actividad de la red con los registros de flujo de HAQM VPC sin necesidad de habilitar ni almacenar estos registros manualmente. El servicio extrae información de seguridad clave de estos registros y los retiene en una base de datos de grafos de comportamiento de seguridad que permite un rápido acceso cruzado a doce meses de actividad. HAQM Detective proporciona una capa de análisis y visualización de datos para ayudar a responder a las preguntas de seguridad más comunes con el respaldo de una base de datos de grafos de comportamiento que permite investigar más rápidamente los posibles comportamientos maliciosos asociados a las cargas de trabajo de HAQM EKS.

De forma predeterminada, el registro de auditoría de HAQM EKS está habilitado como origen de datos para las cuentas que utilizan Detective. Es posible que deba habilitar este origen de datos si utilizaba Detective antes de que se fuera compatible con los registros de auditoría de EKS. Puede seguir los pasos que figuran en los registros de auditoría de HAQM EKS para Detective de la Guía administrativa para confirmar los orígenes de datos de Detective. Este origen de datos debe estar habilitado para cada región en la que vaya a utilizar Detective.

El consumo de HAQM Detective de los registros de auditoría de HAQM EKS está diseñado para no afectar al rendimiento de las cargas de trabajo de HAQM EKS, ya que HAQM Detective consume los registros de auditoría mediante secuencias de registros de auditoría independientes y duplicadas. De este modo, el uso de los registros de auditoría de HAQM EKS por parte de HAQM Detective no aumentará los costos por el uso de HAQM EKS.

El consumo de registros de auditoría de HAQM EKS por parte de HAQM Detective tiene un precio basado en el volumen de registros de auditoría procesados y analizados por HAQM Detective. HAQM Detective ofrece una prueba gratuita de 30 días a todos los clientes que habilitan la cobertura de HAQM EKS, lo que les permite asegurarse de que las características de HAQM Detective satisfacen sus necesidades de seguridad y obtener una estimación del costo mensual del servicio antes de comprometerse a un uso pago.

Actualmente, esta funcionalidad admite implementaciones de HAQM EKS que se ejecutan en instancias EC2 de una cuenta de AWS. Detective también es compatible con la supervisión en tiempo de ejecución de EKS para HAQM GuardDuty y la supervisión en tiempo de ejecución de ECS (que incluye la supervisión de HAQM ECS en Fargate). Esta capacidad no proporciona visibilidad de Kubernetes no administrados en EC2 o ES Anywhere.