Questions fréquentes (FAQ) sur HAQM Detective

HAQM Detective peut être activé en quelques clics dans AWS Management Console. Une fois activé, HAQM Detective organise automatiquement les données dans un modèle graphique. Celui-ci est continuellement mis à jour à mesure que de nouvelles données deviennent disponibles. Vous pouvez découvrir HAQM Detective et commencer à enquêter sur les problèmes de sécurité potentiels.

Vous pouvez activer HAQM Detective à partir d'AWS Management Console ou en utilisant l'API HAQM Detective. Si vous utilisez déjà les consoles HAQM GuardDuty ou AWS Security Hub, vous devez activer HAQM Detective avec le même compte qui est le compte administrateur dans HAQM GuardDuty ou AWS Security Hub pour permettre la meilleure expérience inter-services.

Oui, HAQM Detective est un service multi-compte qui regroupe les données des comptes membres surveillés dans un seul compte administrateur dans la même région. Vous pouvez configurer des déploiements de surveillance multi-compte de la même manière que vous configurez les comptes administrateurs et membres dans HAQM GuardDuty et AWS Security Hub.

Oui, vous pouvez utiliser HAQM Detective si HAQM GuardDuty n'est pas activé sur votre compte. Vous pouvez utiliser HAQM Detective pour obtenir des résumés détaillés, des analyses et des visualisations des comportements et des interactions entre vos comptes AWS, vos instances EC2, vos utilisateurs AWS, vos rôles et vos adresses IP. Ces informations peuvent être très utiles pour comprendre les problèmes de sécurité ou l'activité du compte opérationnel. HAQM GuardDuty est un service figurant dans le Guide prescriptif - Architecture de référence de sécurité AWS (SRA) dans le cadre des « Principales directives de mise en œuvre de l'AWS SRA ».

HAQM Detective commence à collecter les données de journal dès qu'il est activé et fournit des résumés graphiques et des analyses sur les données ingérées. HAQM Detective fournit également des comparaisons des activités récentes avec les références d'historique établies après deux semaines de surveillance des comptes.

Oui, vous pouvez exporter les journaux AWS CloudTrail et les journaux de flux HAQM VPC à l'aide d'une intégration avec HAQM Security Lake. Vous pouvez consulter le fonctionnement de l'intégration dans la section « HAQM Detective pour HAQM Security Lake ».

HAQM Detective n'a aucun impact sur les performances ou la disponibilité de votre infrastructure AWS, car il récupère les données de journal et les résultats directement à partir des services AWS.

HAQM GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés pour protéger vos comptes AWS et vos charges de travail. Avec AWS Security Hub, vous disposez d'un emplacement unique qui regroupe, organise et hiérarchise vos alertes de sécurité ou vos résultats à partir de plusieurs services AWS, notamment HAQM GuardDuty, HAQM Inspector et HAQM Macie, ainsi que des solutions de partenaires AWS. HAQM Detective simplifie le processus d'investigation des résultats de sécurité et d'identification de la cause racine. HAQM Detective analyse des milliards d'événements de plusieurs sources de données comme les journaux de flux HAQM VPC, les journaux AWS CloudTrail, les journaux d'audit HAQM EKS, les résultats envoyés depuis les services AWS intégrés à AWS Security Hub et les résultats d'HAQM GuardDuty. Par ailleurs, la solution crée automatiquement un modèle graphique qui vous offre une vue unifiée et interactive de vos ressources, de vos utilisateurs et des interactions mutuelles au fil du temps.

HAQM Detective vous permet d'analyser et de visualiser les données de sécurité de vos journaux AWS CloudTrail, journaux de flux HAQM VPC, journaux d'audit HAQM EKS, les résultats envoyés depuis les services AWS intégrés à AWS Security Hub et résultats HAQM GuardDuty. Pour empêcher HAQM Detective d'analyser ces journaux et résultats pour vos comptes, désactivez le service à l'aide de l'API ou de la section des paramètres dans la console AWS d'HAQM Detective.

HAQM Detective prend en charge les flux de travail utilisateur inter-services en prenant en charge les intégrations de console avec HAQM GuardDuty, AWS Security Hub et HAQM Security Lake. GuardDuty et Security Hub fournissent des liens à partir de leurs consoles qui vous redirigent d'un résultat sélectionné vers une page HAQM Detective contenant un ensemble de visualisations organisées pour analyser le résultat. HAQM Detective fournit des requêtes prédéfinies basées sur vos enquêtes qui permettent d'interroger et de télécharger des fichiers journaux depuis HAQM Security Lake. La page des informations des résultats dans HAQM Detective est déjà alignée sur la période du résultat et affiche les données pertinentes qui lui sont associées.

Divers fournisseurs de solutions de sécurité partenaires ont été intégrés à HAQM Detective pour permettre des étapes d'investigation dans leurs playbooks et orchestrations automatisés. Ces produits présentent des liens dans les flux de travail de réponse qui redirigent les utilisateurs vers des pages HAQM Detective contenant des visualisations organisées pour analyser les résultats et les ressources identifiés dans le flux de travail.

Une fois activé, HAQM Detective analyse et corrèle automatiquement et en permanence l'activité des utilisateurs, du réseau et de la configuration pour les services AWS intégrés à AWS Security Hub. HAQM Detective ingère automatiquement les résultats de sécurité transmis par les services de sécurité AWS à AWS Security Hub via la source de données facultative appelée AWS Security Findings.

Par défaut, AWS Security Findings sont activés en tant que source de données pour les nouveaux comptes utilisant HAQM Detective. Il se peut que vous deviez activer cette source de données si vous utilisiez HAQM Detective avant que la prise en charge des résultats de sécurité d'AWS ne soit publiée. Vous pouvez suivre les étapes répertoriées dans la section résultats de sécurité AWS figurant dans le guide d’administration afin de confirmer les sources de données pour Detective. Cette source de données doit être activée pour chaque région dans laquelle vous prévoyez d'utiliser HAQM Detective.

L'utilisation par HAQM Detective des AWS Security Findings est conçue de manière à ne pas affecter les performances de vos services de sécurité AWS, car HAQM Detective utilise les résultats de sécurité à l'aide de flux de journaux indépendants et dupliqués. Ainsi, l'utilisation par HAQM Detective des AWS Security Findings n'augmentera pas vos coûts liés à l'utilisation d'AWS Security Hub ni à tout autre service de sécurité AWS intégré.

L'utilisation des AWS Security Findings par HAQM Detective est facturée en fonction du volume de résultats traités et analysés par HAQM Detective. HAQM Detective offre un essai gratuit de 30 jours à tous les clients qui activent AWS Security Findings, ce qui permet aux clients de s'assurer que les capacités d'HAQM Detective répondent à leurs besoins en matière de sécurité et d'obtenir une estimation du coût mensuel du service avant de s'engager dans une utilisation payante.

Non, HAQM Detective ne facturera qu'une seule fois pour les résultats envoyés par chaque service. 

Après avoir intégré les deux services, HAQM Detective peut interroger et récupérer les journaux AWS CloudTrail et les journaux de flux HAQM Virtual Private Cloud (HAQM VPC) depuis HAQM Security Lake pour vos enquêtes de sécurité. Vous pouvez utiliser cette intégration pour démarrer vos enquêtes dans HAQM Detective et prévisualiser ou télécharger des journaux AWS CloudTrail spécifiques ou des journaux de flux HAQM VPC si vous avez besoin de détails supplémentaires stockés dans les journaux. Par exemple, si vous enquêtez sur une activité suspecte d'un utilisateur IAM au cours des dernières 24 heures, vous pouvez utiliser HAQM Detective pour obtenir un résumé des services avec lesquels l'utilisateur IAM a interagi dans le panneau des méthodes de l'API. Si vous observez des interactions avec des services qui représentent un problème de sécurité potentiel, comme des appels d'API pour décrire des rôles, vous pouvez télécharger les journaux AWS CloudTrail pour cet utilisateur IAM. HAQM Detective fournira une requête SQL prédéfinie à l'aide d'HAQM Athena, limitée à l'heure et à l'entité (les dernières 24 heures pour l'utilisateur IAM) faisant l'objet de l'enquête, ce qui facilitera la récupération de votre requête et de vos journaux. Cette intégration vous permet de gagner du temps en éliminant la nécessité de créer la requête SQL à partir de zéro, et vous pouvez prévisualiser et télécharger les résultats sans avoir à quitter la console HAQM Detective.

Pour permettre l'intégration entre les deux services, vous devez exécuter un modèle HAQM CloudFormation. Ce modèle crée un compte abonné avec des autorisations suffisantes pour interroger et utiliser les journaux d'HAQM Security Lake et déploie des services AWS supplémentaires sur votre compte utilisés pour interroger et télécharger les journaux. Vous pouvez consulter ce que le modèle HAQM CloudFormation déploie dans le guide de l'utilisateur d'HAQM Detective.

Chaque service vous sera facturé conformément à la tarification d’HAQM Detective et d’HAQM Security Lake. En outre, vous devrez payer des frais pour chaque requête utilisant HAQM Athena, et des frais seront facturés pour les services AWS supplémentaires déployés sur votre compte pour prendre en charge l'intégration. Vous pouvez utiliser le Calculateur de prix AWS pour estimer le coût total de l'intégration des deux services.

Oui. Vous devrez exécuter le modèle HAQM CloudFormation dans chaque région AWS dans laquelle vous souhaitez intégrer HAQM Detective à HAQM Security Lake. 

HAQM Detective pour HAQM Elastic Kubernetes Service (HAQM EKS)

Une fois activé, HAQM Detective analyse et corrèle automatiquement et en permanence l'activité des utilisateurs, du réseau et de la configuration dans vos charges de travail HAQM EKS. HAQM Detective ingère automatiquement les journaux d'audit HAQM EKS et corrèle les activités des utilisateurs avec les événements AWS CloudTrail Management et l'activité du réseau avec les journaux de flux HAQM VPC sans que vous ayez besoin d'activer ou de stocker ces journaux manuellement. Le service extrait des informations clés sur la sécurité à partir de ces journaux et les conserve dans une base de données orientée graphe sur le comportement en matière de sécurité permettant un accès rapide par référence croisée à douze mois d'activité. HAQM Detective fournit une couche d'analyse et de visualisation des données pour vous aider à répondre aux questions fréquentes sur la sécurité. Cette couche s'appuie sur une base de données comportementale orientée graphe qui vous permet d'étudier plus rapidement les comportements malveillants potentiels associés à vos charges de travail HAQM EKS.

Par défaut, le journal d'audit d'HAQM EKS est activée en tant que source de données pour les comptes utilisant HAQM Detective. Vous devrez peut-être activer cette source de données si vous utilisiez HAQM Detective avant la publication de la prise en charge des journaux d'audit EKS. Vous pouvez suivre les étapes répertoriées dans la section relative aux journaux d'audit HAQM EKS pour Detective du Guide d'administration afin de confirmer les sources de données pour Detective. Cette source de données doit être activée pour chaque région dans laquelle vous prévoyez d'utiliser HAQM Detective.

HAQM Detective utilise les journaux d'audit HAQM EKS pour éviter d'affecter les performances de vos charges de travail HAQM EKS, car HAQM Detective utilise les journaux d'audit en utilisant des flux de journaux d'audit indépendants et dupliqués. Par conséquent, les coûts d'utilisation d'HAQM EKS ne seront pas augmentés du fait qu'HAQM Detective utilise les journaux d'audit d'HAQM EKS.

HAQM Detective est facturé à l'utilisation des journaux d'audit HAQM EKS en fonction du volume des journaux d'audit qu'il traite et analyse. HAQM Detective offre un essai gratuit de 30 jours à tous les clients qui activent la couverture HAQM EKS, ce qui permet aux clients de s'assurer que les capacités d'HAQM Detective répondent à leurs besoins en matière de sécurité et d'obtenir une estimation du coût mensuel du service avant de s'engager dans une utilisation payante.

Actuellement, cette fonctionnalité prend en charge les déploiements d'HAQM EKS fonctionnant sur des instances EC2 dans votre compte AWS. HAQM Detective fournit également une assistance pour la surveillance de l'exécution d'HAQM GuardDuty EKS et la surveillance de l'exécution d'ECS (qui inclut la surveillance d'HAQM ECS sur Fargate). Cette fonctionnalité ne fournit pas de visibilité sur Kubernetes non géré sur EC2 ou ES Anywhere.