Domande frequenti su HAQM Detective

Per attivare HAQM Detective sono sufficienti pochi clic nella console di gestione AWS. Una volta abilitato, HAQM Detective organizza automaticamente i dati in un modello su grafo che viene continuamente aggiornato man mano che nuovi dati diventano disponibili. Puoi provare HAQM Detective e cominciare a indagare sulle problematiche potenziali di sicurezza.

Puoi abilitare HAQM Detective dalla console di gestione AWS o utilizzando l'API di HAQM Detective. Se già utilizzi le console di HAQM GuardDuty o di Centrale di sicurezza AWS consigliamo di abilitare HAQM Detective con lo stesso account di amministrazione di questi servizi per sfruttare al meglio l'esperienza su più servizi.

Si, HAQM Detective è un servizio multi account che aggrega i dati da account membri monitorati sotto un account di amministrazione singolo nella stessa regione. Puoi configurare le implementazioni del monitoraggio multi-account nello stesso modo in cui configuri gli account membri e di amministrazione in HAQM GuardDuty e Centrale di sicurezza AWS.

Sì, puoi usare HAQM Detective anche se HAQM GuardDuty non è attivato nel tuo account. Puoi utilizzare HAQM Detective per ricevere riepiloghi dettagliati, analisi e visualizzazioni dei comportamenti e delle interazioni tra account AWS, istanze EC2, utenti AWS, ruoli e indirizzi IP. Queste informazioni possono essere molto utili per comprendere i problemi di sicurezza o l'attività dell'account operativo. HAQM GuardDuty è un servizio incluso nel Prontuario - Architettura AWS di riferimento per la sicurezza (SRA) come parte delle "Linee guida di implementazione chiave di AWS SRA".

HAQM Detective inizia a raccogliere i dati dei log non appena viene abilitato e fornisce sommari e analisi sui dati acquisiti. HAQM Detective fornisce anche confronti di attività recenti con linee di base cronologiche stabilite dopo due settimane di monitoraggio dell'account.

Sì, è possibile esportare i log di AWS CloudTrail e i log di flusso di HAQM VPC utilizzando un'integrazione con HAQM Security Lake. È possibile scoprire come funziona l'integrazione nella sezione "HAQM Detective per HAQM Security Lake".

HAQM Detective non influisce su prestazioni o disponibilità dell'infrastruttura AWS perché HAQM Detective recupera i dati di log e i risultati direttamente dai servizi AWS.

HAQM GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività maligne e comportamenti non autorizzati e per proteggere i tuoi carichi di lavoro e account AWS. Grazie alla Centrale di sicurezza AWS hai a disposizione un unico posto che aggrega, organizza e assegna le priorità ai tuoi avvisi di sicurezza o ai risultati provenienti da diversi servizi AWS come HAQM GuardDuty, HAQM Inspector e HAQM Macie, oltre che dalle soluzioni di Partner AWS. HAQM Detective semplifica il processo di indagine di risultati di sicurezza e di identificazione della causa principale. HAQM Detective può analizzare trilioni di eventi da numerose origini dati come log di flusso di HAQM VPC, log di AWS CloudTrail, log di controllo di HAQM EKS, risultati inviati dai servizi AWS integrati alla Centrale di sicurezza AWS e i risultati di HAQM GuardDuty e creare automaticamente un modello grafico che offre una panoramica interattiva e unificata di risorse, utenti e le loro interazioni nel tempo.

HAQM Detective permette di analizzare e visualizzare i dati di sicurezza dai log di AWS CloudTrail, dai log di flusso di HAQM VPC, dai log di controllo di HAQM EKS, dagli esiti inviati dai servizi AWS integrati alla Centrale di sicurezza AWS e dagli esiti di HAQM GuardDuty. Per arrestare l'analisi di log e esiti da parte di HAQM Detective sugli account disabilitare il servizio utilizzando l'API o dalla sezione delle impostazioni nella Console AWS per HAQM Detective.

HAQM Detective supporta i flussi di lavoro dell'utente tra servizi grazie alla integrazione della console con HAQM GuardDuty, la Centrale di sicurezza AWS e HAQM Security Lake. GuardDuty e la Centrale di sicurezza forniscono i collegamenti dalle console che ti reindirizzano dal risultato selezionato a una pagina di HAQM Detective che contiene un set accurato di visualizzazioni per indagare l'esito selezionato. HAQM Detective fornisce query predefinite basate sulle proprie indagini che possono interrogare e scaricare file di log da HAQM Security Lake. La pagina con i dettagli degli esiti in HAQM Detective è già allineata al timeframe dell'esito e mostra i dati rilevanti associati a esso.

Molti provider di soluzioni di sicurezza partner hanno integrato HAQM Detective per permettere le fasi di indagine all'interno dei propri playbook automatizzati e orchestrazioni. Questi prodotti forniscono collegamenti dai flussi di lavoro di risposta che reindirizzano gli utenti alle pagine di HAQM Detective che contengono visualizzazioni accurate per analizzare gli esiti e le risorse identificate all'interno del flusso di lavoro.

Una volta abilitato, HAQM Detective analizza e mette in correlazione automaticamente e continuamente le attività di utenti, rete e configurazione per i servizi AWS integrati con la Centrale di sicurezza AWS. HAQM Detective acquisisce automaticamente gli esiti di sicurezza inoltrati dai servizi di sicurezza AWS alla Centrale di sicurezza AWS tramite l'origine dati facoltativa denominata AWS Security Findings.

Per impostazione predefinita, gli esiti di sicurezza di AWS sono abilitati come origine dati per i nuovi account utilizzando Detective. Potrebbe essere necessario abilitare questa origine dati se si stava utilizzando Detective prima del rilascio del supporto per gli esiti di sicurezza di AWS. È possibile seguire i passaggi elencati inAWS Security Findings nella Guida amministrativa per confermare le origini dati per Detective. Questa origine dati deve essere abilitata per ogni regione in cui si prevede di utilizzare Detective.

L'utilizzo di AWS Security Findings da parte di HAQM Detective è progettato per non influire sulle prestazioni dei propri servizi di sicurezza AWS, poiché HAQM Detective utilizza gli esiti di sicurezza utilizzando flussi di log indipendenti e ridondanti. In questo modo, l'utilizzo da parte di HAQM Detective di AWS Security Findings non aumenterà i costi per l'utilizzo della Centrale di sicurezza AWS o di qualsiasi servizio di sicurezza AWS integrato.

Il prezzo del consumo di AWS Security Findings da parte di HAQM Detective si basa sul volume di esiti elaborati e analizzati da HAQM Detective. HAQM Detective offre una prova gratuita di 30 giorni a tutti i clienti che attivano AWS Security Findings, consentendo ai clienti di assicurarsi che le funzionalità di HAQM Detective soddisfino le loro esigenze di sicurezza e di ottenere una stima del costo mensile del servizio prima di impegnarsi nell'utilizzo a pagamento.

No, HAQM Detective addebiterà una sola volta gli esiti inviati da ciascun servizio. 

Dopo aver integrato i due servizi, HAQM Detective può interrogare e recuperare i log di AWS CloudTrail e i log di flusso di HAQM Virtual Private Cloud (HAQM VPC) da HAQM Security Lake per le proprie indagini di sicurezza. È possibile utilizzare questa integrazione per avviare le proprie indagini in HAQM Detective e visualizzare in anteprima o scaricare log specifici di AWS CloudTrail o log di flusso di HAQM VPC se si necessita di ulteriori dettagli archiviati nei log. Ad esempio, se si indaga sulle attività sospette di un utente IAM nelle ultime 24 ore, è possibile utilizzare HAQM Detective per ottenere un riepilogo dei servizi con cui l'utente IAM ha interagito nel pannello dei metodi API. Se si osservano interazioni con servizi che rappresentano un potenziale problema di sicurezza, come le chiamate API per descrivere i ruoli, è possibile scaricare i log di AWS CloudTrail per quell'utente IAM. HAQM Detective fornirà una query SQL precompilata utilizzando HAQM Athena in base all'ora e all'entità (le ultime 24 ore per l'utente IAM) oggetto di indagine, semplificando il recupero delle query e dei log. Questa integrazione aiuta a risparmiare tempo eliminando la necessità di creare la query SQL da zero ed è possibile visualizzare in anteprima e scaricare i risultati senza dover uscire dalla console HAQM Detective.

Per abilitare l'integrazione tra i due servizi, si dovrà eseguire un modello HAQM CloudFormation. Questo modello crea un account abbonato con autorizzazioni sufficienti per interrogare e utilizzare i log di HAQM Security Lake e implementa servizi AWS aggiuntivi nel proprio account utilizzato per interrogare e scaricare i log. È possibile esaminare cosa implementa il modello HAQM CloudFormation nella Guida all'utente di HAQM Detective.

Ogni servizio verrà addebitato in base ai prezzi di HAQM Detective e di HAQM Security Lake. Inoltre, verranno addebitati dei costi per ogni query effettuata con HAQM Athena e per i servizi AWS aggiuntivi implementati nel proprio account per supportare l'integrazione. È possibile utilizzare il Calcolatore dei prezzi AWS per stimare il costo totale dell'integrazione dei due servizi.

Sì. Si dovrà eseguire il modello HAQM CloudFormation in ogni regione AWS in cui si desidera integrare HAQM Detective con HAQM Security Lake. 

HAQM Detective per HAQM Elastic Kubernetes Service (HAQM EKS)

Una volta abilitato, HAQM Detective analizza e correla automaticamente e continuamente l'attività degli utenti, della rete e della configurazione nei carichi di lavoro di HAQM EKS. HAQM Detective acquisisce automaticamente i registri di controllo di HAQM EKS e correla le attività degli utenti con gli eventi di gestione di AWS CloudTrail e le attività di rete con i log di flusso di HAQM VPC, senza che sia necessario attivare o archiviare manualmente questi registri. Il servizio offre informazioni fondamentali sulla sicurezza da questi log e le mantiene in un database a grafo di sicurezza comportamentale che consente un rapido accesso incrociato a dodici mesi di attività. HAQM Detective fornisce un livello di analisi e visualizzazione dei dati che aiuta a rispondere alle domande più comuni sulla sicurezza, supportato da un database a grafo comportamentale che consente di indagare più rapidamente su potenziali comportamenti dannosi associati ai carichi di lavoro di HAQM EKS.

Per impostazione predefinita, la registrazione di controllo di HAQM EKS è abilitata come origine dati per gli account che utilizzano Detective. Potrebbe essere necessario abilitare questa origine dati se si utilizzava Detective prima del rilascio del supporto per i log di controllo EKS. È possibile seguire i passaggi elencati nei log di controllo di HAQM EKS per Detective nella Guida amministrativa per confermare le origini dati per Detective. Questa fonte di dati deve essere abilitata per ogni regione in cui si prevede di utilizzare Detective.

Il consumo dei log di controllo di HAQM EKS da parte di HAQM Detective è progettato per non influire sulle prestazioni dei propri carichi di lavoro di HAQM EKS, poiché HAQM Detective consuma i log di controllo utilizzando flussi di log di controllo indipendenti e duplicati. In questo modo, il consumo da parte di HAQM Detective dei log di controllo di HAQM EKS non aumenterà i propri costi di utilizzo di HAQM EKS.

Il consumo dei registri di controllo di HAQM EKS da parte di HAQM Detective viene calcolato in base al volume dei registri di controllo elaborati e analizzati da HAQM Detective. HAQM Detective offre una prova gratuita di 30 giorni a tutti i clienti che attivano la copertura di HAQM EKS, consentendo ai clienti di assicurarsi che le funzionalità di HAQM Detective soddisfino le loro esigenze di sicurezza e di ottenere una stima del costo mensile del servizio prima di impegnarsi nell'utilizzo a pagamento.

Al momento, questa funzionalità supporta solo le implementazioni di HAQM EKS eseguite sulle istanze EC2 nel proprio account AWS. Detective fornisce anche supporto per il monitoraggio di runtime di HAQM GuardDuty EKS e il monitoraggio runtime di ECS (che include il monitoraggio per HAQM ECS su Fargate). Questa funzionalità non fornisce visibilità su Kubernetes non gestiti su EC2 o ES Anywhere.