Perguntas frequentes do HAQM Detective
Geral
Abrir tudoO que é o HAQM Detective?
O HAQM Detective torna mais fácil analisar, investigar e identificar rapidamente a causa raiz de possíveis problemas de segurança ou atividades suspeitas. O HAQM Detective coleta automaticamente dados de log de seus recursos da AWS e usa machine learning, análise estatística e teoria dos grafos para criar um conjunto de dados vinculados que permite realizar facilmente investigações de segurança mais rápidas e eficientes.
Quais são os principais benefícios do HAQM Detective?
O HAQM Detective simplifica o processo de investigação e ajuda as equipes de segurança a conduzir investigações mais rápidas e eficazes. As agregações, resumos e contexto de dados pré-construídos do HAQM Detective ajudam você a analisar e determinar rapidamente a natureza e a extensão de possíveis problemas de segurança. O HAQM Detective mantém até um ano de dados agregados e os torna facilmente disponíveis por meio de um conjunto de visualizações que mostram alterações no tipo e no volume de atividades em uma janela de tempo selecionada e vincula essas alterações às descobertas de segurança. Não há custos iniciais e você paga apenas pelos eventos analisados, sem necessidade de implantar software adicional ou registrar em log os feeds a serem habilitados.
Como o HAQM Detective ajuda a analisar investigações de segurança?
O HAQM Detective extrai eventos baseados em tempo, como tentativas de login, chamadas de API e tráfego de rede do AWS CloudTrail, logs de fluxo da HAQM Virtual Private Cloud (HAQM VPC), descobertas do HAQM GuardDuty, descobertas do AWS Security Hub e logs de auditoria do HAQM Elastic Kubernetes Service (HAQM EKS). O Detective cria um grafo de comportamento que utiliza machine learning (ML) para criar uma visualização unificada e interativa de seus comportamentos de recursos e suas interações ao longo do tempo, especificamente para esses eventos baseados em tempo. Ao explorar o gráfico de comportamento, você pode analisar eventos de segurança, como tentativas fracassadas de login, chamadas suspeitas às APIs ou grupos de descobertas que ajudam a investigar a causa raiz das descobertas de segurança da AWS.
O que são grupos de descoberta e como eles reduzem o tempo para investigar de descobertas?
Os agentes de ameaças geralmente executam uma série de ações ao tentar comprometer seu ambiente da AWS, o que pode resultar em várias descobertas de segurança em seus recursos da AWS. Os grupos de descoberta são coleções de descobertas e recursos de segurança associados a um único possível incidente de segurança que devem ser investigados em conjunto. Os grupos de descoberta podem ajudar a reduzir o tempo de triagem, pois você não precisa investigar cada descoberta de segurança individual separadamente. Você pode começar sua investigação com grupos de descobertas, que oferecem uma compreensão mais completa do incidente. Eles também oferecem visualizações interativas que permitem explorar descobertas e insights específicos usando a IA generativa para descrever a cadeia de eventos em linguagem natural. Para obter mais informações, leia Analisar grupos de descobertas.
O que são investigações automatizadas e como elas ajudam a reduzir o tempo de investigação de recursos?
As investigações automatizadas permitem investigar entidades do AWS Identity and Access Management (IAM), como usuários ou funções do IAM, para determinar se elas estão potencialmente comprometidas. Para isso, as investigações automatizadas consultam seu gráfico de comportamento e usam o machine learning para identificar se a entidade IAM exibe um comportamento anômalo ou mostra indicadores de comprometimento (IoC). Esses IOCs podem incluir atividades potencialmente maliciosas, como logins de viagem impossíveis, associações a endereços IP inválidos conhecidos e um histórico de descobertas de segurança. Em vez de analisar os logs do AWS CloudTrail e desenvolver seus próprios scripts para identificar atividades suspeitas, você pode economizar tempo usando investigações automatizadas para responder a perguntas como: “Essa função do IAM foi usada em logins de viagem impossíveis?” ou “Essa sessão de perfil do IAM foi usada por um endereço IP inválido conhecido?” ou “Quais táticas, técnicas e procedimentos (TTP) essa função principal do IAM acionou durante um evento de segurança?” Para obter mais informações, consulte o Guia do usuário do HAQM Detective.
Quanto custa o HAQM Detective?
A definição de preço do HAQM Detective é baseada no volume de dados ingeridos de logs do AWS CloudTrail, HAQM VPC Flow Logs, logs de auditoria do HAQM Elastic Kubernetes Service (HAQM EKS), descobertas do HAQM GuardDuty e descobertas enviadas de serviços integrados da AWS para o AWS Security Hub. Você é cobrado por Gigabyte (GB) consumido por conta/região/mês. O HAQM Detective mantém até um ano de dados agregados para análises. Consulte a página de preços do HAQM Detective para obter informações de definição de preço atualizadas. As descobertas do HAQM EKS e do AWS Security Hub são fontes de dados opcionais que você pode desativar se não quiser que o Detective ingira essas fontes de dados.
Há uma avaliação gratuita do HAQM Detective?
Sim. Toda conta nova do HAQM Detective pode experimentar gratuitamente o serviço por 30 dias. Você terá acesso ao conjunto completo de recursos durante o teste gratuito.
O HAQM Detective é um serviço regional ou global?
O HAQM Detective precisa ser ativado de acordo com cada região e permite que você analise rapidamente a atividade em todas as suas contas em cada região. Isso garante que todos os dados analisados tenham base regional e não ultrapassem os limites regionais da AWS.
A quais regiões o HAQM Detective oferece suporte?
Consulte a disponibilidade regional do HAQM Detective na tabela de regiões da AWS.
Conceitos básicos do HAQM Detective
Abrir tudoComo posso começar a usar o HAQM Detective?
O HAQM Detective pode ser habilitado com alguns cliques no Console de Gerenciamento da AWS. Uma vez ativado, o HAQM Detective organiza automaticamente os dados em um modelo gráfico e o modelo é atualizado continuamente à medida que novos dados ficam disponíveis. Você pode experimentar o HAQM Detective e começar a investigar possíveis problemas de segurança.
Como posso habilitar o HAQM Detective?
Você pode ativar o HAQM Detective no Console de Gerenciamento da AWS ou usando a API do HAQM Detective. Se você já estiver usando os consoles do HAQM GuardDuty ou AWS Security Hub, habilite o HAQM Detective com a mesma conta que seja a conta administrativa no HAQM GuardDuty ou no AWS Security Hub, para permitir a melhor experiência entre os serviços.
Posso gerenciar várias contas com o HAQM Detective?
Sim, o HAQM Detective é um serviço de várias contas que agrega dados de contas de membros monitoradas em uma única conta administrativa na mesma região. É possível configurar implantações de monitoramento de várias contas da mesma maneira que você configura contas administrativas e de membros no HAQM GuardDuty e no AWS Security Hub.
Que fontes de dados o HAQM Detective analisa?
O HAQM Detective permite que os clientes visualizem resumos e dados analíticos associados aos logs de fluxo da HAQM Virtual Private Cloud (HAQM VPC), logs do AWS CloudTrail, logs de auditoria do HAQM Elastic Kubernetes Service (HAQM EKS), descobertas do AWS Security Hub e descobertas do HAQM GuardDuty.
P: Poderei usar o HAQM Detective se não tiver o HAQM GuardDuty habilitado?
Sim, você pode usar o HAQM Detective se não tiver o HAQM GuardDuty habilitado na conta. Você pode usar o HAQM Detective para obter resumos, análises e visualizações detalhadas dos comportamentos e interações entre suas contas da AWS, instâncias do EC2, usuários da AWS, funções e endereços IP. Essas informações podem ser muito úteis para entender problemas de segurança ou atividades operacionais da conta. O HAQM GuardDuty é um serviço presente nas Recomendações da AWS Security Reference Architecture (SRA), como parte das “Key implementation guidelines of the AWS SRA”.
Com que rapidez o HAQM Detective começa a funcionar?
O HAQM Detective começa a coletar dados de log assim que ativado e fornece resumos visuais e análises sobre os dados consumidos. O HAQM Detective também fornece comparações de atividades recentes com linhas de base históricas estabelecidas após duas semanas de monitoramento da conta.
Posso exportar meus dados brutos de log do HAQM Detective?
Sim, você pode exportar os logs do AWS CloudTrail e os logs de fluxo do HAQM VPC usando uma integração com o HAQM Security Lake. Você pode analisar como a integração funciona na seção “HAQM Detective para HAQM Security Lake”.
Quais dados o HAQM Detective armazena? Eles são criptografados? Posso controlar quais fontes de dados estão habilitadas?
O HAQM Detective está em conformidade com o modelo de responsabilidade compartilhada da AWS, incluindo as regulamentações e diretrizes para proteção de dados. Uma vez ativado, o HAQM Detective processará dados de logs do AWS CloudTrail, logs de fluxo do HAQM VPC, logs de auditoria do HAQM EKS, descobertas enviadas de serviços integrados da AWS para o AWS Security Hub e descobertas do HAQM GuardDuty para todas as contas nas quais ele foi ativado.
Existe um risco de desempenho ou disponibilidade aos workloads existentes da AWS ao habilitar o HAQM Detective?
O HAQM Detective não afeta o desempenho ou a disponibilidade de sua infraestrutura da AWS, pois ele recupera os dados e as descobertas do log diretamente dos serviços da AWS.
Como o HAQM Detective difere do HAQM GuardDuty e do AWS Security Hub?
O HAQM GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas ou e comportamentos não autorizados para proteger suas contas e workloads da AWS. Com o AWS Security Hub, você tem um único local que agrega, organiza e prioriza alertas de segurança, ou descobertas, de vários serviços da AWS, como o HAQM GuardDuty, o HAQM Inspector e o HAQM Macie, bem como de soluções de parceiros da AWS. O HAQM Detective simplifica o processo de investigação de descobertas de segurança e identificação da causa raiz. O HAQM Detective analisa trilhões de eventos de várias fontes de dados, como HAQM VPC Flow Logs, AWS CloudTrail logs, HAQM EKS audit logs, descobertas enviadas de serviços integrados da AWS para o AWS Security Hub e descobertas do HAQM GuardDuty e cria automaticamente um modelo de gráfico que fornece a você com uma visão unificada e interativa de seus recursos, usuários e as interações entre eles ao longo do tempo.
Como posso impedir que o HAQM Detective examine logs e fontes de dados?
O HAQM Detective permite que você analise e visualize dados de segurança de logs do AWS CloudTrail, logs de HAQM VPC Flow, logs de auditoria do HAQM EKS, descobertas enviadas de serviços integrados da AWS para o AWS Security Hub e descobertas do HAQM GuardDuty. Para impedir que o HAQM Detective analise esses logs e descobertas de suas contas, desabilite o serviço usando a API ou a seção de configurações no Console da AWS para HAQM Detective.
Utilização do console HAQM Detective
Abrir tudoQue orientação o HAQM Detective fornece sobre como investigar um problema de segurança?
O HAQM Detective fornece uma variedade de visualizações que apresentam contexto e informações sobre recursos da AWS, como contas da AWS, instâncias do EC2, usuários, funções, endereços IP e descobertas do HAQM GuardDuty. Cada visualização é projetada para responder a perguntas específicas que podem surgir à medida que você analisa as descobertas e a atividade relacionada. Cada visualização fornece orientação textual que explica claramente como interpretar o painel e usar suas informações para responder às suas perguntas investigativas.
Como o HAQM Detective é integrado a outros serviços de segurança da AWS, como o HAQM GuardDuty, o AWS Security Hub e o HAQM Security Lake?
O HAQM Detective é compatível com fluxos de trabalho de usuário entre serviços, como integrações de console com o HAQM GuardDuty, o AWS Security Hub e o HAQM Security Lake. O GuardDuty e o Security Hub fornecem links de seus consoles que o redirecionam de uma descoberta selecionada diretamente para uma página do HAQM Detective que contém um conjunto de visualizações específicas para investigar a descoberta selecionada. O HAQM Detective fornece consultas pré-criadas com base em suas investigações, que podem consultar e baixar arquivos de log do HAQM Security Lake. A página de detalhes das descobertas no HAQM Detective já está alinhada ao período da descoberta e mostra dados relevantes associados à descoberta.
Como integro os resultados da investigação do HAQM Detective às ferramentas de correção e resposta?
Vários fornecedores de soluções de segurança de parceiros se integraram ao HAQM Detective para permitir etapas de investigação em seus playbooks e orquestrações automatizados. Esses produtos apresentam links nos fluxos de trabalho de resposta que redirecionam os usuários para as páginas do HAQM Detective que contêm visualizações selecionadas para investigar descobertas e recursos identificados no fluxo de trabalho.
HAQM Detective para AWS Security Hub
Abrir tudoComo funciona o HAQM Detective para AWS Security Hub?
Após habilitado, o HAQM Detective analisa e correlaciona, de maneira automática e contínua, as atividades de usuário, rede e configuração dos serviços da AWS integrados ao AWS Security Hub. O HAQM Detective ingere automaticamente as descobertas de segurança encaminhadas dos serviços de segurança da AWS para o AWS Security Hub por meio da fonte de dados opcional chamada AWS Security Findings.
O que são as descobertas de segurança da AWS?
O AWS Security Hub oferece suporte a integrações com vários serviços da AWS. Com a expectativa de descobertas de dados sigilosos do HAQM Macie, você opta automaticamente por todas as outras integrações de serviços da AWS com o Security Hub. Se você ativou o Security Hub e qualquer um dos serviços integrados, esses serviços enviarão as descobertas ao Security Hub. O Detective ingere essas descobertas e as adiciona a seu grafo para que você possa realizar investigações de segurança com todos os serviços integrados da AWS. Esses serviços incluem: AWS Config, AWS Firewall Manager, HAQM GuardDuty, AWS Health, AWS Identity and Access Management Access Analyzer, HAQM Inspector, AWS IoT Device Defender, HAQM Macie e Gerenciador de Patches do AWS Systems Manager.
Preciso habilitar as descobertas de segurança da AWS?
Por padrão, as descobertas de segurança da AWS são habilitadas como fonte de dados para novas contas usando o Detective. Talvez seja necessário habilitar essa fonte de dados se você estiver usando o Detective antes do lançamento do suporte às descobertas de segurança da AWS. Você pode seguir as etapas listadas nas AWS security findings no Guia administrativo para confirmar as fontes de dados do Detective. Essa fonte de dados deve ser habilitada para cada região em que você planeja usar o Detective.
O consumo das descobertas de segurança da AWS pelo HAQM Detective foi criado de modo a não afetar a performance de seus serviços de segurança da AWS, pois o HAQM Detective consome as descobertas de segurança usando fluxos de logs independentes e duplicativos. Dessa forma, o consumo das descobertas de segurança da AWS pelo HAQM Detective não aumentará seus custos de uso do AWS Security Hub ou de qualquer serviço de segurança integrado da AWS.
Como é a cobrança pelo uso do HAQM Detective para investigar descobertas dos serviços de segurança da AWS?
O preço do consumo das descobertas de segurança da AWS pelo HAQM Detective é baseado no volume de descobertas processadas e analisadas pelo HAQM Detective. O HAQM Detective oferece uma avaliação gratuita de 30 dias para todos os clientes que habilitam a cobertura das descobertas de segurança da AWS, permitindo que os clientes garantam que os recursos do HAQM Detective atendam a suas necessidades de segurança e obtenham uma estimativa do custo mensal do serviço antes de se comprometerem com o uso pago.
Se eu estiver encaminhando as descobertas do HAQM GuardDuty para o AWS Security Hub, serei cobrado duas vezes?
Não, o HAQM Detective cobrará apenas uma vez pelas descobertas enviadas por cada serviço.
HAQM Detective para HAQM Security Lake
Abrir tudoComo funciona o HAQM Detective para HAQM Security Lake?
Depois de integrar os dois serviços, o HAQM Detective pode consultar e recuperar os logs do AWS CloudTrail e os logs de fluxo da HAQM Virtual Private Cloud (HAQM VPC) do HAQM Security Lake para suas investigações de segurança. Você pode usar essa integração para iniciar suas investigações no HAQM Detective e visualizar ou baixar logs específicos do AWS CloudTrail ou do HAQM VPC Flow Logs se precisar de detalhes adicionais armazenados nos logs. Por exemplo, se você estava investigando atividades suspeitas de um usuário do IAM nas últimas 24 horas, poderá usar o HAQM Detective para obter um resumo dos serviços com os quais o usuário do IAM interagiu no painel de métodos da API. Se você observar interações com serviços que representam um possível problema de segurança, como chamadas de API para descrever funções, poderá baixar os logs do AWS CloudTrail para esse usuário do IAM. O HAQM Detective fornecerá uma consulta SQL pré-criada usando o HAQM Athena com base na hora e na entidade (as últimas 24 horas para o usuário do IAM) sob investigação, facilitando sua consulta e a recuperação do log. Essa integração ajuda a economizar tempo, eliminando a necessidade de criar a consulta SQL do zero, e você pode visualizar e baixar os resultados sem precisar sair do console do HAQM Detective.
Como habilitar a integração entre o HAQM Detective e o HAQM Security Lake?
Para permitir a integração entre os dois serviços, você precisará executar um modelo do HAQM CloudFormation. Esse modelo cria uma conta de assinante com permissões suficientes para consultar e consumir logs do HAQM Security Lake e implanta serviços adicionais da AWS em sua conta, usados para consultar e baixar logs. Você pode analisar os itens implantados pelo modelo do HAQM CloudFormation no Guia do usuário do HAQM Detective.
Como é a cobrança pelo uso da integração do HAQM Detective com o HAQM Security Lake?
A cobrança é feita para cada serviço de acordo com os preços do HAQM Detective e os preços do HAQM Security Lake. Além disso, você incorrerá em cobranças a cada consulta usando o HAQM Athena, e haverá cobranças pelos serviços adicionais da AWS implantados em sua conta para o suporte à integração. Você pode usar a calculadora de preços da AWS para estimar o custo total da integração dos dois serviços.
Preciso habilitar a integração do HAQM Detective ao HAQM Security Lake em cada região da AWS individualmente?
Sim. Você precisará executar o modelo do HAQM CloudFormation em cada região da AWS em que deseja integrar o HAQM Detective com o HAQM Security Lake.
HAQM Detective para HAQM Elastic Kubernetes Service (HAQM EKS)
HAQM Detective para HAQM Elastic Kubernetes Service (HAQM EKS)
Abrir tudoComo funcionam os logs de auditoria do HAQM Detective para o HAQM EKS?
Após ser ativado, o HAQM Detective analisa e correlaciona automaticamente e continuamente as atividades de usuário, rede e configuração em suas workloads do HAQM EKS. O HAQM Detective ingere automaticamente os logs de auditoria do HAQM EKS e correlaciona as atividades do usuário com os eventos do AWS CloudTrail Management e a atividade da rede com os logs do HAQM VPC Flow sem a necessidade de habilitar ou armazenar esses logs manualmente. O serviço extrai as principais informações de segurança desses logs e as retém em um banco de dados de grafos comportamental de segurança, que permite acesso rápido com referência cruzada a 12 meses de atividade. O HAQM Detective oferece uma camada de análise e visualização de dados para ajudar a responder a perguntas comuns de segurança, respaldadas por um banco de dados de grafos comportamental que permite investigar mais rapidamente possíveis comportamentos maliciosos associados às suas workloads do HAQM EKS.
Preciso ativar os logs de auditoria do HAQM EKS?
Por padrão, o log de auditoria do HAQM EKS é ativado como fonte de dados para as contas que usam o Detective. Talvez seja necessário habilitar essa fonte de dados se você estiver usando o Detective antes do lançamento do suporte aos logs de auditoria do EKS. Você pode seguir as etapas listadas nos logs de auditoria do HAQM EKS para o Detective no Guia administrativo para confirmar as fontes de dados do Detective. Essa fonte de dados deve ser habilitada para cada região em que você planeja usar o Detective.
O consumo de logs de auditoria do HAQM EKS pelo HAQM Detective foi projetado para não afetar a performance de suas workloads do HAQM EKS, pois o HAQM Detective consome os logs de auditoria usando fluxos de logs de auditoria independentes e duplicados. Dessa forma, o consumo do HAQM Detective de seus logs de auditoria do HAQM EKS não aumentará seus custos de uso do HAQM EKS.
Como é feita a cobrança de uso do HAQM Detective para proteger workloads do HAQM EKS?
O consumo de logs de auditoria do HAQM EKS pelo HAQM Detective é cobrado com base no volume de logs de auditoria processados e analisados pelo HAQM Detective. O HAQM Detective oferece uma avaliação gratuita de 30 dias para todos os clientes que habilitam a cobertura do HAQM EKS, permitindo que os clientes garantam que os recursos do HAQM Detective atendam às suas necessidades de segurança e obtenham uma estimativa do custo mensal do serviço antes de se comprometerem com o uso pago.
O HAQM Detective oferece visibilidade de workloads do HAQM EKS no AWS Fargate ou de Kubernetes não gerenciados no EC2 ou no ES Anywhere?
Atualmente, esse recurso oferece suporte a implantações do HAQM EKS executadas em instâncias do EC2 em sua conta da AWS. O Detective também fornece suporte para o HAQM GuardDuty EKS Runtime Monitoring e o ECS Runtime Monitoring (que inclui o monitoramento do HAQM ECS no Fargate). Esse recurso não fornece visibilidade de Kubernetes não gerenciados no EC2 ou no ES Anywhere.