Publié le: Sep 20, 2021
Amazon Detective étend la prise en charge des enquêtes de sécurité pour Amazon Simple Storage Service (S3) et les résultats liés au DNS sur Amazon GuardDuty, offrant une couverture complète de toutes les détections issues de GuardDuty. Parallèlement à cela, Detective permet désormais à un analyste de sécurité d'enquêter encore plus facilement sur les entités et les comportements à l'aide d'une expérience utilisateur repensée.
Désormais, les analystes de sécurité peuvent facilement enquêter sur des activités inhabituelles sur leurs compartiments S3 et répondre à des questions telles que « Qui a créé le compartiment S3 ? », « Quand le compartiment S3 a-t-il été créé ? », « Qui a rendu le compartiment S3 public ? » et « L'utilisateur a-t-il exécuté des API sensibles telles que la désactivation de la journalisation sur d'autres compartiments S3 ? ». Ils peuvent également approfondir les résultats liés aux noms de domaine de faible réputation (tels que ceux associés aux activités liées aux crypto-monnaies) et aux domaines générés par algorithme. Grâce à cela, les analystes de sécurité peuvent désormais facilement analyser, enquêter et identifier rapidement la cause première de tous les types de résultats GuardDuty à l'aide de Detective.
Amazon Detective a également amélioré les pages de profil de ressource existantes, afin de permettre aux clients de se concentrer plus rapidement sur l'activité associée aux entités impliquées pour un résultat. La présentation des nouveaux résultats fournit un ensemble plus complet de détails pour chaque résultat et fournit des liens vers les profils de chaque entité impliquée. Les analystes peuvent l'utiliser pour mieux comprendre comment diverses entités telles que les instances EC2, les principaux IAM et les adresses IP sont associés aux résultats. Par exemple, Detective agrège l'activité au niveau du compartiment S3 et le contexte d'enquête pertinent à partir de sources de données existantes dans un profil de compartiment S3 pour faciliter les enquêtes et fournir aux analystes la possibilité de basculer vers d'autres ressources, telles que les ressources de sessions utilisateur/rôles IAM qui ont accédé au compartiment, ou l'adresse IP distante qui a appelé les API au niveau du compartiment S3 dans la période de portée.
Les analystes de sécurité qui utilisent déjà Detective pour leurs enquêtes de sécurité auront les nouvelles fonctionnalités activées sans effectuer d'actions supplémentaires. Ils peuvent également utiliser l'option « Investigate in Detective » dans GuardDuty et Security Hub pour basculer vers Detective pour une enquête plus approfondie sur les nouveaux résultats pris en charge. Pour en savoir plus sur la façon de passer de GuardDuty et Security Hub à Detective, consultez le Guide de l'utilisateur de Detective.
Amazon Detective facilite l'analyse, l'examen et l'identification rapide de la cause racine des problèmes de sécurité potentiels. Pour démarrer, activez un essai gratuit de 30 jours d'Amazon Detective en quelques clics dans la Console de gestion AWS. Consultez la page des régions AWS pour déterminer les régions dans lesquelles Detective est disponible. Pour en savoir plus, consultez la page produit Amazon Detective.