Publicado: Sep 20, 2021
Amazon Detective amplia o suporte a investigações de segurança para achados relacionados ao Amazon Simple Storage Service (S3) e a DNS no Amazon GuardDuty, fornecendo cobertura completa de todas as detecções do GuardDuty. Além disso, agora o Detective proporciona ainda mais facilidade para um analista de segurança investigar entidades e comportamentos com uma experiência de usuário renovada.
Agora os analistas de segurança podem investigar facilmente atividades incomuns em seus buckets do S3 e responder a perguntas como “Quem criou o bucket do S3?”, “Quando o bucket do S3 foi criado?”, “Quem tornou o bucket do S3 público?” e “O usuário executou APIs delicadas, como a desabilitação do registro em log em outros buckets do S3?”. Eles também podem investigar a fundo achados relacionados a nomes de domínio de baixa reputação (p. ex., nomes associados a atividades relacionadas a criptomoedas) e domínios gerados por algoritmo. Com isso, os analistas de segurança passam a ter total facilidade para analisar, investigar e identificar rapidamente a causa básica de todos os tipos de achado do GuardDuty usando o Detective.
O Amazon Detective também aprimora as páginas de perfil dos recursos existentes, permitindo que os clientes se concentrem mais rapidamente na atividade associada às entidades envolvidas em um achado. A nova visão geral de achados fornece um conjunto mais completo de detalhes para cada achado e disponibiliza links para os perfis de cada entidade envolvida. Os analistas podem usar esse material para entender melhor a associação de várias entidades (instâncias do EC2, principais do IAM e endereços IP) estão associadas aos achados. Por exemplo, o Detective agrega a atividade de bucket do S3 e o contexto relevante da investigação com base nas origens de dados em um perfil do bucket do S3 para auxiliar investigações e permitir que os analistas alternem para outros recursos, como os recursos de sessões de usuário/funções do IAM que acessaram o bucket, ou o endereço IP remoto que invocou as APIs do bucket do S3 durante o período do escopo da investigação.
Para analistas de segurança que já usam o Detective em suas investigações, as novas capacidades serão habilitadas sem a necessidade de realizar nenhuma etapa adicional. Eles também podem usar a opção “Investigar no Detective” diretamente no GuardDuty ou no Security Hub a fim de alternar para o Detective e investigar adicionalmente os achados recém-compatibilizados. Para ler mais sobre como alternar do GuardDuty e do Security Hub para o Detective, consulte o Manual do usuário do Detective.
O Amazon Detective facilita analisar, investigar e identificar rapidamente a causa básica de potenciais problemas de segurança. Para começar, habilite sua avaliação gratuita de 30 dias do Amazon Detective com apenas alguns cliques no Console de Gerenciamento da AWS. Consulte a página de regiões da AWS para conhecer todas as regiões nas quais o Detective está disponível. Para saber mais, acesse a página do produto Amazon Detective.