写点什么

Amazon Detective – 快速安全性调查和分析

2020 年 4 月 05 日

Amazon Detective – 快速安全性调查和分析

接近五年前,我的一篇博文介绍了一个解决方案,该解决方案会自动分析 AWS CloudTrail 数据,以生成有关敏感的 API 使用量的提醒。这是有关安全分析和自动化的一个简单基本解决方案。但高要求的 AWS 客户会拥有多个 AWS 账户,从多个来源采集数据,基于正则表达式的简单搜索无法满足对可疑的安全相关事件开展深入分析的需要。如今,当检测到安全问题(例如凭证泄漏或资源被未经授权访问)时,安全分析师会交叉分析多个数据日志,以了解问题的根本原因及其对环境的影响。深入分析往往需要编写脚本和 ETL 以在多个孤立系统生成的数据之间建立连接。这将需要经验丰富的数据工程师来回答一些基本的问题,例如“这正常吗?”。分析师使用安全信息和事件管理 (SIEM) 工具、第三方库和数据可视化工具来验证、比较和关联数据,从而得出结论。让问题进一步复杂化的是,新 AWS 账户和新应用程序不断推出,导致分析师需要持续重新确定正常行为的基线,每次评估新的安全问题时都需要了解活动的新模式。


Amazon Detective 是一款完全托管的服务,它让用户能够将处理大量 AWS 日志数据的繁重工作自动化,轻松确定安全问题的根源和影响。启用 Detective 后,它会自动开始提取来自 AWS Guard DutyAWS CloudTrailAmazon Virtual Private Cloud 流日志的数据,然后以图形模型的方式组织这些数据,总结概括在您的整个 AWS 环境中观察到的资源行为和交互。


re:invent 2019 大会上,我们宣布推出 Amazon Detective 预览版。今天,我们欣然宣布此服务已对所有 AWS 客户开放。


Amazon Detective 使用机器学习模型来生成代表账户行为的图形,帮助您回答“此 API 调用对于此角色是否异常?”或者“来自此实例的流量突增是否符合预期?”等问题。您不需要编写任何代码,也不要配置或优化自己的查询。


为了开始使用 Amazon Detective,我打开了 AWS 管理控制台,在搜索栏中键入“detective”,然后从提供的结果中选择 Amazon Detective 以启动此服务。启用此服务后,我根据控制台的提示配置了要进行监控的“成员”账户以及要用于聚合数据的“主”账户。完成这些一次性的设置后,Amazon Detective 将立即开始分析 AWS 遥测数据,并且我将在分钟内即可访问一组图形界面,从中可以总览我的 AWS 资源及其相关行为(例如登录、API 调用和网络流量)。我从 Amazon Detective 搜索栏搜索某个检测结果或资源,并且我很快就能以图形方式查看一组指标的基线和当前值。



我选择了资源类型和 ID,然后开始浏览各种图形。



我还可以借助 Guard DutyAWS Security Hub 控制台中的原生集成来调查 AWS Guard Duty 检测结果。我单击任何 AWS Guard Duty 检查结果中的“调查”链接,将直接跳转至 Amazon Detective 控制台,其中将提供相关详细信息、上下文以及有关问题调查和响应的指导意见。在下例中,Guard Duty 报告了一起未经授权的访问,我决定对此开展调查:



Amazon Detective 控制台将会打开:



我项下翻滚页面以选中有关失败的 API 调用的图形。我单击图中的竖条以获取详细信息,例如发起调用的 IP 地址:



获得源 IP 地址后,我单击新行为: AWS 角色并观察这些调用的来源位置,从而与自动发现的基线进行比较。



Amazon Detective 是一种多账户解决方案,它会跨 AWS 账户进行调查,最高可将 1000 个 AWS 账户的数据和检测结果聚合到单个安全部门拥有的“主”账户中,从而方便查看您的整个 AWS 环境的行为模式和连接。


使用此服务无需部署任何代理、传感器或额外的软件。Amazon Detective 可以检索、聚合和分析来自 AWS Guard DutyAWS CloudTrailAmazon Virtual Private Cloud 流日志的数据。Amazon Detective 直接从 AWS 采集现有的日志,无需触及您的基础设施,因此对成本或性能无任何影响。


Amazon Detective 可以通过 AWS 管理控制台或 the Amazon Detective 管理 API 进行管理。借助管理 API,您可以将 Amazon Detective 嵌入您的标准账户注册、启用和部署流程。


Amazon Detective 是一项区域性的服务。我在需要分析检测结果的每个 AWS 区域都启用了此服务。所有数据都在生成相关数据的 AWS 区域处理。 Amazon Detective 以行为图的方式保存数据分析和日志摘要,从提取日志之日起滚动保存 1 年,从而方便对长时期的大型数据集进行可视化分析和深入探索。在我禁用此服务时,所有数据都将被删除,以确保不会留下任何数据。


使用 Amazon Detective 服务不会产生额外的费用,也无需预先承诺。我们将根据从 AWS CloudTrailAmazon Virtual Private Cloud 流日志和 AWS Guard Duty 检测结果中提取的数据量按 GB 收费。Amazon Detective 提供 30 天免费试用。与以往一样,请查看定价页面以了解详细信息。


本文转载自 AWS 技术博客。


原文链接:https://amazonaws-china.com/cn/blogs/china/amazon-detective-rapid-security-investigation-and-analysis/


2020 年 4 月 05 日 08:00174

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

架构建模学习总结

林杭戴

极客大学架构师训练营

优选2020第十三届南京国际智慧停车展览会

InfoQ_caf7dbb9aa8a

听说你想进腾讯总部?这项黑科技你值得拥有!

腾讯云音视频

音视频

架构师培训大作业二——知识思维导图

chanson

亚洲2020第十三届南京国际智慧新零售暨无人售货展览会

InfoQ_caf7dbb9aa8a

java安全编码指南之:堆污染Heap pollution

程序那些事

Java java安全编码 java安全编码指南 堆污染

架构师训练营1期 - 第一周 - 食堂就餐卡系统设计

三板斧

极客大学架构师训练营

架构师训练营1期第1周:架构方法 - 作业

piercebn

极客大学架构师训练营

大作业 二

Jaye

架构师训练营技术知识点

devfan

一次年轻代GC长暂停问题的解决与思考

AI乔治

Java 架构 JVM 优化 GC调优

快讯2020第十三届南京国际智慧工地装备展览会

InfoQ_caf7dbb9aa8a

【API进阶之路】做OCR文字识别,谁说必须要有AI工程师?

华为云开发者社区

API 文字识别 OCR

一代巨星的陨落!

小齐本齐

程序员 程序人生 职场

快讯2020第十三届南京国际大数据产业博览会

InfoQ_caf7dbb9aa8a

StringBuilder 比 String 快?空嘴白牙的,证据呢!

小傅哥

小傅哥 string 面试题 StringBuilder StringBuffer

zabbix 4.x一键部署脚本

钱江

架构师训练营大作业

路易斯李李李

Golang领域模型-依赖倒置

奔奔奔跑

golang 架构 微服务 领域驱动设计 DDD

食堂就餐卡系统设计

熊桂平

系统设计 极客大学架构师训练营 UML

整合Micrometer与Prometheus & ElasticSearch

李欢颜

Spring 5 中文解析数据存储篇-事务同步和声明式事物管理

青年IT男

Spring5

mysql union子句排序问题

LSJ

开发 SQL语法

成为技术领导者-读书笔记

钱江

Servlet 知识点

陈靓-哲露

英特尔揭示智能边缘重大机遇,助推产业智能变革

新闻科技资讯

架构师训练营第一周学习总结

尹斌

极客大学架构师训练营

Vitalik Buterin: 协作的好坏两面

安比实验室SECBIT

区块链 博弈论 协作

展览工厂2020南京国际人工智能产品展览会

InfoQ_caf7dbb9aa8a

2020南京国际工业互联网及工业通讯展览会

InfoQ_caf7dbb9aa8a

实战中学习浏览器工作原理 — HTML 解析与 CSS 计算

三钻

CSS 前端 浏览器

新晋管理者都会遇到的6个问题

新晋管理者都会遇到的6个问题

Amazon Detective – 快速安全性调查和分析-InfoQ