Amazon Detective – Enquête et analyse rapides sur la sécurité


Il y a près de cinq ans, j’ai blogué sur une solution qui analyse automatiquement les données AWS CloudTrail pour générer des alertes en cas d’utilisation d’API sensible. C’était une solution simple et basique pour l’analyse et l’automatisation de la sécurité. Mais les clients AWS exigeants ont plusieurs comptes AWS, collectent des données à partir de plusieurs sources et de simples recherches basées sur expressions régulières ne sont pas suffisants pour effectuer une analyse approfondie des événements suspectés liés à la sécurité. Aujourd’hui, lorsqu’un problème de sécurité est détecté, tel que des informations d’identification compromises ou un accès non autorisé à une ressource, les analystes de la sécurité analysent plusieurs journaux de données pour comprendre la cause première du problème et son impact sur l’environnement. Une analyse approfondie nécessite souvent des scripts et ETL pour connecter les points entre les données générées par plusieurs systèmes en silos. Cela nécessite des ingénieurs de données qualifiés pour répondre à des questions de base telles que « est-ce normal? ». Les analystes utilisent les informations de sécurité et la gestion des événements (SIEM) des outils, des bibliothèques tierces et des outils de visualisation des données pour valider, comparer et corréler les données afin de tirer leurs conclusions. Pour compliquer davantage les choses, de nouveaux comptes AWS et de nouvelles applications sont constamment introduits, forçant les analystes à rétablir constamment des lignes de base de comportement normal et à comprendre de nouveaux modèles d’activités chaque fois qu’ils évaluent un nouveau problème de sécurité.

Amazon Detective est un service entièrement géré qui permet aux utilisateurs d’automatiser les tâches lourdes impliquées dans le traitement de grandes quantités de données de journal AWS pour déterminer la cause et l’impact d’un problème de sécurité. Une fois activé, Detective commence automatiquement à distiller et à organiser les données d’AWS Guard Duty, AWS CloudTrail et Amazon Virtual Private Cloud Flow Logs dans un modèle graphique qui résume les comportements et les interactions des ressources observés dans l’ensemble de votre environnement AWS.

À re: invent 2019, nous avons annoncé un aperçu d’Amazon Detective. Aujourd’hui, nous avons le plaisir d’annoncer sa disponibilité pour tous les clients AWS.

Amazon Detective utilise des modèles d’apprentissage automatique pour produire des représentations graphiques du comportement de votre compte et vous aide à répondre à des questions telles que « est-ce un appel API inhabituel pour ce rôle? » »ou« ce pic de trafic de cette instance est-il prévu? ». Vous n’avez pas besoin d’écrire de code, de configurer ou de régler vos propres requêtes.

Pour commencer Amazon Detective, J’ouvre l’AWS Management Console, je tape «détective» dans la barre de recherche et je sélectionne Amazon Detective à partir des résultats fournis pour lancer le service. J’active le service et je laisse la console me guider pour configurer les comptes «membres» à surveiller et le compte «maître» dans lequel agréger les données. Après cette configuration unique, Amazon Detective commence immédiatement à analyser les données de télémétrie AWS et, en quelques minutes, j’ai accès à un ensemble d’interfaces visuelles qui résument mes ressources AWS et leurs comportements associés tels que les connexions, les appels d’API et le trafic réseau. Je recherche une découverte ou une ressource Amazon Detective Barre de recherche et, après un court instant, je suis en mesure de visualiser la ligne de base et la valeur actuelle d’un ensemble de mesures.

Je sélectionne le type de ressource et l’ID et commence à parcourir les différents graphiques.

Je peux également enquêter sur une découverte d’AWS Guard Duty en utilisant les intégrations natives dans les consoles Guard Duty et AWS Security Hub. Je clique sur le lien «Enquêter» à partir de toute découverte d’AWS Guard Duty et je saute directement dans un Amazon Detective console qui fournit les détails, le contexte et les conseils associés pour enquêter et répondre au problème. Dans l’exemple ci-dessous, Guard Duty signale un accès non autorisé sur lequel je décide d’enquêter:

Amazon Detective la console s’ouvre:

Je fais défiler la page pour vérifier le graphique des appels d’API ayant échoué. Je clique sur une barre dans le graphique pour obtenir les détails, tels que les adresses IP d’où proviennent les appels:

Une fois que je connais les adresses IP source, je clique Nouveau comportement: rôle AWS et observez d’où proviennent ces appels pour comparer avec la ligne de base découverte automatiquement.

Amazon Detective fonctionne sur tous vos comptes AWS, il s’agit d’une solution multi-comptes qui regroupe les données et les résultats de jusqu’à 1000 comptes AWS en un seul compte «maître» appartenant à la sécurité, ce qui facilite la visualisation des modèles de comportement et des connexions dans l’ensemble de votre environnement AWS.

Il n’y a aucun agent, capteur ou logiciel supplémentaire à déployer pour utiliser le service. Amazon Detective récupère, agrège et analyse les données des journaux de flux AWS Guard Duty, AWS CloudTrail et Amazon Virtual Private Cloud. Amazon Detective collecte les journaux existants directement à partir d’AWS sans toucher à votre infrastructure, ce qui n’a aucun impact sur les coûts ou les performances.

Amazon Detective peut être administré via la AWS Management Console ou via le Amazon Detective API de gestion. Les API de gestion vous permettent de construire Amazon Detective dans vos processus d’enregistrement, d’activation et de déploiement de compte standard.

Amazon Detective est un service régional. J’active le service dans toutes les régions AWS dans lesquelles je souhaite analyser les résultats. Toutes les données sont traitées dans la région AWS où elles sont générées. Amazon Detective maintient l’analyse des données et les résumés des journaux dans le graphique de comportement pendant une période continue d’un an à compter de la date d’ingestion des journaux. Cela permet une analyse visuelle et des plongées profondes sur un grand ensemble de données pendant une longue période de temps. Lorsque je désactive le service, toutes les données sont effacées pour garantir qu’aucune donnée ne reste.

Il n’y a aucun frais supplémentaire ni engagement initial requis pour utiliser Amazon Detective. Nous facturons par Go de données ingérées à partir d’AWS AWS CloudTrail, des journaux de flux d’Amazon Virtual Private Cloud et des conclusions d’AWS Guard Duty. Amazon Detective offre un essai gratuit de 30 jours. Comme d’habitude, consultez la page des prix pour les détails.

Amazon Detective est disponible dans ces 14 régions AWS: États-Unis Est (Ohio), États-Unis Est (Virginie du Nord), Ouest américain (Californie du Nord), Ouest américain (Oregon), Asie-Pacifique (Séoul), Asie Pacifique (Singapour), Asie-Pacifique (Sydney), Asie Pacifique (Tokyo), Europe (Francfort), Europe (Irlande), Europe (Londres), Europe (Paris), Canada (centre), et Amérique du Sud (São Paulo).

Vous pouvez commencer à l’utiliser dès aujourd’hui.

— Seb



Auteur de l’article : manuboss