کارآگاه آمازون چیست؟
کارآگاه آمازون فرآیند تحلیل و تحقیق را در حسابهای AWS شما ساده میکند و تیم شما را قادر میسازد تا به سرعت و به راحتی علت اصلی یک مشکل امنیتی بالقوه را تعیین کند.
در امنیت AWS بسیار مهم است، شما میتوانید چندین سرویس AWS را پیدا کنید که میتوانند در صورت بروز مشکل به شما هشدار ارسال کنند، اما کارآگاه آمازون به شما کمک میکند تا عمیقتر شوید و جزئیات سطح دانهای را دریافت کنید.
کارآگاه آمازون چگونه کار می کند؟
هنگامی که Detective را در حساب AWS خود فعال می کنید، این سرویس به طور خودکار میلیون ها داده را از چندین منبع داده جمع آوری و تجزیه و تحلیل می کند و بینش بصری قابل درک را برای تعامل با تجزیه و تحلیل به ما ارائه می دهد. بنابراین به جای بازرسی دستی لاگ های خام، می توانید جزئیات مربوط به یک مشکل را در یک مکان تجسم کنید و به سؤال امنیتی خود پاسخ دهید.
گزارشها را از رویدادهای مدیریت CloudTrail، ترافیک شبکه VPC، یافتههای GuardDuty جمعآوری میکند و سپس از یادگیری ماشین، تجزیه و تحلیل آماری و تئوری گراف برای ایجاد تصویرسازی استفاده میکند.
موارد استفاده از آمازون Detective عبارتند از:
1. تریاژ یافتن/هشدار: فرض کنید یک یافته GuardDuty دریافت کرده اید و مطمئن نیستید که آیا باید نگران باشید. Detective می تواند به سوالات شما پاسخ دهد، به این معنی که می تواند به شما در تسریع تریاژ و جلوگیری از تشدید غیر ضروری کمک کند.
2. بررسی حادثه: اگر یافتهها نگرانکننده باشند، فرآیند تریاژ یافتن به یک بررسی حادثه تبدیل میشود و به شما امکان میدهد تا تجزیه و تحلیل را تا یک سال به عقب ببینید و به شما کمک کند به سؤالاتی پاسخ دهید مانند مدت زمان مشکل امنیتی و تعداد منابع موجود. تحت تاثیر آن قرار گرفته است.
3. شکار تهدید: فرض کنید می خواهید بدانید که یک آدرس IP در محیط شما چه نوع تعاملاتی داشته است.
آمازون Detective یک سرویس چند حساب است
مشتریان با چندین حساب که می خواهند تحقیقات امنیتی را متمرکز کنند می توانند از Amazon Detective استفاده کنند. باید Detective را در یکی از حسابهای ما فعال کنید، بگذارید آن را حساب اصلی بنامیم. Detective از لاگ های جمع آوری شده از CloudTrail، VPC Network Traffic، GaurdDuty Finding، نمودار رفتار امنیتی می سازد.
حساب اصلی میتواند دعوتنامهها را به حسابهای دیگر ارسال کند و گزارشهای CloudTrail، ترافیک شبکه VPC و یافتههای GaurdDuty آنها با حساب اصلی به اشتراک گذاشته میشود. بنابراین، پیروی از بهترین شیوه ها برای مدیریت دسترسی و امنیت داده ها ضروری است تا اطمینان حاصل شود که فقط کاربران مجاز به اطلاعات حساس دسترسی دارند.
فعال کردن یافته های امنیتی AWS در کنسول کارآگاه آمازون
هنگامی که Detective را برای اولین بار فعال می کنید، یافته های GuardDuty و Security Hub را شناسایی می کند و شروع به جذب آنها در کنار سایر منابع داده می کند.
کارآگاه شروع به تجزیه و تحلیل تمام داده های مربوطه می کند تا پیوندهای بین رویدادها و فعالیت های متفاوت را شناسایی کند. شما می توانید تصویری از این ارتباطات، از جمله رفتار و فعالیت های منابع، برای شروع فرآیند تحقیق خود دریافت کنید. پس از دو هفته، خطوط پایه تاریخی ایجاد میشوند که میتوان از آن برای مقایسه فعالیتهای اخیر استفاده کرد.
نسخه ی نمایشی
رابط جستجوی کارآگاه آمازون به عنوان یک مکان مشترک برای کاربران جدید عمل می کند. در این رابط، شما توانایی جستجو با معیارهای مختلف از جمله GuardDuty Finding، حساب AWS، نقش AWS، نمونه EC2، آدرس IP، جلسه نقش، کاربر و عامل کاربر.
برای جستجوی خاص برای یک نقش AWS، آن را از لیست کشویی انتخاب کرده و نقش مورد نظر را در نوار جستجو وارد کنید.
پس از انجام جستجو، به صفحه نمایه برای نقش AWS مربوطه هدایت خواهید شد. شایان ذکر است که Detective صفحه نمایه مشابهی را برای هر منبع ارائه می دهد. برای شروع، تنظیم کنید زمان محدوده به بازه زمانی مورد نظر
صفحه نمایه به چندین برگه تقسیم می شود: بررسی اجمالی، رفتار جدید، و تعامل با منابع.
برگه نمای کلی اطلاعات سطح بالایی را ارائه می دهد، از جمله:
- اطلاعات مربوط به نقش
- یافته های مرتبط با منبع
- پانل «حجم تماس کلی API» همه تماسهای موفق و ناموفق API را که با استفاده از این نقش انجام شده است را نشان میدهد.
در تب Resource Interaction، می توانید مشاهده کنید:
- چه کسی این نقش را بر عهده گرفته است
- نقشی که نقش ما بر عهده گرفته است.
برگه New Behavior هر رفتاری را که توسط Role نشان داده شده و قبل از زمان محدوده انتخابی مشاهده نشده است، برجسته می کند.
مدل قیمت گذاری
کارآگاه آمازون یک مدل قیمتگذاری سطحی دارد که بر اساس حجم دادههایی است که سرویس دریافت میکند، و تجزیه و تحلیل و خلاصههای دادههای مصرفشده به مدت 1 سال نگهداری میشوند.
لینک های مفید
