Was ist Amazon Detective?
Amazon Detective ist ein Sicherheitsservice, der die Analyse und Untersuchung von Sicherheitsvorfällen in AWS-Umgebungen vereinfacht. Der Service sammelt automatisch Log-Daten aus verschiedenen AWS-Quellen, korreliert diese und erstellt interaktive Visualisierungen zur Untersuchung verdächtiger Aktivitäten.
Detective nutzt maschinelles Lernen und Graph-Analyse, um Zusammenhänge zwischen Ressourcen, Nutzern und Aktivitäten zu erkennen, die manuell schwer zu identifizieren wären. Bei einem GuardDuty-Alert können Sie mit einem Klick in Detective eintauchen und den vollständigen Kontext der Bedrohung sehen.
Kernfunktionen
- Automatische Datenkorrelation: Verbindet Daten aus CloudTrail, VPC Flow Logs und GuardDuty über 12 Monate
- Entity Profiles: Detaillierte Profile für IAM-Benutzer, Rollen, EC2-Instanzen und IP-Adressen
- Finding Groups: Gruppiert zusammenhängende Sicherheits-Findings zu einem Vorfall
- Investigation Workbench: Interaktive Visualisierung zur Analyse von Aktivitätsmustern
- ML-basierte Anomalie-Erkennung: Identifiziert ungewöhnliches Verhalten basierend auf historischen Baselines
Typische Anwendungsfälle
Incident Response: Bei einem GuardDuty-Alert untersuchen Sie mit Detective den vollständigen Umfang des Vorfalls. Welche IP-Adressen waren beteiligt? Welche anderen Ressourcen hat der Angreifer kontaktiert? Welche API-Aufrufe wurden getätigt?
Threat Hunting: Suchen Sie proaktiv nach verdächtigen Aktivitäten, bevor Alerts ausgelöst werden. Detective zeigt ungewöhnliche Muster wie neue API-Aufrufe von bekannten Nutzern oder Verbindungen zu ungewöhnlichen Regionen.
Compliance-Untersuchungen: Bei Compliance-Audits können Sie nachweisen, wer wann auf welche Ressourcen zugegriffen hat. Detective erstellt detaillierte Aktivitätsprotokolle für jeden Nutzer und jede Ressource.
Vorteile
- Keine manuelle Einrichtung von Log-Aggregation erforderlich
- Automatische Korrelation von Daten über alle AWS-Accounts
- Ein-Klick-Integration mit GuardDuty für nahtlose Untersuchungen
- 12 Monate Datenhistorie für retrospektive Analysen
Integration mit innFactory
Als AWS Reseller unterstützt innFactory Sie bei Amazon Detective: Setup und Konfiguration, Integration mit bestehenden SIEM-Systemen, Schulung für Incident Response Teams und Optimierung der Sicherheitsarchitektur.
Typische Anwendungsfälle
Häufig gestellte Fragen
Was ist Amazon Detective?
Amazon Detective sammelt und analysiert automatisch Log-Daten aus AWS CloudTrail, VPC Flow Logs und GuardDuty. Der Service erstellt Visualisierungen und nutzt ML, um Zusammenhänge zwischen Ressourcen, Nutzern und Aktivitäten zu erkennen.
Wie unterscheidet sich Detective von GuardDuty?
GuardDuty erkennt Bedrohungen und generiert Alerts. Detective hilft bei der anschließenden Untersuchung: Woher kam die Bedrohung? Welche Ressourcen waren betroffen? Was ist der volle Umfang des Vorfalls?
Welche Datenquellen nutzt Detective?
Detective verarbeitet automatisch CloudTrail-Logs (API-Aufrufe), VPC Flow Logs (Netzwerkverkehr), GuardDuty Findings und optional EKS Audit Logs. Die Daten werden über 12 Monate gespeichert und korreliert.
Wie schnell ist Detective nach Aktivierung einsatzbereit?
Detective beginnt sofort mit der Datenaufnahme, benötigt aber 24 bis 48 Stunden, um Baselines zu etablieren. Nach etwa zwei Wochen sind ML-Modelle optimal trainiert, um Anomalien zu erkennen.