Amazon Detective: Análisis de causa raíz
NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.
Analizando la causa raíz del incidente
Amazon Detective es un servicio que facilita el triage, la investigación de incidentes y la cacería del atacante (Cyber Threat Hunting).
A partir de un hallazgo en Amazon GuardDuty o en AWS Security Hub, o en el SIEM, Amazon Detective inspeccionará el incidente en detalle correlacionando la información con los VPC Flow Logs y los AWS CloudTrail Logs , para darle al analista el contexto, geolocalizado, y que pueda ver cuál es el patrón de comportamiento normal y compararlo con el incidente.
Permite analizar el comportamiento de los recursos:
Y te permitirá saber si las conexiones vienen de ubicaciones normales (previamente vistas)
De este modo, facilita la investigación, el descarte de los falsos positivos, y el llegar a la causa raíz del incidente.
Amazon Detective Mindmap
https://www.xmind.net/m/rdJPsS
Precios
https://aws.amazon.com/es/detective/pricing
El servicio cuenta con un período de pruebas de 30 días (free trial), y desde el primer momento que se activa el servicio, ya incluye dos semanas previas de datos disponibles para analizar.
El servicio cuenta con una página para verificar el uso actual y estimar el uso futuro.