Amazon Detective: Análisis de causa raíz

NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.

Analizando la causa raíz del incidente

Amazon Detective es un servicio que facilita el triage, la investigación de incidentes y la cacería del atacante (Cyber Threat Hunting).

Amazon Detective

A partir de un hallazgo en Amazon GuardDuty o en AWS Security Hub, o en el SIEM, Amazon Detective inspeccionará el incidente en detalle correlacionando la información con los VPC Flow Logs y los AWS CloudTrail Logs , para darle al analista el contexto, geolocalizado, y que pueda ver cuál es el patrón de comportamiento normal y compararlo con el incidente.

Amazon Detective Amazon Detective

Permite analizar el comportamiento de los recursos:

Amazon Detective

Y te permitirá saber si las conexiones vienen de ubicaciones normales (previamente vistas)

Amazon Detective

De este modo, facilita la investigación, el descarte de los falsos positivos, y el llegar a la causa raíz del incidente.

Amazon Detective Mindmap

https://www.xmind.net/m/rdJPsS

Precios

https://aws.amazon.com/es/detective/pricing
El servicio cuenta con un período de pruebas de 30 días (free trial), y desde el primer momento que se activa el servicio, ya incluye dos semanas previas de datos disponibles para analizar.
El servicio cuenta con una página para verificar el uso actual y estimar el uso futuro.