Amazon Detective: Análisis de causa raíz

Analizando la causa raíz del incidente

Amazon Detective es un servicio que facilita el triage, la investigación de incidentes y la cacería del atacante (Cyber Threat Hunting).

Amazon Detective

A partir de un hallazgo en Amazon GuardDuty o en AWS Security Hub, o en el SIEM, Amazon Detective inspeccionará el incidente en detalle correlacionando la información con los VPC Flow Logs y los AWS CloudTrail Logs , para darle al analista el contexto, geolocalizado, y que pueda ver cuál es el patrón de comportamiento normal y compararlo con el incidente.

Amazon Detective Amazon Detective

Permite analizar el comportamiento de los recursos:

Amazon Detective

Y te permitirá saber si las conexiones vienen de ubicaciones normales (previamente vistas)

Amazon Detective

De este modo, facilita la investigación, el descarte de los falsos positivos, y el llegar a la causa raíz del incidente.

Amazon Detective Mindmap

https://www.xmind.net/m/rdJPsS

Precios

https://aws.amazon.com/es/detective/pricing
El servicio cuenta con un período de pruebas de 30 días (free trial), y desde el primer momento que se activa el servicio, ya incluye dos semanas previas de datos disponibles para analizar.
El servicio cuenta con una página para verificar el uso actual y estimar el uso futuro.