Amazon Detective es un servicio que facilita el triage, la investigación de incidentes y la cacería del atacante (Cyber Threat Hunting).
A partir de un hallazgo en Amazon GuardDuty o en AWS Security Hub, o en el SIEM, Amazon Detective inspeccionará el incidente en detalle correlacionando la información con los VPC Flow Logs y los AWS CloudTrail Logs , para darle al analista el contexto, geolocalizado, y que pueda ver cuál es el patrón de comportamiento normal y compararlo con el incidente.
Permite analizar el comportamiento de los recursos:
Y te permitirá saber si las conexiones vienen de ubicaciones normales (previamente vistas)
De este modo, facilita la investigación, el descarte de los falsos positivos, y el llegar a la causa raíz del incidente.
https://www.xmind.net/m/rdJPsS
https://aws.amazon.com/es/detective/pricing
El servicio cuenta con un período de pruebas de 30 días (free trial), y desde el primer momento que se activa el servicio, ya incluye dos semanas previas de datos disponibles para analizar.
El servicio cuenta con una página para verificar el uso actual y estimar el uso futuro.