Home » Cloud

Amazon Detective là gì?

By in Cloud, Tìm hiểu công nghệ
Amazon Detective
Ảnh: helpnetsecurity.com

Trước đây, AWS đã giới thiệu nhiều dịch vụ khác nhau để hỗ trợ việc điều tra khi có sự cố đối với tài khoản AWS của bạn:

  • AWS CloudTrail: ghi lại tất cả hoạt động trên tài khoản AWS của bạn diễn ra thông qua lệnh gọi API, công cụ dòng lệnh AWS và trong bảng điều khiển quản lý AWS.
Cách thức hoạt động của AWS CloudTrail.
  • Amazon VPC Flow Logs: một tùy chọn được giới thiệu như một phần của Amazon Virtual Private Cloud (VPC), đám mây riêng ảo của Amazon. VPC Flow Logs ghi lại tất cả lưu lượng truy cập vào và ra khỏi các giao diện mạng ảo được gắn với các máy ảo trong Amazon EC2. VPC Flow Logs có thể được đưa lên Amazon CloudWatch Logs hoặc Amazon S3.
Ví dụ về: VPC Flow Logs. Ảnh docs.aws.amazon.com
  • Amazon GuardDuty: một dịch vụ được thiết kế đặc biệt để phát hiện các mối đe dọa trong tài khoản AWS của bạn một cách thông minh. Nó có khả năng giám sát liên tục tài khoản AWS của bạn để tìm hoạt động độc hại và hành vi trái phép.
Cách thức hoạt động của Amazon GuardDuty. Ảnh docs.aws.amazon.com

Ba dịch vụ này hoạt động một cách độc lập và ghi nhật ký riêng những gì xảy ra trong tài khoản AWS của bạn. Tuy nhiên, khi bạn cần điều tra các sự cố, có thể rất khó để kết hợp cả ba dịch vụ lại với nhau để tìm ra chuyện gì đã xảy ra ở đâu và khi nào. Và đó là lúc bạn cần đến Amazon detective.

Amazon detective là gì?

Amazon Detective giúp dễ dàng phân tích, điều tra và nhanh chóng xác định nguyên nhân gốc rễ của các phát hiện bảo mật hoặc các hoạt động đáng ngờ. Detective tự động thu thập dữ liệu nhật ký từ các tài nguyên AWS của bạn. Sau đó, nó sử dụng học máy, phân tích thống kê và lý thuyết đồ thị để giúp bạn hình dung và tiến hành điều tra bảo mật nhanh hơn và hiệu quả hơn.

Các bản tổng hợp, tóm tắt và ngữ cảnh dữ liệu được xây dựng trước của Detective giúp bạn nhanh chóng phân tích và xác định bản chất và mức độ của các vấn đề bảo mật có thể xảy ra. Detective duy trì dữ liệu sự kiện lịch sử lên đến một năm. Dữ liệu này có sẵn dễ dàng thông qua một tập hợp các hình ảnh hiển thị cho thấy những thay đổi về loại và khối lượng hoạt động trong một khoảng thời gian đã chọn. Detective liên kết những thay đổi đó với phát hiện của GuardDuty.

Amazon Detective hoạt động thế nào?

Amazon Detective tự động trích xuất các sự kiện dựa trên thời gian như nỗ lực đăng nhập, lệnh gọi API và lưu lượng mạng từ nhật ký luồng AWS CloudTrail và Amazon VPC. Nó cũng nhập các phát hiện được phát hiện bởi GuardDuty.

Từ những sự kiện đó, Detective sử dụng máy học và trực quan hóa để tạo ra một cái nhìn thống nhất, tương tác về các hành vi tài nguyên của bạn và tương tác giữa chúng theo thời gian. Bạn có thể khám phá biểu đồ hành vi này để kiểm tra các hành động khác nhau, chẳng hạn như các lần đăng nhập không thành công hoặc các lệnh gọi API đáng ngờ. Bạn cũng có thể xem những hành động này ảnh hưởng như thế nào đến các tài nguyên như tài khoản AWS và phiên bản Amazon EC2. Bạn có thể điều chỉnh phạm vi và tiến trình của biểu đồ hành vi cho nhiều nhiệm vụ khác nhau:

  • Nhanh chóng điều tra bất kỳ hoạt động nào nằm ngoài tiêu chuẩn.
  • Xác định các mẫu (patterns) có thể chỉ ra vấn đề bảo mật.
  • Hiểu tất cả các tài nguyên bị ảnh hưởng.

Các thông tin được hình ảnh hóa, cung cấp thông tin cơ sở và tóm tắt thông tin tài khoản. Những phát hiện này có thể giúp trả lời các câu hỏi như “Đây có phải là lệnh gọi API bất thường cho vai trò này không?” Hoặc “Lưu lượng truy cập từ trường hợp này có tăng đột biến không?”

Với Detective, bạn không phải tổ chức bất kỳ dữ liệu nào hoặc cần phải phát triển, định cấu hình hoặc điều chỉnh các truy vấn và thuật toán của riêng mình. Bạn cũng không cần phải chi phí trả trước và chỉ trả cho các sự kiện được phân tích và cũng không cần các phần mềm bổ sung để triển khai hoặc các nguồn cấp dữ liệu khác.

Cách hoạt động của Amazon Detective
Cách hoạt động của Amazon Detective. Ảnh: aws.amazon.com

Ai sử dụng Amazon Detective?

Khi một tài khoản bật tính năng Detective, tài khoản đó sẽ trở thành tài khoản chính cho biểu đồ hành vi (behavior graph). Biểu đồ hành vi là một tập hợp dữ liệu được trích xuất và phân tích được liên kết từ một hoặc nhiều tài khoản AWS. Tài khoản chính mời các tài khoản thành viên đóng góp dữ liệu của họ vào biểu đồ hành vi của tài khoản chính.

Để biết thông tin về cách Detective sử dụng dữ liệu nguồn từ tài khoản biểu đồ hành vi có thể xem ở đây

Amazon Detective và biểu đồ hành vi
Dữ liệu sử dụng trong biểu đồ hành vi. Ảnh aws.amazon.com

Tài khoản chính sử dụng phân tích và hình ảnh hóa được tạo từ biểu đồ hành vi để điều tra các tài nguyên AWS và các phát hiện của GuardDuty. Tích hợp Detective với GuardDuty và AWS Security Hub cho phép bạn chuyển trực tiếp từ phát hiện GuardDuty trong các dịch vụ này vào bảng điều khiển Detective.

Nguồn tham khảo:

https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html

https://docs.aws.amazon.com/detective/latest/adminguide/detective-source-data-about.html

https://aws.amazon.com/vi/detective/

https://acloudguru.com/blog/engineering/what-is-amazon-detective

Đánh giá bài viết

Average rating 5 / 5. Vote count: 7

No votes so far! Be the first to rate this post.

Tags:

Comments are closed.