What is Amazon Detective?
Detetive能夠幫助你調查資安事件發生的根本原因,透過機器學習、統計以及圖表,他可以從以時間單位為基礎的服務,例如:VPC flow log、API call、CloudTrail、GuardDuty等,找出資安問題的模式、受影響的項目以及超出你規定的活動。如果你有啟用GuardDuty,並與Detective串聯,在GuardDuty找到問題後,Detective會更進一步的列出問題的調查結果。
Detective 價格
啟用Detective之後前30天是免費的。之後Detective會依照從各資料來源擷取的流量費計算以東京為例,每一個Account前1000GB/月/region會收USD 2.7,後續 4,000 GB/帳戶/區域/月每 GB 1.35 USD,後續 5,000 GB/帳戶/區域/月每 GB 0.68 USD,超過 10,000 GB/帳戶/區域/月每 GB 0.34 USD。
(來源:https://aws.amazon.com/tw/detective/pricing/)
啟用Detective的前置作業
1.你必須啟用GuardDuty 至少48小時,這樣GuardDuty才能評估傳輸的資料量
2.你傳輸到Detective必須在上限以內,如果超過上限Detective無法偵測
3.我們在前面GuardDuty以及Security Hub的篇章講過服務都會有個管理帳戶,這邊也建議Detective的管理帳戶跟前兩個服務是同一個。如果有跨帳戶管理的需求Detective也可以設定
4.給予Detective相對應的IAM權限
{
“Version”: “2012–10–17”,
“Statement”: [
{
“Effect”: “Allow”,
“Action”: [
“detective:Get*”,
“detective:CreateGraph”, |
“detective:CreateMembers”,
“detective:DeleteGraph”,
“detective:DeleteMembers”,
“detective:ListGraphs”,
“detective:ListMembers”,
“detective:SearchGraph”,
“detective:StartMonitoringMember”,
“detective:ListTagsForResource”,
“detective:TagResource”,
“detective:UntagResource”,
“guardduty:ArchiveFindings”,
“guardduty:ListDetectors” ], “Resource”: “*”
}
]
}
Detective 佈建
1.找到Detective,並按下Get started
2.上面的先決條件在這邊設定
(1)指定管理帳戶
(2)附上相對應的IAM Policy
3.加上tag,完成之後按Enable Amazon Detective,就完成了。如果出現下面錯誤,代表你的GuardDuty可能尚未啟用或是啟用了但還沒有超過48小時。
4.畫面會跳到Account management,如果要邀請成員進入Detective,按Invite accounts。
5.加入成員可透過Email邀請或是透過csv.檔匯入,下面會附上成員必須要加入的IAM Policy,之後按Invite就可以發出邀請,等到成員接受邀請就能加入
Detective找出的結果
1.在側邊選單選Summary
2.Detective 會列出找到的結果,例如在過去24小時哪個role跟user call最多API、哪台EC2在過去24小時近來最多流量以及在過去24小時從哪個地區call 的API是最多的
圖片來源:https://aws.amazon.com/tw/detective/features/
小結
如果想要更深入的探討任何異常狀況發生的原因,Detective能夠幫你列出更細節的相關資訊。五個面向以及相關服務的介紹就先到這邊,明天我們將介紹資安的隱藏第六面向。