Apa Itu Amazon Detective – Amazon Detective adalah alat yang dirancang untuk membantu Anda dengan cepat menganalisis, menyelidiki, dan mengidentifikasi akar penyebab temuan keamanan atau aktivitas mencurigakan. Dengan mengumpulkan data log secara otomatis dari sumber daya Anda, Amazon Detective memanfaatkan teknologi pembelajaran mesin, analisis statistik, dan teori grafik untuk menghasilkan visualisasi yang memudahkan proses penyelidikan keamanan. Data yang teragregasi oleh Detective, disertai ringkasan dan konteks, memungkinkan Anda untuk dengan cepat menilai sifat dan tingkat potensi masalah keamanan.
Apa Itu Amazon Detective
detektiv – Dengan Amazon Detective, Anda dapat mengakses data peristiwa historis hingga satu tahun. Data ini disajikan melalui berbagai visualisasi yang menampilkan perubahan dalam jenis dan volume aktivitas selama jendela waktu yang ditentukan. Amazon Detective juga menghubungkan perubahan ini dengan temuan dari GuardDuty. Jika Anda ingin mengetahui lebih lanjut tentang sumber data yang digunakan dalam grafik perilaku Detective, Anda dapat merujuk pada informasi berikut.
Dengan kemampuan untuk mengagregasi data secara otomatis dan menyediakan alat visual yang intuitif, Amazon Detective memfasilitasi penyelidikan keamanan yang lebih cepat dan efisien. Anda dapat dengan segera mengidentifikasi potensi masalah dan menentukan lingkup ancaman keamanan.
Fitur Utama Amazon Detective
Berikut adalah beberapa cara utama Amazon Detective meningkatkan kemampuan Anda dalam menyelidiki aktivitas mencurigakan di lingkungan AWS Anda serta menganalisis sumber daya untuk mengidentifikasi akar penyebab masalah keamanan.
Kelompok Pencari Detective
Kelompok pencari dalam Amazon Detective memungkinkan Anda untuk meninjau berbagai aktivitas terkait dengan peristiwa keamanan yang berpotensi berisiko. Anda dapat menganalisis akar penyebab temuan GuardDuty yang memiliki tingkat keparahan tinggi melalui kelompok temuan. Biasanya, pelaku ancaman yang berusaha mengkompromikan lingkungan AWS Anda melakukan serangkaian tindakan yang menghasilkan beberapa temuan keamanan serta perilaku tidak biasa.
Halaman kelompok temuan di Detective menampilkan semua kelompok temuan yang relevan, diambil dari grafik perilaku Anda. Untuk informasi lebih lanjut tentang cara memanfaatkan kelompok pencarian ini dalam analisis akar penyebab temuan keamanan, Anda dapat melihat panduan terkait.
Amazon Detective juga menyediakan visualisasi interaktif untuk setiap kelompok pencari, memudahkan Anda dalam menyelidiki masalah keamanan dengan lebih cepat dan menyeluruh. Visualisasi ini dirancang untuk menunjukkan secara jelas entitas dan temuan yang terlibat dalam insiden keamanan, sehingga memudahkan pemahaman terkait koneksi dan akar penyebabnya.
Baca Juga : Pembantu Detektif Paling Ikonik
Investigasi Detektif untuk Temuan Triase
Dengan fitur investigasi dari Amazon Detective, Anda dapat menyelidiki pengguna dan peran IAM menggunakan indikator kompromi, yang akan membantu Anda menentukan apakah sumber daya tertentu terlibat dalam insiden keamanan. Indikator kompromi (IOC) adalah artefak yang terdeteksi di dalam jaringan, sistem, atau lingkungan Anda yang secara signifikan dapat mengidentifikasi aktivitas berbahaya atau insiden keamanan. Dengan begitu, investigasi ini memaksimalkan efisiensi, memfokuskan perhatian pada ancaman keamanan, dan memperkuat kemampuan respons insiden.
Investigasi dalam Amazon Detective menggunakan model pembelajaran mesin dan intelijen ancaman untuk menonjolkan masalah yang paling kritis dan mencurigakan. Dengan cara ini, perhatian Anda dapat lebih terfokus pada penyelidikan tingkat tinggi. Alat ini secara otomatis menganalisis sumber daya di lingkungan AWS Anda untuk mengidentifikasi potensi indikator kompromi atau aktivitas mencurigakan, membantu Anda mengenali pola dan memahami sumber daya mana yang terpengaruh oleh peristiwa keamanan. Ini menawarkan pendekatan proaktif untuk identifikasi dan mitigasi ancaman.
Anda dapat memulai investigasi menggunakan Amazon Detective melalui konsol dengan memilih opsi untuk menjalankan investigasi. Untuk melaksanakan investigasi secara terprogram, gunakan operasi StartInvestigation dalam Detective. Jika Anda ingin menjalankan investigasi melalui AWS Command Line Interface (CLI), cukup gunakan perintah start-investigation.
Integrasi Detective dengan Amazon Security Lake
Detective terintegrasi dengan Amazon Security Lake, memungkinkan Anda untuk melakukan kueri dan mengambil data log mentah yang disimpan di Security Lake. Dengan integrasi ini, Anda dapat mengumpulkan log dan peristiwa dari sejumlah sumber yang didukung secara native oleh Security Lake, termasuk:
– AWS CloudTrail untuk acara manajemen versi 1. 0 dan yang lebih baru.
– Amazon Virtual Private Cloud (Amazon VPC) Flow Logs versi 1. 0 dan yang lebih baru.
– Log Audit dari Amazon Elastic Kubernetes Service (EKS) versi 2. 0.
Setelah mengintegrasikan Detective dengan Security Lake, Detective secara otomatis menarik log mentah yang berkaitan dengan peristiwa AWS CloudTrail dan Amazon VPC Flow Logs. Anda dapat meminta log mentah tersebut untuk memeriksa rincian log dan peristiwa dalam Detective.
Menyelidiki Volume VPC Flow
Dengan menggunakan Detective, Anda dapat secara interaktif memeriksa rincian aktivitas aliran dari Virtual Private Cloud (VPC) yang terkait dengan instans Amazon Elastic Compute Cloud (Amazon EC2) dan pod Kubernetes. Detective secara otomatis mengumpulkan log dari VPC Flow yang berasal dari akun yang dipantau, menggabungkannya berdasarkan instance EC2, dan menyajikan ringkasan visual serta analitik terkait aliran jaringan ini.
Misalnya, untuk instans EC2, rincian aktivitas dari keseluruhan Volume VPC Flow menunjukkan interaksi antara instans EC2 dan alamat IP selama periode yang telah Anda tentukan. Sementara itu, untuk pod Kubernetes, keseluruhan Volume VPC Flow menampilkan total byte yang dikirim dan diterima dari alamat IP yang ditugaskan kepada pod Kubernetes untuk semua alamat IP tujuan.
Baca Juga : Rekomendasi Sepatu Docmart untuk Tampil Lebih Edgy
Mengakses Amazon Detective
Amazon Detective tersedia di sebagian besar wilayah AWS. Untuk informasi lengkap mengenai wilayah di mana Detective saat ini dapat digunakan, silakan lihat bagian akhir dari dokumentasi Amazon Detective dan kuota yang tersedia. Selain itu, untuk mempelajari cara mengelola wilayah akun AWS Anda, referensikan Panduan Manajemen Akun AWS.
Di setiap wilayah, Anda dapat menggunakan Detective dengan cara berikut:
1. AWS Management Console: Ini adalah antarmuka berbasis web yang dapat Anda gunakan untuk membuat dan mengelola sumber daya AWS. Konsol Detective yang terdapat dalam AWS Management Console memberi Anda akses ke akun, data, dan sumber daya Detective Anda. Melalui konsol ini, Anda dapat melakukan berbagai tugas terkait Detective, seperti meninjau potensi ancaman keamanan, menganalisis, menyelidiki, dan mengidentifikasi akar penyebab dari temuan keamanan.
# AWS Command Line Tools
Dengan alat baris perintah AWS, Anda dapat menjalankan berbagai perintah di sistem Anda untuk memenuhi kebutuhan tugas AWS, termasuk AWS Detective. Menggunakan baris perintah sering kali lebih efisien dan nyaman dibandingkan dengan menggunakan konsol. Selain itu, alat baris perintah sangat berguna jika Anda ingin membangun skrip untuk otomatisasi tugas-tugas tertentu.
AWS menawarkan dua jenis alat baris perintah: AWS Command Line Interface (AWS CLI) dan AWS Tools for PowerShell. Untuk panduan instalasi dan penggunaan AWS CLI, silakan rujuk ke Panduan Pengguna AWS Command Line Interface. Jika Anda mencari informasi mengenai instalasi dan penggunaan AWS Tools for PowerShell, lihatlah Panduan Pengguna AWS Tools for PowerShell.
# AWS SDKs
AWS juga menyediakan Software Development Kits (SDKs) yang terdiri dari pustaka dan contoh kode untuk berbagai bahasa pemrograman dan platform, seperti Java, Go, Python, C++, dan . NET. SDK ini memudahkan akses terprogram ke layanan AWS, termasuk Detective. SDK bertanggung jawab untuk menangani berbagai tugas, seperti menandatangani permintaan secara kriptografis, mengelola kesalahan, dan melakukan pengulangan permintaan secara otomatis. Untuk informasi lebih lanjut mengenai instalasi dan penggunaan AWS SDKs, Anda dapat merujuk pada Alat untuk Membangun AWS.
# Amazon Detective REST API
API REST Amazon Detective memberikan akses terprogram yang komprehensif ke akun dan sumber daya Detective Anda. Dengan API ini, Anda dapat mengirimkan permintaan HTTPS langsung ke Detective. Namun, berbeda dari alat baris perintah AWS dan SDK, penggunaan API ini memerlukan aplikasi Anda untuk menangani detail tingkat rendah, seperti menghasilkan hash untuk menandatangani permintaan. Untuk informasi lebih lanjut, lihat Referensi API Detective.
# Harga untuk Amazon Detective
Sama seperti produk AWS lainnya, tidak terdapat kontrak atau komitmen minimum untuk menggunakan Amazon Detective. Harga untuk Detective didasarkan pada beberapa dimensi dan mengenakan tarif tetap berjenjang per GB untuk semua data, terlepas dari sumbernya. Untuk rincian lebih lanjut, Anda dapat merujuk pada informasi harga di halaman Harga Amazon Detective.
Untuk membantu Anda memperkirakan biaya penggunaan Detective, layanan ini memberikan perkiraan biaya berdasarkan penggunaan akun Anda. Anda dapat meninjau perkiraan ini melalui konsol Amazon Detective dan mengaksesnya menggunakan Amazon Detective API. Bergantung pada bagaimana Anda menggunakan layanan ini, mungkin terdapat biaya tambahan untuk integrasi dengan layanan AWS lain, seperti integrasi Security Lake dan Investigasi Detective.
Ketika Anda pertama kali mengaktifkan Detective, akun AWS Anda secara otomatis terdaftar dalam uji coba gratis selama 30 hari. Ini mencakup akun individu yang diaktifkan sebagai bagian dari organisasi di AWS Organizations. Selama periode uji coba ini, tidak ada biaya yang dikenakan untuk menggunakan Detective dalam batasan yang berlaku di wilayah AWS.
Setelah periode uji coba gratis berakhir, Detective memberikan perkiraan biaya penggunaan berdasarkan aktivitas Anda selama masa percobaan. Anda juga dapat memantau sisa waktu sebelum berakhirnya masa uji coba. Data penggunaan dapat ditinjau di konsol Amazon Detective.
# Siapa yang Menggunakan Detective?
Ketika sebuah akun mengaktifkan Detective, akun tersebut akan menjadi akun administrator untuk grafik perilaku. Grafik perilaku merupakan kumpulan data yang diekstraksi dan dianalisis dari satu atau lebih akun AWS. Akun administrator memiliki kapasitas untuk mengundang akun anggota lain untuk berkontribusi dengan data mereka ke grafik perilaku yang dikelola oleh akun administrator.
Detektif terintegrasi dengan AWS Organizations, di mana akun manajemen organisasi Anda berfungsi sebagai akun administrator untuk Detektif dalam struktur organisasi Anda. Akun administrator Detektif ini memungkinkan anggota organisasi untuk terlibat dalam grafik perilaku yang telah dibangun.
Untuk informasi lebih lanjut tentang bagaimana Detektif memanfaatkan data dari akun dalam grafik perilaku, silakan lihat pada bagian tentang Sumber Data yang Digunakan dalam Grafik Perilaku Detektif.
Jika Anda ingin mengetahui cara akun administrator mengelola grafik perilaku, Anda dapat merujuk pada panduan Mengelola Akun di Detektif. Sedangkan anggota yang ingin mengatur undangan grafik perilaku dan keanggotaan mereka dapat merujuk pada panduan untuk Akun Anggota tentang Pengelolaan Undangan Grafik Perilaku dan Keanggotaan.
Akun administrator memanfaatkan analitik dan visualisasi yang dihasilkan dari grafik perilaku untuk menyelidiki sumber daya AWS serta temuan dari GuardDuty. Dengan integrasi Detektif bersama GuardDuty dan AWS Security Hub, Anda dapat dengan mudah beralih dari temuan GuardDuty di layanan tersebut ke konsol Detektif.
Penyelidikan Detektif berfokus pada aktivitas yang berhubungan dengan sumber daya AWS yang terlibat. Untuk pemahaman lebih mendalam mengenai proses penyelidikan di Detektif, silakan lihat panduan mengenai Bagaimana Amazon Detektif Digunakan untuk Penyelidikan.
Layanan Terkait
Untuk meningkatkan keamanan data, beban kerja, dan aplikasi Anda di AWS, pertimbangkan untuk memanfaatkan layanan-layanan berikut bersamaan dengan Amazon Detektif:
– AWS Security Hub
AWS Security Hub menyediakan pandangan menyeluruh mengenai posisi keamanan sumber daya AWS Anda dan membantu Anda memeriksa lingkungan AWS terhadap standar industri dan praktik terbaik yang berlaku. Ini dilakukan dengan mengumpulkan, mengorganisir, serta memprioritaskan temuan keamanan dari berbagai layanan AWS, termasuk Detektif, dan produk-produk yang didukung oleh Jaringan Mitra AWS. Dengan menggunakan AWS APN Security Hub, Anda dapat menganalisis tren keamanan dan mengidentifikasi isu-isu keamanan yang paling mendesak di lingkungan AWS Anda. Untuk informasi lebih lanjut mengenai Security Hub, silakan kunjungi Panduan Pengguna AWS Security Hub.
– Amazon GuardDuty
Amazon GuardDuty merupakan layanan pemantauan keamanan yang melakukan analisis dan pemrosesan terhadap tipe-tipe log AWS tertentu, seperti log peristiwa AWS CloudTrail untuk Amazon S3 dan log peristiwa manajemen. Layanan ini memanfaatkan umpan intelijen ancaman, termasuk daftar alamat IP dan domain yang berpotensi berbahaya, serta teknologi pembelajaran mesin untuk mendeteksi aktivitas yang mencurigakan dan mungkin berbahaya dalam lingkungan Anda.