Thám tử Amazon giúp dễ dàng phân tích, điều tra và nhanh chóng xác định nguyên nhân gốc rễ của các vấn đề bảo mật tiềm ẩn hoặc các hoạt động đáng ngờ. Thám tử Amazon tự động thu thập dữ liệu nhật ký từ các tài nguyên AWS của bạn và sử dụng học máy, phân tích thống kê và lý thuyết đồ thị để xây dựng một tập hợp dữ liệu được liên kết cho phép bạn dễ dàng tiến hành các cuộc điều tra bảo mật nhanh hơn và hiệu quả hơn.
Các dịch vụ bảo mật AWS như Amazon GuardDuty, Amazon Macie và AWS Security Hub cũng như các sản phẩm bảo mật của đối tác có thể được sử dụng để xác định các vấn đề hoặc phát hiện bảo mật tiềm ẩn. Những dịch vụ này thực sự hữu ích trong việc cảnh báo bạn khi có điều gì đó không ổn và chỉ ra nơi cần đến để sửa chữa nó. Nhưng đôi khi có thể có một vấn đề bảo mật mà bạn cần phải tìm hiểu sâu hơn và phân tích thêm thông tin để cô lập nguyên nhân gốc rễ và thực hiện hành động. Xác định nguyên nhân gốc rễ của các phát hiện bảo mật có thể là một quá trình phức tạp thường bao gồm việc thu thập và kết hợp các bản ghi từ nhiều nguồn dữ liệu riêng biệt, sử dụng các công cụ trích xuất, chuyển đổi và tải (ETL) hoặc tập lệnh tùy chỉnh để tổ chức dữ liệu và sau đó các nhà phân tích bảo mật phải phân tích dữ liệu và tiến hành các cuộc điều tra kéo dài.
Thám tử Amazon đơn giản hóa quy trình này bằng cách cho phép các nhóm bảo mật của bạn dễ dàng điều tra và nhanh chóng tìm ra nguyên nhân gốc rễ của sự cố. Thám tử Amazon có thể phân tích hàng nghìn tỷ sự kiện từ nhiều nguồn dữ liệu như Nhật ký luồng đám mây riêng ảo (VPC), AWS CloudTrail và Amazon GuardDuty, đồng thời tự động tạo chế độ xem tương tác, thống nhất về tài nguyên, người dùng của bạn và tương tác giữa chúng theo thời gian. Với chế độ xem thống nhất này, bạn có thể hình dung tất cả các chi tiết và bối cảnh ở một nơi để xác định lý do cơ bản dẫn đến các phát hiện, đi sâu vào các hoạt động lịch sử có liên quan và nhanh chóng xác định nguyên nhân gốc rễ.
Bạn có thể bắt đầu với Thám tử Amazon chỉ bằng một vài cú nhấp chuột trong Bảng điều khiển AWS. Không có phần mềm để triển khai hoặc các nguồn dữ liệu để kích hoạt và duy trì.