关键字: [Amazon Web Services re:Invent 2023, Amazon Detective, Detective Finding Groups, Detective Investigations, Detective Security Lake, Detective Generative Ai, Detective Credential Compromise]

本文字数: 1400, 阅读完需: 7 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV12j41157rG

导读

安全调查通常涉及复杂的任务,比如破译事件类型和在不同的数据源中进行导航。在这个分组会议中,安全分析师可以了解使用Amazon Detective简化调查过程的好处。了解Detective如何轻松地关联和分析发现组的结果,为安全分析师提供清晰的见解,同时还可以分析复杂的大规模数据,以无缝地揭示有见地的模式,从而简化贵组织的安全调查。

演讲精华

以下是小编为您整理的本次演讲的精华，共1100字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

布伦特·梅纳德（Brent Maynard）担任亚马逊侦探（Amazon Detective）的产品经理，同时，亚马逊云科技（Amazon Web Services）的安全工程经理凯斯·吉尔伯特（Keith Gilbert）也参与了此次演讲。他们共同探讨了如何运用生成性人工智能提升安全调查的方法。

布伦特首先介绍了亚马逊侦探这一全面的安保服务。他指出，侦探会分析各种日志和发现，包括CloudTrail日志、EKS审计日志、GuardDuty发现、Security Hub发现以及VPC流量日志。接着，侦探会在图形数据库中处理所有这些数据，以便检测任何潜在的安全事件。

布伦特还提供了一个实际案例，展示了亚马逊侦探如何处理来自如VPC流量日志和CloudTrail日志等来源的数据。他强调，侦探负责管理所有这些原始数据的摄入和处理，使得客户无需担忧处理大量数据的问题。

亚马逊侦探的主要目标是帮助安全团队进行更高效、更快速的调查。布伦特承认，分析师目前面临的最大挑战是每天在各种云环境中产生的数千个发现和活动，这使得无法逐一手动检查每个发现。侦探试图以一种合理的方式对发现进行优先级排序和分组，以减少警报疲劳。

布伦特还举了一个例子，说明亚马逊侦探如何帮助客户处理大量的GuardDilty发现。例如，一个客户有数千个高严重性的GuardDuty发现。亚马逊侦探可以通过将相关活动组合在一起并提供上下文见解，从而帮助客户优先处理哪些发现需要回应。这样可以将一个EC2实例上的漏洞与针对该资产的GuardDuty发现联系起来。

总之，亚马逊侦探的目标并非仅仅提供更多功能，而是实现更好的安全成果。通过提高调查效率，使分析师能够更好地关注关键任务，从而真正体现成功。

接下来，凯斯·吉尔伯特分享了一个近期发生的真实身份凭证攻击案例。攻击始于一个暴露的Grafana仪表板，其中包含一个可远程利用的SSRF漏洞。这允许攻击者利用元数据服务和IMDSv1。然后，攻击者使用DNS重定向来欺骗应用程序基于错误的DNS解析响应，目标元数据服务IP。GuardDuty具有检测这种技术的能力。

Keith表示，在这种情境下，SSRF漏洞能够构建特定URL以从Grafana实例获取远程响应。他还指出，受攻击的实例目前使用的是IMDS版本1，但明年中期后新的实例类型将不再支持此版本。这一安全改进将对Detective客户产生积极影响。结果导致凭证泄露并在其他亚马逊云科技账户中使用，从而触发额外的GuardDuty发现。Keith强调，将预防性安全发现和活跃的威胁检测联系起来的重要性。他展示了Detective的新功能如何加速类似事件的调查过程。

Brent介绍了Detective如何通过运用生成性AI及其他创新技术来帮助分析师调查这类攻击。一种名为Finding Group Summaries的新功能采用AI技术，以自然语言为分析师提供可读的安全事件摘要。这迅速传达事件发生的情况，帮助他们启动应对措施。

Brent还谈到了Finding Groups如何整合上下文信息，如相关漏洞、涉及的IAM负责人以及可能的命令与控制通信。这有助于在应对威胁时更准确地确定优先事项和讲述故事。

例如，GuardDuty发现可以通过展示相关的Inspector发现、IP地址和IAM负责人来丰富内容。这种附加背景信息使更容易理解事件的完整范围。

Detective Investigations是一项新功能，能分析IAM负责人的整体活动以检测异常行为。它还能将API调用映射到MITRE ATT&CK战术，优先处理最具影响力的操作。这将把调查速度从数小时缩短至数分钟。

Brent指出，平均来说，Detective Investigations能在短短3-5分钟内分析一个IAM负责人并给出见解，而手动操作通常需要分析师耗费2-8小时。这使得在内鬼活动被发现后能更快地作出响应。

最后，与Security Lake的集成允许通过预制的Athena查询检索与调查相关的原始日志。用户可根据需求调整查询或寻求其他威胁猎杀者的帮助。

例如，可以通过检索与可疑API调用或IP地址相关的特定CloudTrail日志条目来提供确认和应对威胁所需的法医证据。Keith还模拟了对凭证泄露情景的调查，展示了Detective的新功能是如何协同工作的。他发现组摘要立即提供了公共Grafana实例、溢出活动和相关漏洞的相关性概述。转到涉及的IAM角色显示它与发现直接相关。对该角色的Detective调查确认了其相关性，并显示了与其他发现和发现组的高严重性关联。进一步的检查显示，尽管该角色的其他API调用严重性较低，但调查仍将其评级为高置信度。通过检索与可疑IP地址相关的原始CloudTrail日志，证实了它只在该事件中被发现，而在环境中的其他地方都没有。特别地，Keith注意到，在该范围内，该IP参与了17次总API调用，都与那次事件有关。检查其他数据源证实该IP在整个环境中没有其他活动。总的来说，Keith强调了新功能如何帮助分析师快速连接线索。发现组将安全状况与威胁检测相关联，调查分析实体，并在实际威胁出现时实现安全湖集成以检索证据。这种端到端的工作流程导致更快的响应和修复。Brent回顾了关键公告，包括与Bedrock的生成性AI功能集成，以提供Detective发现组的自然语言安全事件摘要。他还强调了增强发现组的能力，以调查云环境中的IAM主体及其行动，以及使用预制的或可定制的Athena查询在Security Lake中集成以检索与调查相关的原始日志。他重申了Detective将继续改进其AI驱动的调查能力的目标，以便给分析师提供有效的理解和回应云安全威胁所需的工具。Brent鼓励与会者开始试用Detective的30天免费试用，亲身体验这些新功能。Keith和Detective团队也在努力帮助用户尽快熟悉并充分利用该服务。

总的来说，这次内容丰富且信息量充足的演讲主要探讨了侦探如何通过运用创新性技术如生成性人工智能等手段来提升云安全调查的能力。通过对企业安全状况与实时威胁检测的紧密联系，以及能够迅速查找和分析法医证据，侦探使得分析师们在面对真实威胁时能够迅速作出反应并采取相应措施。

下面是一些演讲现场的精彩瞬间：

布伦特（Brent）探讨了如何通过演示展示侦探（Detective）的能力，以及调查最近的现实世界凭证泄露事件。

侦探是一种托管安全服务，能够对日志和分析结果进行深入分析，从而提供高效的网络安全调查。

亚马逊云科技（Amazon Web Services）的Detective利用诸如Discover Groups等算法，对原始数据进行深入分析，并将安全发现转化为可操作的见解。

领导者们强调，亚马逊云科技的其他安全服务，如GuardDuty和Inspector，在各个账户之间提供了全面的威胁可见性，帮助安全团队快速调查和修复问题。

在re:Invent（Amazon Summit）上，宣布IMDS版本1将在明年开始的新实例类型上不再可用，这是一个值得关注的时刻。

此外，Security Lake集成可以深入挖掘原始日志，以协助威胁调查和日志分析。

总结

SEC244视频探讨了利用生成性人工智能增强亚马逊侦探(Amazon Detective)的安全调查能力的方法。作为一家领先的安全公司，Detective将各种安全日志和发现数据输入到图形数据库中，并运用算法检测潜在的不寻常之处。最近，该系统还与Bedrock建立了新的集成关系，使得安全事件的自然语言摘要得以实现，从而帮助分析师更快地了解事件背景。如今，Detective还能通过对所有API调用的分析以及对它们产生的影响进行分类，对IAM主体进行全面调查。这使得能够在数分钟内而非数小时内识别出异常行为和可疑活动。此外，与安全湖(Security Lake)的集成还允许深入了解与事件相关的特定日志记录，调整查询条件，并进行其他威胁搜索。总之，Detective的目标是将预防性及探测性安全功能整合至一个调查界面中。这可以通过将漏洞与威胁相互关联、用通俗易懂的语言描述事件、并对身份进行调查，以及获取相关日志记录等途径实现更快的应对。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134837594

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。