Integración con Amazon Detective - Amazon GuardDuty
Habilitación de la integraciónPaso de un resultado de GuardDuty a Amazon DetectiveUso de la integración con un entorno multicuenta de GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración con Amazon Detective

Amazon Detective le ayuda a analizar e investigar rápidamente los eventos de seguridad en una o más cuentas de AWS mediante la generación de visualizaciones de datos que representan la forma en que sus recursos se comportan e interactúan a lo largo del tiempo. Detective crea visualizaciones de los resultados de GuardDuty.

Detective recopila los detalles de resultados de todos los tipos de resultados y proporciona acceso a los perfiles de las entidades para investigar las diferentes entidades que están involucradas en el resultado. Una entidad puede ser una Cuenta de AWS, un recurso de AWS dentro de una cuenta o una dirección IP externa que ha interactuado con sus recursos. La consola de GuardDuty permite pasar a Amazon Detective desde las siguientes entidades, según el tipo de resultado: Cuenta de AWS, rol de IAM, usuario o sesión de rol, agente de usuario, usuario federado, instancia de Amazon EC2 o dirección IP.

Habilitación de la integración

Para utilizar Amazon Detective con GuardDuty, primero debe habilitar Amazon Detective. Para más información sobre cómo habilitar Detective, consulte Primeros pasos con Amazon Detective en la Guía de administración de Amazon Detective.

Cuando habilita GuardDuty y Detective, la integración se activa automáticamente. Una vez activado, Detective recopilará inmediatamente los datos de los resultados de GuardDuty.

nota

GuardDuty envía los resultados a Detective en función de la frecuencia de exportación de los resultados de GuardDuty. De forma predeterminada, la frecuencia de exportación de las actualizaciones de los resultados existentes es de 6 horas. Para garantizar que Detective reciba las actualizaciones más recientes de sus resultados, se recomienda que cambie la frecuencia de exportación a 15 minutos en cada región en la que utilice Detective con GuardDuty. Para obtener más información consulte () Paso 5: Establecer la frecuencia de exportación de los resultados activos actualizados.

Paso de un resultado de GuardDuty a Amazon Detective

  1. Inicie sesión en la consola https://console.aws.amazon.com/guardduty/.

  2. Elija un único resultado de la tabla de resultados.

  3. Seleccione Investigar con Detective en el panel de detalles de los resultados.

  4. Elija un aspecto del resultado para investigarlo con Amazon Detective. Esto abre la consola de Detective para ese resultado o entidad.

Si la tabla dinámica no se comporta como se esperaba, consulte Troubleshooting the pivot en la Guía del usuario de Amazon Detective.

nota

Si archiva un resultado de GuardDuty en la consola de Detective, ese resultado también se archiva en la consola GuardDuty.

Uso de la integración con un entorno multicuenta de GuardDuty

Si administra un entorno de varias cuentas en GuardDuty, debe agregar sus cuentas de miembro a Amazon Detective para ver las visualizaciones de los datos de Detective sobre los resultados y las entidades de esas cuentas.

Se recomienda utilizar la misma cuenta de administrador de GuardDuty para la cuenta de administrador de Detective. Para obtener más información sobre cómo añadir cuentas de miembros en Detective, consulte Administración de cuentas en la Guía del usuario de Amazon Detective.

nota

Detective es un servicio regional, lo que significa que debe habilitar Detective y agregar sus cuentas de miembros en cada región en la que quiera utilizar la integración.