Detective

📘 ¿Qué es Amazon Detective?

Amazon Detective es un servicio de análisis forense y visualización de datos de seguridad que ayuda a los equipos de seguridad a investigar, analizar y responder a actividades sospechosas o potenciales amenazas en su entorno AWS.

Funciona extrayendo, correlacionando y organizando automáticamente datos de logs como CloudTrail, VPC Flow Logs y GuardDuty para mostrar relaciones entre entidades (usuarios, IPs, cuentas, recursos, etc.).

---

🔍 Casos de uso principales

Caso de uso	Descripción
📊 Investigación de alertas de GuardDuty	Ver contexto completo de una alerta
🔁 Trazabilidad de acciones de IAM principals	Seguir acciones de un usuario sospechoso
🌐 Análisis de tráfico de red	Ver conexiones entrantes/salientes de una instancia EC2
🧠 Descubrimiento de patrones anómalos	Detectar comportamientos inusuales en tiempo
🔗 Relación entre entidades	Visualizar cómo interactúan cuentas, roles, IPs, instancias

---

🧠 ¿Cómo funciona?

Amazon Detective:

1. Ingiere automáticamente datos de:

   • AWS CloudTrail (acciones administrativas)

   • Amazon VPC Flow Logs (conexiones de red)

   • Amazon GuardDuty (detecta amenazas)

2. Organiza y correlaciona eventos por entidad (usuario, IP, recurso)

3. Crea gráficos y líneas de tiempo interactivas para investigar incidentes

---

🧱 Entidades comunes analizadas

Tipo de entidad	Ejemplos
Cuenta	ID de cuenta AWS, roles IAM
Instancia EC2	ID de instancia, IP pública
Dirección IP	Relación con tráfico de red
Usuario o rol IAM	Acciones tomadas, recursos accedidos
Alertas de GuardDuty	Integración directa para análisis

---

🧰 Integraciones clave

Servicio	Integración
GuardDuty	Alertas son investigables desde Detective
CloudTrail	Fuente de eventos y acciones de usuarios
VPC Flow Logs	Fuente de análisis de tráfico de red
Organizations	Soporta múltiples cuentas con administración centralizada
Security Hub	Investigaciones de Findings desde un clic

---

📈 Ejemplo de flujo de investigación

GuardDuty alerta sobre comportamiento anómalo en IAM Role
         ↓
Detective ingiere y correlaciona datos de CloudTrail y VPC Flow Logs
         ↓
Investigador visualiza qué recursos accedió, desde qué IP, qué hizo
         ↓
Puede ver relación con otras alertas, eventos previos y actividad inusual

---

💰 Precios (referencia general)

Concepto	Costo aproximado
Activación base	Sin costo fijo inicial
Ingesta de datos	$2.00 por GB de datos analizados/almacenados
Retención de datos	~1 año incluido por defecto

Solo pagas por el análisis real de datos. No hay cargos adicionales por integraciones.

---

🛡️ Ventajas

• No requiere configuración compleja

• Visualizaciones intuitivas e interactivas

• Reduce tiempo de respuesta e investigación

• Manejo multi-cuenta con AWS Organizations

• Automatiza recolección de evidencias

---

❓ Preguntas tipo certificación

1. ¿Qué servicio permite investigar hallazgos de GuardDuty con visualización de relaciones?

   • ✅ Amazon Detective

2. ¿Qué tipo de logs utiliza Detective para su análisis?

   • ✅ CloudTrail, VPC Flow Logs, GuardDuty

3. ¿Detective puede usarse en múltiples cuentas?

   • ✅ Sí, a través de AWS Organizations

4. ¿Qué diferencia a Detective de GuardDuty?

   • GuardDuty: detecta amenazas

   • Detective: investiga el contexto de amenazas

---

🧪 Buenas prácticas

• Habilita GuardDuty primero para tener findings relevantes

• Usa Security Hub para centralizar findings y lanzar investigaciones

• Revisa y configura retención de datos si necesitas auditorías a largo plazo

• Aplica least privilege en IAM para acceso a investigaciones

• Usa con AWS Organizations para cobertura de múltiples cuentas

---

📚 Recursos útiles

• 📘 Documentación oficial de Amazon Detective

• 🎥 AWS re:Invent - Investigating security findings with Amazon Detective

• 🛠️ Workshop Hands-on de Amazon Detective