Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cómo usar Detective con fines de investigación
<a name="detective-investigation-about"></a>

Amazon Detective ayuda a analizar, investigar e identificar rápidamente la causa raíz de un resultado de seguridad o actividad sospechosa. Detective proporciona herramientas para apoyar el proceso general de investigación. En Detective, una investigación puede comenzar a partir de un resultado, un grupo de resultados o una entidad. 

## Fases de investigación en Detective
<a name="how-detective-enables-investigation.title"></a>

Cualquier proceso de investigación de un Detective implica las siguientes fases:

****Triaje****  
El proceso de investigación comienza cuando se le informe de una instancia sospechosa de actividad malintencionada o de alto riesgo. Por ejemplo, se le asigna la tarea de analizar los hallazgos o alertas descubiertos por servicios como Amazon GuardDuty y Amazon Inspector.  
En la fase de triaje, debe determinar si la actividad es un positivo real (actividad realmente malintencionada) o un falso positivo (no es una actividad malintencionada ni de alto riesgo). Los perfiles de Detective respaldan el proceso de triaje al proporcionar información sobre la actividad de la entidad implicada.  
En el caso de los positivos reales, se avanza a la siguiente fase.

****Determinación del alcance****  
Durante la fase de determinación del alcance, los analistas determinan el alcance de la actividad malintencionada o de alto riesgo y la causa subyacente.  
La determinación del alcance responde a los siguientes tipos de preguntas:  
+ ¿Qué sistemas y usuarios se han visto comprometidos?
+ ¿Dónde se originó el ataque?
+ ¿Cuánto tiempo ha durado el ataque?
+ ¿Hay alguna otra actividad relacionada que descubrir? Por ejemplo, si un atacante está extrayendo datos del sistema, ¿cómo los obtuvo?
Las visualizaciones de Detective pueden ayudarle a identificar otras entidades que han estado implicadas o afectadas.

**Respuesta**  
El último paso consiste en responder al ataque para detenerlo, minimizar el daño y evitar que se repitan ataques similares.

## Puntos de partida para una investigación de Detectives
<a name="investigation-starting-points"></a>

Cada investigación en Detective tiene un punto de partida esencial. Por ejemplo, es posible que se te asigne un Amazon GuardDuty o un AWS Security Hub CSPM hallazgo para investigar. O puede que le preocupe cierta actividad inusual en una determinada dirección IP.

Los puntos de partida típicos de una investigación incluyen los hallazgos detectados GuardDuty y las entidades extraídas de los datos de origen del Detective.

### Los hallazgos detectados por GuardDuty
<a name="investigation-findings-detected-gdu"></a>

GuardDuty utiliza sus datos de registro para descubrir posibles casos de actividad maliciosa o de alto riesgo. Detective proporciona recursos que ayudan a investigar estos resultados.

Para cada resultado, Detective proporciona los detalles relacionados. El Detective también muestra las entidades, como las direcciones IP y AWS las cuentas, que están conectadas al hallazgo.

A continuación, puede examinar la actividad de las entidades implicadas para determinar si la actividad detectada a partir del resultado es realmente motivo de preocupación.

Para obtener más información, consulte [Análisis de una visión general de los hallazgos en Detective](finding-overview.md).

### AWS hallazgos de seguridad agregados por Security Hub (CSPM)
<a name="investigation-findings-detected-sechub"></a>

AWS Security Hub CSPM agrupa los hallazgos de seguridad de varios proveedores de hallazgos en un solo lugar y le proporciona una visión completa del estado de su seguridad. AWS Security Hub CSPM elimina la complejidad de abordar grandes volúmenes de hallazgos de varios proveedores. Reduce el esfuerzo necesario para administrar y mejorar la seguridad de todas sus AWS cuentas, recursos y cargas de trabajo. Detective proporciona recursos que ayudan a investigar estos resultados.

Para cada resultado, Detective proporciona los detalles relacionados. El Detective también muestra las entidades, como las direcciones IP y AWS las cuentas, que están conectadas al hallazgo.

Para obtener más información, consulte [Análisis de una visión general de los hallazgos en Detective](finding-overview.md).

### Entidades extraídas de los datos de origen de Detective
<a name="investigation-entity-extracted"></a>

A partir de la ingesta de datos de origen de Detective, el servicio extrae entidades tales como direcciones IP y usuarios de AWS . Puede usar una de ellas como punto de partida de la investigación. 

Detective proporciona detalles generales sobre la entidad, como la dirección IP o el nombre de usuario. También proporciona detalles sobre el historial de actividad. Por ejemplo, Detective puede informar qué otras direcciones IP ha utilizado o con qué otras direcciones IP ha establecido (recibido o enviado) conexiones una entidad.

Para obtener más información, consulte [Análisis de entidades en Amazon Detective](entity-profiles.md).

## Flujo de investigación de Detectives
<a name="detective-investigation-flow"></a>

Puede utilizar Amazon Detective para investigar una entidad, como una instancia EC2 o un AWS usuario. También puede investigar los resultados de seguridad.

En un nivel alto, la siguiente imagen muestra el proceso de una Investigación de Detectives.

![\[Diagrama que muestra el proceso de Investigación de los Detectives.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/diagram_investigation_flow_entity.png)


**Paso 1: selección de la entidad que se va a investigar**  
Al analizar un hallazgo GuardDuty, los analistas pueden optar por investigar una entidad asociada en Detective. Consulte [Pasar al perfil de una entidad o buscar información general en Amazon GuardDuty o AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service).  
Al seleccionar la entidad, se accede al perfil de la entidad en Detective.

**Paso 2: análisis de las visualizaciones de los perfiles**  
Cada perfil de entidad contiene un conjunto de visualizaciones que se generan a partir del gráfico de comportamiento. El gráfico de comportamiento se crea a partir de los archivos de registro y otros datos introducidos en Detective.  
Las visualizaciones muestran la actividad relativa a una entidad. Estas visualizaciones se utilizan para responder preguntas con el fin de determinar si la actividad de la entidad es inusual. Consulte [Análisis de entidades en Amazon Detective](entity-profiles.md).  
Para ayudar a orientar la investigación, puede usar las directrices de Detective que se proporcionan con cada visualización. La guía describe la información que se muestra, sugiere preguntas que se pueden formular y propone los próximos pasos en función de las respuestas. Consulte [Usar las directrices de los paneles de perfil durante una investigación](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance).  
Cada perfil contiene una lista de los resultados asociados. Puede ver los detalles y la descripción general de un resultado. Consulte [Visualización de los detalles de los hallazgos asociados en Detective](entity-finding-list.md).  
Desde un perfil de una entidad, puede pasar a otros perfiles de entidad y de resultados para investigar más a fondo la actividad de los recursos relacionados.

**Paso 3: Tomar medidas**  
Tome las medidas oportunas en función de los resultados de su investigación.  
Si se trata de un resultado falso positivo, puede archivar el resultado. Desde Detective, puede archivar GuardDuty los hallazgos. Para obtener más información, consulta [Archivar un GuardDuty hallazgo de Amazon](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html).  
De lo contrario, tome las medidas oportunas para abordar la vulnerabilidad y mitigar los daños. Por ejemplo, quizás necesite actualizar la configuración de un recurso.

# Investigación de Detectives
<a name="investigations-about"></a>

Puede utilizar Amazon Detective Investigation para investigar a los usuarios y las funciones de IAM mediante indicadores de compromiso, que pueden ayudarle a determinar si un recurso está implicado en un incidente de seguridad. Un indicador de riesgo (IOC) es un artefacto observado en una red, un sistema o un entorno que puede identificar (con alto nivel de confianza) una actividad malintencionada o un incidente de seguridad. Con Detective Investigations, puede maximizar la eficiencia, centrarse en las amenazas a la seguridad y reforzar las capacidades de respuesta a los incidentes. 

Detective Investigation utiliza modelos de aprendizaje automático e inteligencia de amenazas para analizar automáticamente los recursos de su AWS entorno e identificar posibles incidentes de seguridad. Le permite utilizar de forma proactiva, efectiva y eficiente la automatización basada en el gráfico de comportamiento de Detective para mejorar las operaciones de seguridad. Con Detective Investigation puedes investigar las tácticas de ataque, los viajes imposibles, las direcciones IP marcadas y la búsqueda de grupos. Realiza los pasos iniciales de la investigación de seguridad y genera un informe en el que se destacan los riesgos identificados por Detective para ayudar a comprender los eventos de seguridad y responder a posibles incidentes.

**Topics**
+ [Llevar a cabo una investigación de Detectives](run-investigations.md)
+ [Revisión de los informes de Investigaciones de Detectives](investigations-report.md)
+ [Comprensión de un informe de Investigaciones de Detectives](investigations-report-understand.md)
+ [Resumen del informe de Investigaciones de Detectives](investigations-summary.md)
+ [Descarga de un informe de Investigaciones de Detectives](download-investigation.md)
+ [Archivar un informe de Investigaciones de Detectives](archive-investigation.md)

# Llevar a cabo una investigación de Detectives
<a name="run-investigations"></a>

Utilice **Ejecutar investigación** para analizar recursos como usuarios y roles de IAM y para generar un informe de investigación. El informe generado detalla un comportamiento anómalo que indica un posible compromiso.

------
#### [ Console ]

Sigue estos pasos para ejecutar una investigación detectivesca desde la **página de Investigaciones** con la consola Amazon Detective.

1. Inicie sesión en la consola AWS de administración. A continuación, abra la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación, elija **Investigaciones**. 

1. En la página de **investigaciones**, selecciona **Ejecutar una investigación** en la esquina superior derecha. 

1. En la sección **Seleccionar un recurso**, tienes tres formas de llevar a cabo una investigación. Puede optar por ejecutar la investigación para obtener un recurso recomendado por el Detective. Puedes ejecutar la investigación para un recurso específico. También puede investigar un recurso desde la página Búsqueda de Detective.

   1. `Choose a recommended resource`— El Detective recomienda recursos en función de su actividad de búsqueda y búsqueda de grupos. Para ejecutar la investigación de un recurso recomendado por el Detective, en la tabla **Recursos recomendados**, seleccione el recurso que desee investigar. 

      La tabla Recursos recomendados proporciona los siguientes detalles: 
      + **ARN del recurso: el** nombre del recurso de Amazon (ARN) del recurso. AWS 
      + **Motivo para investigar**: muestra los motivos principales para investigar el recurso. Los motivos por los que Detective recomienda investigar un recurso son los siguientes: 
        + Si un recurso ha estado implicado en un resultado de gravedad alta en las 24 últimas horas. 
        + Si un recurso ha estado implicado en un grupo de resultados observado en los 7 últimos días. Los grupos de resultados de Detective le permiten examinar varias actividades en relación con un posible evento de seguridad. Para obtener más información, consulte [Análisis de grupos de resultados](groups-about.md).
        + Si un recurso ha estado implicado en un resultado en los 7 últimos días.
      + **Resultado más reciente**: los resultados más recientes se ordenan por prioridad en la parte superior de la lista. 
      + **Tipo de recurso**: identifica el tipo de recurso. Por ejemplo, un AWS usuario o AWS un rol.

   1. `Specify an AWS role or user with an ARN`— Puede seleccionar un AWS rol o un AWS usuario y realizar una investigación para el recurso específico. 

      Siga estos pasos para investigar un tipo de recurso específico. 

      1. En la lista desplegable **Seleccione el tipo de recurso**, elija el AWS rol o AWS el usuario.

      1. Introduzca el **ARN del recurso** de IAM. Para obtener más información sobre Resource ARNs, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html) en la Guía del usuario de IAM.

   1. `Find a resource to investigate from the Search page`— Puede buscar todos sus recursos de IAM en la página de **Búsqueda** de Detectives. 

      Siga estos pasos para investigar un recurso desde la página de búsqueda.

      1. En el panel de navegación, elija **Buscar**.

      1. En la página de búsqueda, busque un recurso de IAM. 

      1. Vaya a la página de perfil del recurso y realice una investigación desde allí.

1. En la sección **Tiempo del alcance de la investigación**, elija el **tiempo del alcance** de la investigación para evaluar la actividad del recurso seleccionado. Puede seleccionar una **Fecha de inicio** y una **Hora de inicio**, así como una **Fecha de finalización** y una **Hora de finalización** en formato UTC. El intervalo de tiempo del rango seleccionado puede oscilar entre un mínimo de 3 horas y un máximo de 30 días.

1. Seleccione **Ejecutar investigación**. 

------
#### [ API ]

Para ejecutar una investigación mediante programación, utilice la [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html)operación de la API Detective. Para ejecutar una investigación con el comando AWS Command Line Interface (AWS CLI), ejecute el comando [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html).

En la solicitud, utilice estos parámetros para ejecutar una investigación en Detective: 
+ `GraphArn`: especifique el nombre de recurso de Amazon (ARN) del gráfico de comportamiento.
+ `EntityArn`: especifique el nombre de recurso de Amazon (ARN) único del usuario de IAM y del rol de IAM.
+ `ScopeStartTime`: opcionalmente, especifique la fecha y la hora para comenzar la investigación. El valor es una cadena con ISO8601 formato UTC. Por ejemplo,` 2021-08-18T16:35:56.284Z`.
+ `ScopeEndTime`: opcionalmente, especifique la fecha y la hora para finalizar la investigación. El valor es una cadena ISO8601 con formato UTC. Por ejemplo,` 2021-08-18T16:35:56.284Z`.

Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z
```

------

También puede ejecutar una investigación desde las siguientes páginas de Detective:
+ Una página de perfil de usuario o de rol de IAM en Detective.
+ Panel de visualización de gráficos de un grupo de resultados.
+ Columna de acciones de un recurso implicado.
+ Usuario de IAM o rol de IAM en una página de resultados.

Cuando Detective ejecuta la investigación de un recurso, se genera un informe de investigación. Para acceder al informe, vaya a **Investigaciones** desde el panel de navegación. 

# Revisión de los informes de Investigaciones de Detectives
<a name="investigations-report"></a>

Los informes de las investigaciones permiten revisar los **informes** generados para comprobar si hay investigaciones que haya realizado anteriormente en Detective. 

Para revisar los informes de las investigaciones

1. Inicie sesión en la consola AWS de administración. A continuación, abra la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación, elija **Investigaciones**. 

Tome nota de los siguientes atributos de un informe de investigación. 
+ **ID**: identificador generado del informe de investigación. Puede elegir este **ID** para leer un resumen del informe de investigación, que contiene los detalles de la investigación.
+ **Estado**: cada investigación está asociada a un **Estado** en función del estado de finalización de la investigación. Los valores de estado pueden ser **En curso**, **Correcto** o **Error**.
+ **Gravedad**: se asigna una **Gravedad** a cada investigación. Detective asigna automáticamente la gravedad del resultado. 

  La gravedad representa la disposición analizada mediante la investigación de un solo recurso en un rango temporal determinado. La gravedad que indica una investigación no refleja de ningún modo la importancia o la gravedad que pueda tener un recurso afectado para su organización.

  Los valores de gravedad de la investigación pueden ser, de mayor a menor gravedad, **Crítica**, **Alta**, **Media**, **Baja** o **Informativa**.

  Se debe dar prioridad a las investigaciones a las que se asigne un valor de gravedad Crítica o Alta para su posterior inspección, ya que es más probable que representen problemas de seguridad de alto impacto identificados por Detective. 
+ **Entidad**: la columna **Entidad** contiene detalles sobre las entidades específicas detectadas en la investigación. Algunas entidades son AWS cuentas, como el usuario y el rol. 
+ **Estado**: la columna de fecha de **Creación** contiene detalles sobre la fecha y la hora en que se creó por primera vez el informe de investigación. 

# Comprensión de un informe de Investigaciones de Detectives
<a name="investigations-report-understand"></a>

Un informe de Investigaciones de Detectives incluye un resumen del comportamiento poco común o la actividad maliciosa que indica un compromiso. También indica las recomendaciones que sugiere Detective para mitigar el riesgo de seguridad.

Para ver un informe de investigación con un ID de investigación específico.

1. Inicie sesión en la consola AWS de administración. A continuación, abra la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación, elija **Investigaciones**. 

1. En la tabla **Informes**, seleccione un **ID** de investigación.

![\[Los informes de las investigaciones permiten revisar los informes generados para comprobar si hay investigaciones que haya realizado anteriormente en Detective.\]](http://docs.aws.amazon.com/es_es/detective/latest/userguide/images/detective-investigations-report.png)


Detective genera el informe para el tiempo y el **rango temporal** y el **Usuario** seleccionados. El informe contiene una sección sobre **Indicadores de riesgo** con detalles sobre uno o varios de los indicadores de riesgo que figuran a continuación. Al revisar cada indicador de riesgo, si lo desea, puede elegir un elemento para desglosarlo y revisar sus detalles.
+ **Tácticas. Técnicas y procedimientos**: identifica las tácticas, técnicas y procedimientos (TTPs) utilizados en un posible incidente de seguridad. El marco MITRE ATT&CK se utiliza para comprender el. TTPs Las tácticas se basan en la [matriz MITRE ATT&CK para Enterprise](https://attack.mitre.org/matrices/enterprise/).
+ **Direcciones IP marcadas por inteligencia de amenazas**: las direcciones IP sospechosas se marcan e identifican como amenazas críticas o graves en función de la inteligencia de amenazas de Detective. 
+ **Viaje imposible**: detecta e identifica actividades inusuales e imposibles del usuario en una cuenta. Por ejemplo, este indicador muestra un cambio drástico entre la ubicación de origen y la de destino de un usuario en un breve periodo de tiempo. 
+ **Grupo de resultados relacionados**: muestra varias actividades relacionadas con un posible evento de seguridad. Para abordar este problema, Detective utiliza técnicas de análisis gráfico que infiere relaciones entre resultados y entidades, y las agrupa como grupo de resultados.
+ **Resultados relacionados**: actividades relacionadas asociadas con un posible evento de seguridad. Muestra todas las categorías distintas de evidencia que están relacionadas con el recurso o el grupo de resultados.
+ **Nuevas geolocalizaciones**: identifica las nuevas geolocalizaciones utilizadas en el nivel de recurso o de cuenta. Por ejemplo, este indicador muestra una geolocalización observada que es poco frecuente o no utilizada en función de la actividad anterior del usuario. 
+ **Nuevos agentes de usuario**: identifica los nuevos agentes de usuario que se utilizan en el nivel de recurso o de cuenta. 
+ **Nuevo ASOs**: identifica las nuevas Autonomous System Organizations (ASOs) utilizadas a nivel de recursos o de cuenta. Por ejemplo, este indicador muestra una nueva organización asignada como ASO. 

# Resumen del informe de Investigaciones de Detectives
<a name="investigations-summary"></a>

El resumen de la investigación destaca los indicadores anómalos que requieren atención para el rango temporal seleccionado. Con el resumen puede identificar más rápidamente la causa raíz de los posibles problemas de seguridad, identificar patrones y comprender los recursos que se ven afectados por eventos de seguridad. 

En el resumen detallado del informe de investigación puede ver los siguientes detalles.

**Resumen de las investigaciones**

En el panel de **información general**, puedes ver una visualización de IPs una actividad de alta gravedad, que puede proporcionar más contexto sobre la trayectoria de un atacante. 

Detective destaca **Actividad inusual** en la investigación, por ejemplo, un viaje imposible del usuario de IAM de un origen a un destino lejano. 

El Detective mapea las investigaciones con las tácticas, técnicas y procedimientos (TTPs) utilizados en un posible evento de seguridad. El marco MITRE ATT&CK se utiliza para entender el. TTPs Las tácticas se basan en la [matriz MITRE ATT&CK para Enterprise](https://attack.mitre.org/matrices/enterprise/).

**Indicadores de investigación**

Puede utilizar la información del panel **Indicadores** para determinar si un recurso de AWS está implicado en una actividad inusual que pueda indicar un comportamiento malintencionado y su impacto. Un indicador de riesgo (IOC) es un artefacto observado en una red, un sistema o un entorno que puede identificar (con alto nivel de confianza) una actividad malintencionada o un incidente de seguridad.

# Descarga de un informe de Investigaciones de Detectives
<a name="download-investigation"></a>

Puede descargar el informe de Investigaciones de Detectives en formato JSON para analizarlo más a fondo o almacenarlo en la solución de almacenamiento que prefiera, como un bucket de Amazon S3. 

**Para descargar un informe de investigación de la tabla Informes.**

1. Inicie sesión en la consola AWS de administración. A continuación, abra la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación, elija **Investigaciones**. 

1. Seleccione una investigación en la tabla **Informes** y elija **Descargar**.

**Para descargar un informe de investigación de la tabla de resumen.**

1. Inicie sesión en la consola AWS de administración. A continuación, abra la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación, elija **Investigaciones**. 

1. Seleccione una investigación en la tabla **Informes**. 

1. En la página de resumen de las investigaciones, seleccione **Descargar**.

# Archivar un informe de Investigaciones de Detectives
<a name="archive-investigation"></a>

Cuando termine su investigación en Amazon Detective, podrá **Archivar** el informe de investigación. Una investigación archivada indica que ha terminado de revisar la investigación.

Solo pueden archivar o desarchivar una investigación los administradores de Detective. Detective guardará sus investigaciones archivadas durante 90 días.

**Para archivar un informe de investigación de la tabla Informes.**

1. Inicie sesión en la consola AWS de administración. A continuación, abra la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación, elija **Investigaciones**. 

1. Seleccione una investigación en la tabla **Informes** y elija **Descargar**.

**Para archivar un informe de investigación de la tabla de resumen.**

1. Inicie sesión en la consola AWS de administración. A continuación, abra la consola de Detectives en [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. En el panel de navegación, elija **Investigaciones**. 

1. Seleccione una investigación en la tabla **Informes**. 

1. En la página de resumen de las investigaciones, seleccione **Archivar**.