Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Wie Detective für Ermittlungen eingesetzt wird
<a name="detective-investigation-about"></a>

Amazon Detective macht es Ihnen leicht, die Ursache von Sicherheitserkenntnissen oder verdächtigen Aktivitäten zu analysieren, zu untersuchen und schnell zu identifizieren. Detective bietet Tools zur Unterstützung des gesamten Ermittlungsprozesses. Eine Untersuchung in Detective kann mit einer Erkenntnis, einer Erkenntnisgruppe oder einer Entität beginnen. 

## Ermittlungsphasen in Detective
<a name="how-detective-enables-investigation.title"></a>

Jeder detektivische Ermittlungsprozess umfasst die folgenden Phasen:

****Triage****  
Der Untersuchungsprozess beginnt, wenn Sie über einen Verdacht auf böswillige Aktivitäten oder Aktivitäten mit hohem Risiko informiert werden. Sie sind beispielsweise damit beauftragt, Ergebnisse oder Warnungen zu untersuchen, die von Diensten wie Amazon GuardDuty und Amazon Inspector aufgedeckt wurden.  
In der Triage-Phase stellen Sie fest, ob es sich bei der Aktivität Ihrer Meinung nach um eine echt positive Aktivität (echte böswillige Aktivität) oder um eine falsch positive Aktivität (keine böswillige oder risikoreiche Aktivität) handelt. Detective-Profile unterstützen den Triage-Prozess, indem sie Einblicke in die Aktivitäten der beteiligten Entität bieten.  
In wirklich positiven Fällen fahren Sie mit der nächsten Phase fort.

****Umfang****  
Während der Scoping-Phase ermitteln Analysten das Ausmaß der böswilligen oder risikoreichen Aktivität und die zugrunde liegende Ursache.  
Beim Scoping werden die folgenden Arten von Fragen beantwortet:  
+ Welche Systeme und Benutzer wurden kompromittiert?
+ Wo hat der Angriff seinen Ursprung?
+ Wie lange dauert der Angriff schon an?
+ Gibt es noch andere verwandte Aktivitäten, die aufgedeckt werden müssen? Wenn ein Angreifer beispielsweise Daten aus Ihrem System extrahiert, wie hat er diese erhalten?
Detective-Visualisierungen können Ihnen helfen, andere beteiligte oder betroffene Entitäten zu identifizieren.

**Antwort**  
Der letzte Schritt besteht darin, auf den Angriff zu reagieren, um ihn zu stoppen, den Schaden zu minimieren und zu verhindern, dass ein ähnlicher Angriff erneut stattfindet.

## Ausgangspunkte für eine Detective Untersuchung
<a name="investigation-starting-points"></a>

Jede Untersuchung in Detective hat einen wesentlichen Ausgangspunkt. Möglicherweise wird Ihnen ein Amazon GuardDuty oder AWS Security Hub CSPM ein Fundstück zugewiesen, das Sie untersuchen möchten. Oder Sie haben Bedenken wegen ungewöhnlicher Aktivitäten für eine bestimmte IP-Adresse.

Zu den typischen Ausgangspunkten für eine Untersuchung gehören Ergebnisse, die von Detective-Quelldaten entdeckt wurden, GuardDuty und Entitäten, die aus diesen extrahiert wurden.

### Festgestellte Ergebnisse von GuardDuty
<a name="investigation-findings-detected-gdu"></a>

GuardDuty verwendet Ihre Protokolldaten, um vermutete böswillige oder risikoreiche Aktivitäten aufzudecken. Detective stellt Ressourcen zur Verfügung, mit denen Sie diese Erkenntnisse untersuchen können.

Für jede Erkenntnis stellt Detective die zugehörigen Erkenntnisdetails zur Verfügung. Detective zeigt auch die Entitäten, wie IP-Adressen und AWS Konten, an, die mit dem Ergebnis verbunden sind.

Anschließend können Sie die Aktivitäten der beteiligten Entitäten untersuchen, um festzustellen, ob die anhand der Erkenntnis festgestellte Aktivität tatsächlich Anlass zur Sorge gibt.

Weitere Informationen finden Sie unter [Analysieren einer Befundübersicht in Detective](finding-overview.md).

### AWS Sicherheitsergebnisse, aggregiert von Security Hub CSPM
<a name="investigation-findings-detected-sechub"></a>

AWS Security Hub CSPM fasst die Sicherheitsergebnisse verschiedener Anbieter von Erkenntnissen an einem einzigen Ort zusammen und bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in. AWS Security Hub CSPM macht die Bearbeitung großer Mengen von Erkenntnissen mehrerer Anbieter überflüssig. Es reduziert den Aufwand für die Verwaltung und Verbesserung der Sicherheit all Ihrer AWS Konten, Ressourcen und Workloads. Detective stellt Ressourcen zur Verfügung, mit denen Sie diese Erkenntnisse untersuchen können.

Für jede Erkenntnis stellt Detective die zugehörigen Erkenntnisdetails zur Verfügung. Detective zeigt auch die Entitäten, wie IP-Adressen und AWS Konten, an, die mit dem Ergebnis verbunden sind.

Weitere Informationen finden Sie unter [Analysieren einer Befundübersicht in Detective](finding-overview.md).

### Aus Detective-Quelldaten extrahierte Entitäten
<a name="investigation-entity-extracted"></a>

Aus den aufgenommenen Detective-Quelldaten extrahiert Detective Entitäten wie IP-Adressen und AWS -Benutzer. Sie können eine davon als Ausgangspunkt für Ermittlungen verwenden. 

Detective stellt allgemeine Informationen über die Entität bereit, z. B. die IP-Adresse oder den Benutzernamen. Es enthält auch Details zum Aktivitätsverlauf. Detective kann beispielsweise melden, mit welchen anderen IP-Adressen eine Entität eine Verbindung hergestellt hat, mit welchen eine Verbindung hergestellt wurde oder welche sie verwendet hat.

Weitere Informationen finden Sie unter [Analysieren von Entitäten in Amazon Detective](entity-profiles.md).

## Ablauf der detektivischen Ermittlungen
<a name="detective-investigation-flow"></a>

Sie können Amazon Detective verwenden, um eine Entität wie eine EC2-Instance oder einen AWS Benutzer zu untersuchen. Sie können auch Sicherheitserkenntnisse untersuchen.

Auf einer höheren Ebene zeigt das folgende Bild den Ablauf einer Detective Untersuchung.

![\[Diagramm, das den Detective Investigation-Prozess zeigt.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/diagram_investigation_flow_entity.png)


**Schritt 1: Wählen Sie die zu untersuchende Entität**  
Bei der Analyse eines Ergebnisses in können sich Analysten dafür entscheiden GuardDuty, eine zugehörige Entität in Detective zu untersuchen. Siehe [Zu einem Entitätsprofil wechseln oder eine Übersicht von Amazon GuardDuty suchen oder AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service).  
Wenn Sie die Entität auswählen, gelangen Sie zum Entitätsprofil in Detective.

**Schritt 2: Analysieren von Visualisierungen auf Profilen**  
Jedes Entitätsprofil enthält eine Reihe von Visualisierungen, die aus dem Verhaltensdiagramm generiert werden. Das Verhaltensdiagramm wird aus den Protokolldateien und anderen Daten erstellt, die in Detective eingespeist werden.  
Die Visualisierungen zeigen Aktivitäten, die sich auf eine Entität beziehen. Sie verwenden diese Visualisierungen, um Fragen zu beantworten und festzustellen, ob die Entitätsaktivität ungewöhnlich ist. Siehe [Analysieren von Entitäten in Amazon Detective](entity-profiles.md).  
Als Hilfestellung bei der Untersuchung können Sie die Detective-Anleitungen verwenden, die für jede Visualisierung bereitgestellt werden. Die Anleitung beschreibt die angezeigten Informationen, schlägt Fragen vor, die Sie stellen können, und schlägt auf der Grundlage der Antworten die nächsten Schritte vor. Siehe [Verwendung von Anleitungen durch den Profilbereich während einer Untersuchung](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance).  
Jedes Profil enthält eine Liste der zugehörigen Erkenntnisse. Sie können die Details zu einer Erkenntnis und die Erkenntnisübersicht anzeigen. Siehe [Details zu zugehörigen Ergebnissen in Detective anzeigen](entity-finding-list.md).  
Von einem Entitätsprofil aus können Sie zu anderen Entitäten und Suchprofilen wechseln, um die Aktivitäten in Bezug auf verwandte Ressourcen genauer zu untersuchen.

**Schritt 3: Maßnahmen ergreifen**  
Ergreifen Sie auf der Grundlage der Erkenntnisse Ihrer Untersuchung die entsprechenden Maßnahmen.  
Bei einer falsch-positiven Erkenntnis können Sie diese archivieren. Von Detective aus können Sie GuardDuty Ergebnisse archivieren. Weitere Informationen finden Sie unter [Archivierung eines GuardDuty Amazon-Ergebnisses](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html).  
Andernfalls ergreifen Sie die entsprechenden Maßnahmen, um die Sicherheitsanfälligkeit zu beheben und den Schaden zu minimieren. Beispielsweise müssen Sie möglicherweise die Konfiguration einer Ressource aktualisieren.

# Detective Untersuchung
<a name="investigations-about"></a>

Sie können Amazon Detective Investigation verwenden, um IAM-Benutzer und IAM-Rollen anhand von Kompromittierungsindikatoren zu untersuchen, anhand derer Sie feststellen können, ob eine Ressource an einem Sicherheitsvorfall beteiligt ist. Ein Indikator für eine Gefährdung (IOC) ist ein Artefakt, das in oder auf einem Netzwerk, System oder einer Umgebung beobachtet wird und das (mit einem hohen Maß an Sicherheit) böswillige Aktivitäten oder einen Sicherheitsvorfall identifizieren kann. Mit Detective Investigations können Sie die Effizienz maximieren, sich auf Sicherheitsbedrohungen konzentrieren und die Reaktionsfähigkeit auf Vorfälle verbessern. 

Detective Investigation verwendet Modelle für maschinelles Lernen und Bedrohungsinformationen, um Ressourcen in Ihrer AWS Umgebung automatisch zu analysieren und potenzielle Sicherheitsvorfälle zu identifizieren. Damit können Sie die Automatisierung, die auf dem Verhaltensdiagramm von Detective basiert, proaktiv, effektiv und effizient nutzen, um die Sicherheitsabläufe zu verbessern. Mit Detective Investigation können Sie Angriffstaktiken, unmögliche Reisen, markierte IP-Adressen und das Auffinden von Gruppen untersuchen. Es führt erste Schritte zur Sicherheitsuntersuchung durch und generiert einen Bericht, in dem die von Detective identifizierten Risiken hervorgehoben werden, damit Sie Sicherheitsereignisse besser verstehen und auf potenzielle Vorfälle reagieren können.

**Topics**
+ [Durchführung einer Detective Untersuchung](run-investigations.md)
+ [Überprüfung von Detective Investigationsberichten](investigations-report.md)
+ [Einen Detective Investigations-Bericht verstehen](investigations-report-understand.md)
+ [Zusammenfassung des Berichts Detective Investigations](investigations-summary.md)
+ [Einen Detective Investigations-Bericht herunterladen](download-investigation.md)
+ [Archivieren eines Detective Investigationsberichts](archive-investigation.md)

# Durchführung einer Detective Untersuchung
<a name="run-investigations"></a>

Verwenden Sie **Untersuchung durchführen**, um Ressourcen wie IAM-Benutzer und IAM-Rollen zu analysieren und einen Untersuchungsbericht zu erstellen. Der generierte Bericht beschreibt ein ungewöhnliches Verhalten, das auf eine mögliche Gefährdung hindeutet.

------
#### [ Console ]

Gehen Sie wie folgt vor, um eine Detective Investigation von der **Seite Investigations** aus mithilfe der Amazon Detective-Konsole durchzuführen.

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie auf der Seite **Ermittlungen** **in der oberen rechten Ecke die Option Untersuchung ausführen** aus. 

1. Im Bereich **Ressource auswählen** haben Sie drei Möglichkeiten, eine Untersuchung durchzuführen. Sie können wählen, ob Sie die Untersuchung für eine von Detective empfohlene Ressource durchführen möchten. Sie können die Untersuchung für eine bestimmte Ressource durchführen. Sie können eine Ressource auch über die Such-Seite in Detective untersuchen.

   1. `Choose a recommended resource`— Detective empfiehlt Ressourcen auf der Grundlage seiner Aktivitäten in Ermittlungs- und Findungsgruppen. Um die Untersuchung für eine von Detective empfohlene Ressource durchzuführen, wählen Sie in der Tabelle **Empfohlene Ressourcen** eine zu untersuchende Ressource aus. 

      Die Tabelle der empfohlenen Ressourcen bietet die folgenden Informationen: 
      + **Ressourcen-ARN** — Der Amazon-Ressourcenname (ARN) der AWS Ressource.
      + **Grund für die Untersuchung**: Zeigt die wichtigsten Gründe für die Untersuchung der Ressource an. Mögliche Gründe, aus denen Detective empfiehlt, eine Ressource zu untersuchen, sind: 
        + Wenn bei einer Ressource in den letzten 24 Stunden ein schwerwiegender Fehler festgestellt wurde. 
        + Wenn eine Ressource Teil einer in den letzten 7 Tagen beobachteten Erkenntnisgruppe war. Mithilfe von Detective-Erkenntnisgruppen können Sie mehrere Aktivitäten untersuchen, da sie sich auf ein potenzielles Sicherheitsereignis beziehen. Weitere Details finden Sie unter [Erkenntnisgruppen analysieren](groups-about.md).
        + Wenn eine Ressource Gegenstand einer Erkenntnis in den letzten 7 Tagen war.
      + **Letzte Erkenntnis**: Die aktuellen Erkenntnisse stehen ganz oben auf der Liste. 
      + **Ressourcentyp**: Identifiziert den Ressourcentyp. Zum Beispiel ein AWS Benutzer oder eine AWS Rolle.

   1. `Specify an AWS role or user with an ARN`— Sie können eine AWS Rolle oder einen AWS Benutzer auswählen und eine Untersuchung für die jeweilige Ressource durchführen. 

      Gehen Sie wie folgt vor, um einen bestimmten Ressourcentyp zu untersuchen. 

      1. **Wählen Sie in der Dropdownliste Ressourcentyp** auswählen die AWS Rolle oder den AWS Benutzer aus.

      1. Geben Sie den **Ressourcen-ARN** der IAM-Ressource ein. Weitere Informationen zu Resource ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html) im IAM-Benutzerhandbuch.

   1. `Find a resource to investigate from the Search page`— Sie können alle Ihre IAM-Ressourcen auf der Detective Search-Seite **durchsuchen**. 

      Gehen Sie wie folgt vor, um eine Ressource von der Suchseite aus zu untersuchen.

      1. Klicken Sie im Navigationsbereich auf **Suchen**.

      1. Suchen Sie auf der Suchseite nach einer IAM-Ressource. 

      1. Navigieren Sie zur Profilseite der Ressource und führen Sie von dort aus die Untersuchung durch.

1. Wählen Sie im Abschnitt **Dauer des Untersuchungsumfangs** **den Zeitraum für den Umfang** der Untersuchung aus, um die Aktivität der ausgewählten Ressource zu bewerten. Sie können ein **Startdatum** und eine **Startzeit** sowie ein **Enddatum** und eine **Endzeit** im UTC-Format auswählen. Das gewählte Zeitfenster für den Geltungsbereich kann zwischen mindestens 3 Stunden und maximal 30 Tagen liegen.

1. Wählen Sie **Untersuchung ausführen** aus. 

------
#### [ API ]

Verwenden Sie den [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html)Betrieb der Detective-API, um eine Untersuchung programmgesteuert durchzuführen. Um eine Untersuchung mit dem Befehl AWS Command Line Interface (AWS CLI) durchzuführen, führen Sie den Befehl [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html) aus.

Verwenden Sie in Ihrer Anforderung diese Parameter, um eine Untersuchung in Detective durchzuführen: 
+ `GraphArn`: Geben Sie den Amazon-Ressourcennamen (ARN) des Verhaltensdiagramms an.
+ `EntityArn`: Geben Sie den eindeutigen Amazon-Ressourcennamen (ARN) des IAM-Benutzers und der IAM-Rolle an.
+ `ScopeStartTime`: Geben Sie optional das Datum und die Uhrzeit an, ab dem die Untersuchung beginnen soll. Der Wert ist eine Zeichenfolge im ISO8601 UTC-Format. Zum Beispiel. ` 2021-08-18T16:35:56.284Z`
+ `ScopeEndTime`: Geben Sie optional das Datum und die Uhrzeit an, ab dem die Untersuchung enden soll. Der Wert ist eine Zeichenfolge im ISO8601 UTC-Format. Zum Beispiel. ` 2021-08-18T16:35:56.284Z`

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z
```

------

Sie können eine Untersuchung auch über die folgenden Seiten in Detective durchführen:
+ Die Profilseite eines IAM-Benutzers oder einer IAM-Rolle in Detective.
+ Bereich zur grafischen Darstellung einer Erkenntnisgruppe.
+ Spalte „Aktionen“ einer beteiligten Ressource.
+ IAM-Benutzer oder IAM-Rolle auf einer Erkenntnisseite.

Sobald Detective die Untersuchung für eine Ressource durchgeführt hat, wird ein Untersuchungsbericht generiert. Um auf den Bericht zuzugreifen, wechseln Sie im Navigationsbereich zu **Untersuchungen**. 

# Überprüfung von Detective Investigationsberichten
<a name="investigations-report"></a>

Mit Untersuchungsberichten können Sie die generierten **Berichte** für Untersuchungen überprüfen, die Sie zuvor in Detective ausgeführt haben. 

So überprüfen Sie Untersuchungsberichte

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

Beachten Sie die folgenden Merkmale aus einem Untersuchungsbericht. 
+ **ID** – Die generierte Kennung des Untersuchungsberichts. Sie können diese **ID** wählen, um eine Übersicht des Untersuchungsberichts mit den Einzelheiten der Untersuchung zu lesen.
+ **Status** – Jeder Untersuchung ist ein **Status** zugeordnet, der auf dem Abschlussstatus der Untersuchung basiert. Die Statuswerte können **In Bearbeitung**, **Erfolgreich** oder **Fehlgeschlagen** lauten.
+ **Schweregrad** – Jeder Untersuchung wird ein **Schweregrad** zugewiesen. Der Detective weist der Erkenntnis automatisch einen Schweregrad zu. 

  Ein Schweregrad steht für die Disposition, wie sie bei der Untersuchung einer einzelnen Ressource zu einem bestimmten Zeitpunkt analysiert wurde. Ein im Rahmen einer Untersuchung gemeldeter Schweregrad impliziert nicht die Wichtigkeit oder Bedeutung, die eine betroffene Ressource für Ihr Unternehmen haben könnte, und gibt auch keinen Hinweis darauf.

  Der Schweregrad einer Untersuchung kann als **Kritisch**, **Hoch**, **Mittel**, **Niedrig** oder **Informativ** vom höchsten bis zum geringsten Schweregrad angegeben werden.

  Untersuchungen, denen der Schweregrad „Kritisch“ oder „Hoch“ zugewiesen wurde, sollten für eine weitere Überprüfung priorisiert werden, da es sich bei ihnen mit größerer Wahrscheinlichkeit um von Detective identifizierte Sicherheitsprobleme mit schwerwiegenden Auswirkungen handelt. 
+ **Entität** – Die Spalte **Entität** enthält Details zu den spezifischen Entitäten, die bei der Untersuchung entdeckt wurden. Bei einigen Entitäten handelt es sich um AWS Konten, z. B. Benutzer und Rolle. 
+ **Status** – Die Spalte **Erstellungsdatum** enthält Angaben zu Datum und Uhrzeit der ersten Erstellung des Untersuchungsberichts. 

# Einen Detective Investigations-Bericht verstehen
<a name="investigations-report-understand"></a>

In einem Detective Investigations-Bericht wird eine Zusammenfassung des ungewöhnlichen Verhaltens oder der böswilligen Aktivität aufgeführt, die auf eine Beeinträchtigung hindeuten. Er listet auch die Empfehlungen auf, die Detective zur Minderung des Sicherheitsrisikos vorschlägt.

So zeigen Sie einen Untersuchungsbericht für eine bestimmte Ermittlungsnummer an.

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine **Untersuchungs-ID** aus.

![\[Mit Untersuchungsberichten können Sie die generierten Berichte für Untersuchungen überprüfen, die Sie zuvor in Detective ausgeführt haben.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/detective-investigations-report.png)


Detective generiert den Bericht für den ausgewählten **Gültigkeitszeitraum** und den ausgewählten **Benutzer**. Der Bericht enthält einen Abschnitt mit **Kompromissindikatoren**, der Einzelheiten zu einem oder mehreren der unten aufgeführten Kompromissindikatoren enthält. Wählen Sie bei der Überprüfung der einzelnen Kompromissindikatoren optional ein Element aus, das Sie genauer untersuchen und dessen Einzelheiten Sie überprüfen möchten.
+ **Taktiken. Techniken und Verfahren** — Identifiziert Taktiken, Techniken und Verfahren (TTPs), die bei einem potenziellen Sicherheitsereignis zum Einsatz kommen. Das MITRE ATT&CK-Framework wird verwendet, um das zu verstehen. TTPs Die Taktiken basieren auf der [MITRE](https://attack.mitre.org/matrices/enterprise/) ATT&CK-Matrix für Unternehmen.
+ **Mit Threat Intelligence markierte IP-Adressen** – Verdächtige IP-Adressen werden gekennzeichnet und auf der Grundlage von Detective Threat Intelligence als kritische oder schwerwiegende Bedrohungen identifiziert. 
+ **Unmögliche Reise** – Erkennt und identifiziert ungewöhnliche und unmögliche Benutzeraktivitäten für ein Konto. Dieser Indikator listet beispielsweise eine drastische Änderung zwischen Quell- und Zielort eines Benutzers innerhalb einer kurzen Zeitspanne auf. 
+ **Verwandte Erkenntnisgruppe** – Zeigt mehrere Aktivitäten an, die sich auf ein potenzielles Sicherheitsereignis beziehen. Detective verwendet Diagrammanalysetechniken, um Beziehungen zwischen Erkenntnissen und Entitäten abzuleiten und sie zu einer Erkenntnisgruppe zusammenzufassen.
+ **Verwandte Erkenntnisse** – Verwandte Aktivitäten im Zusammenhang mit einem potenziellen Sicherheitsereignis. Listet alle unterschiedlichen Kategorien von Beweisen auf, die mit der Ressource oder der Erkenntnisgruppe in Verbindung stehen.
+ **Neue Geolocations** – Identifiziert neue Geolocations, die entweder auf Ressourcen- oder Kontoebene verwendet werden. Dieser Indikator listet beispielsweise eine beobachtete Geolocation auf, bei der es sich aufgrund früherer Benutzeraktivitäten um einen seltenen oder ungenutzten Standort handelt. 
+ **Neue Benutzeragenten** – Identifiziert neue Benutzeragenten, die entweder auf Ressourcen- oder Kontoebene verwendet werden. 
+ **Neu ASOs** — Identifiziert neue autonome Systemorganisationen (ASOs), die entweder auf Ressourcen- oder Kontoebene verwendet werden. Dieser Indikator listet beispielsweise eine neue Organisation auf, die als ASO zugewiesen wurde. 

# Zusammenfassung des Berichts Detective Investigations
<a name="investigations-summary"></a>

In der Übersicht der Untersuchungen werden für den ausgewählten Zeitraum ungewöhnliche Indikatoren hervorgehoben, die besondere Aufmerksamkeit erfordern. Anhand der Übersicht können Sie schneller die Ursache potenzieller Sicherheitsprobleme identifizieren, Muster erkennen und die Ressourcen verstehen, die von Sicherheitsereignissen betroffen sind. 

In der Übersicht des Untersuchungsberichts finden Sie die folgenden Details.

**Untersuchungsübersicht**

Im Bereich „**Übersicht**“ finden Sie eine Visualisierung von Aktivitäten IPs mit hohem Schweregrad, die Ihnen mehr Informationen über den Weg eines Angriffs geben kann. 

Detective hebt **ungewöhnliche Aktivitäten** bei der Untersuchung hervor, z. B. die unmögliche Reise des IAM-Benutzers von einer Quelle zu einem weit entfernten Ziel. 

Detective ordnet die Untersuchungen den Taktiken, Techniken und Verfahren (TTPs) zu, die bei einem potenziellen Sicherheitsereignis angewendet werden. Das MITRE ATT&CK-Framework wird verwendet, um das zu verstehen. TTPs Die Taktiken basieren auf der [MITRE](https://attack.mitre.org/matrices/enterprise/) ATT&CK-Matrix für Unternehmen.

**Untersuchungsindikatoren**

Anhand der Informationen im Bereich **Indikatoren** können Sie feststellen, ob eine AWS -Ressource an ungewöhnlichen Aktivitäten beteiligt ist, die auf bösartiges Verhalten und dessen Auswirkungen hinweisen könnten. Ein Indikator für eine Gefährdung (IOC) ist ein Artefakt, das in oder auf einem Netzwerk, System oder einer Umgebung beobachtet wird und das (mit einem hohen Maß an Sicherheit) böswillige Aktivitäten oder einen Sicherheitsvorfall identifizieren kann.

# Einen Detective Investigations-Bericht herunterladen
<a name="download-investigation"></a>

Sie können den Detective Investigations-Bericht im JSON-Format herunterladen, um ihn weiter zu analysieren, oder ihn in Ihrer bevorzugten Speicherlösung wie einem Amazon S3 S3-Bucket speichern. 

**So laden Sie einen Untersuchungsbericht aus der Tabelle Berichte herunter.**

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine Untersuchung aus und klicken Sie auf **Herunterladen**.

**So laden Sie einen Untersuchungsbericht von der Übersichtsseite herunter.**

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine Untersuchung aus. 

1. Wählen Sie auf der Seite mit der Übersicht der Untersuchungen die Option **Herunterladen** aus.

# Archivieren eines Detective Investigationsberichts
<a name="archive-investigation"></a>

Wenn Sie Ihre Untersuchung in Amazon Detective abgeschlossen haben, können Sie den Untersuchungsbericht **Archivieren**. Eine archivierte Untersuchung zeigt an, dass Sie die Überprüfung der Untersuchung abgeschlossen haben.

Sie können eine Untersuchung nur archivieren oder deren Archivierung aufheben, wenn Sie Detective Administrator sind. Detective speichert Ihre archivierten Untersuchungen 90 Tage lang.

**So archivieren Sie einen Untersuchungsbericht aus der Tabelle Berichte.**

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine Untersuchung aus und klicken Sie dann auf **Archivieren**.

**So archivieren Sie einen Untersuchungsbericht von der Übersichtsseite aus.**

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine Untersuchung aus. 

1. Wählen Sie auf der Seite mit der Übersicht der Untersuchungen die Option **Archivieren** aus.