

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Detective Untersuchung
<a name="investigations-about"></a>

Sie können Amazon Detective Investigation verwenden, um IAM-Benutzer und IAM-Rollen anhand von Kompromittierungsindikatoren zu untersuchen, anhand derer Sie feststellen können, ob eine Ressource an einem Sicherheitsvorfall beteiligt ist. Ein Indikator für eine Gefährdung (IOC) ist ein Artefakt, das in oder auf einem Netzwerk, System oder einer Umgebung beobachtet wird und das (mit einem hohen Maß an Sicherheit) böswillige Aktivitäten oder einen Sicherheitsvorfall identifizieren kann. Mit Detective Investigations können Sie die Effizienz maximieren, sich auf Sicherheitsbedrohungen konzentrieren und die Reaktionsfähigkeit auf Vorfälle verbessern. 

Detective Investigation verwendet Modelle für maschinelles Lernen und Bedrohungsinformationen, um Ressourcen in Ihrer AWS Umgebung automatisch zu analysieren und potenzielle Sicherheitsvorfälle zu identifizieren. Damit können Sie die Automatisierung, die auf dem Verhaltensdiagramm von Detective basiert, proaktiv, effektiv und effizient nutzen, um die Sicherheitsabläufe zu verbessern. Mit Detective Investigation können Sie Angriffstaktiken, unmögliche Reisen, markierte IP-Adressen und das Auffinden von Gruppen untersuchen. Es führt erste Schritte zur Sicherheitsuntersuchung durch und generiert einen Bericht, in dem die von Detective identifizierten Risiken hervorgehoben werden, damit Sie Sicherheitsereignisse besser verstehen und auf potenzielle Vorfälle reagieren können.

**Topics**
+ [Durchführung einer Detective Untersuchung](run-investigations.md)
+ [Überprüfung von Detective Investigationsberichten](investigations-report.md)
+ [Einen Detective Investigations-Bericht verstehen](investigations-report-understand.md)
+ [Zusammenfassung des Berichts Detective Investigations](investigations-summary.md)
+ [Einen Detective Investigations-Bericht herunterladen](download-investigation.md)
+ [Archivieren eines Detective Investigationsberichts](archive-investigation.md)

# Durchführung einer Detective Untersuchung
<a name="run-investigations"></a>

Verwenden Sie **Untersuchung durchführen**, um Ressourcen wie IAM-Benutzer und IAM-Rollen zu analysieren und einen Untersuchungsbericht zu erstellen. Der generierte Bericht beschreibt ein ungewöhnliches Verhalten, das auf eine mögliche Gefährdung hindeutet.

------
#### [ Console ]

Gehen Sie wie folgt vor, um eine Detective Investigation von der **Seite Investigations** aus mithilfe der Amazon Detective-Konsole durchzuführen.

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie auf der Seite **Ermittlungen** **in der oberen rechten Ecke die Option Untersuchung ausführen** aus. 

1. Im Bereich **Ressource auswählen** haben Sie drei Möglichkeiten, eine Untersuchung durchzuführen. Sie können wählen, ob Sie die Untersuchung für eine von Detective empfohlene Ressource durchführen möchten. Sie können die Untersuchung für eine bestimmte Ressource durchführen. Sie können eine Ressource auch über die Such-Seite in Detective untersuchen.

   1. `Choose a recommended resource`— Detective empfiehlt Ressourcen auf der Grundlage seiner Aktivitäten in Ermittlungs- und Findungsgruppen. Um die Untersuchung für eine von Detective empfohlene Ressource durchzuführen, wählen Sie in der Tabelle **Empfohlene Ressourcen** eine zu untersuchende Ressource aus. 

      Die Tabelle der empfohlenen Ressourcen bietet die folgenden Informationen: 
      + **Ressourcen-ARN** — Der Amazon-Ressourcenname (ARN) der AWS Ressource.
      + **Grund für die Untersuchung**: Zeigt die wichtigsten Gründe für die Untersuchung der Ressource an. Mögliche Gründe, aus denen Detective empfiehlt, eine Ressource zu untersuchen, sind: 
        + Wenn bei einer Ressource in den letzten 24 Stunden ein schwerwiegender Fehler festgestellt wurde. 
        + Wenn eine Ressource Teil einer in den letzten 7 Tagen beobachteten Erkenntnisgruppe war. Mithilfe von Detective-Erkenntnisgruppen können Sie mehrere Aktivitäten untersuchen, da sie sich auf ein potenzielles Sicherheitsereignis beziehen. Weitere Details finden Sie unter [Erkenntnisgruppen analysieren](groups-about.md).
        + Wenn eine Ressource Gegenstand einer Erkenntnis in den letzten 7 Tagen war.
      + **Letzte Erkenntnis**: Die aktuellen Erkenntnisse stehen ganz oben auf der Liste. 
      + **Ressourcentyp**: Identifiziert den Ressourcentyp. Zum Beispiel ein AWS Benutzer oder eine AWS Rolle.

   1. `Specify an AWS role or user with an ARN`— Sie können eine AWS Rolle oder einen AWS Benutzer auswählen und eine Untersuchung für die jeweilige Ressource durchführen. 

      Gehen Sie wie folgt vor, um einen bestimmten Ressourcentyp zu untersuchen. 

      1. **Wählen Sie in der Dropdownliste Ressourcentyp** auswählen die AWS Rolle oder den AWS Benutzer aus.

      1. Geben Sie den **Ressourcen-ARN** der IAM-Ressource ein. Weitere Informationen zu Resource ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html) im IAM-Benutzerhandbuch.

   1. `Find a resource to investigate from the Search page`— Sie können alle Ihre IAM-Ressourcen auf der Detective Search-Seite **durchsuchen**. 

      Gehen Sie wie folgt vor, um eine Ressource von der Suchseite aus zu untersuchen.

      1. Klicken Sie im Navigationsbereich auf **Suchen**.

      1. Suchen Sie auf der Suchseite nach einer IAM-Ressource. 

      1. Navigieren Sie zur Profilseite der Ressource und führen Sie von dort aus die Untersuchung durch.

1. Wählen Sie im Abschnitt **Dauer des Untersuchungsumfangs** **den Zeitraum für den Umfang** der Untersuchung aus, um die Aktivität der ausgewählten Ressource zu bewerten. Sie können ein **Startdatum** und eine **Startzeit** sowie ein **Enddatum** und eine **Endzeit** im UTC-Format auswählen. Das gewählte Zeitfenster für den Geltungsbereich kann zwischen mindestens 3 Stunden und maximal 30 Tagen liegen.

1. Wählen Sie **Untersuchung ausführen** aus. 

------
#### [ API ]

Verwenden Sie den [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html)Betrieb der Detective-API, um eine Untersuchung programmgesteuert durchzuführen. Um eine Untersuchung mit dem Befehl AWS Command Line Interface (AWS CLI) durchzuführen, führen Sie den Befehl [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html) aus.

Verwenden Sie in Ihrer Anforderung diese Parameter, um eine Untersuchung in Detective durchzuführen: 
+ `GraphArn`: Geben Sie den Amazon-Ressourcennamen (ARN) des Verhaltensdiagramms an.
+ `EntityArn`: Geben Sie den eindeutigen Amazon-Ressourcennamen (ARN) des IAM-Benutzers und der IAM-Rolle an.
+ `ScopeStartTime`: Geben Sie optional das Datum und die Uhrzeit an, ab dem die Untersuchung beginnen soll. Der Wert ist eine Zeichenfolge im ISO8601 UTC-Format. Zum Beispiel. ` 2021-08-18T16:35:56.284Z`
+ `ScopeEndTime`: Geben Sie optional das Datum und die Uhrzeit an, ab dem die Untersuchung enden soll. Der Wert ist eine Zeichenfolge im ISO8601 UTC-Format. Zum Beispiel. ` 2021-08-18T16:35:56.284Z`

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z
```

------

Sie können eine Untersuchung auch über die folgenden Seiten in Detective durchführen:
+ Die Profilseite eines IAM-Benutzers oder einer IAM-Rolle in Detective.
+ Bereich zur grafischen Darstellung einer Erkenntnisgruppe.
+ Spalte „Aktionen“ einer beteiligten Ressource.
+ IAM-Benutzer oder IAM-Rolle auf einer Erkenntnisseite.

Sobald Detective die Untersuchung für eine Ressource durchgeführt hat, wird ein Untersuchungsbericht generiert. Um auf den Bericht zuzugreifen, wechseln Sie im Navigationsbereich zu **Untersuchungen**. 

# Überprüfung von Detective Investigationsberichten
<a name="investigations-report"></a>

Mit Untersuchungsberichten können Sie die generierten **Berichte** für Untersuchungen überprüfen, die Sie zuvor in Detective ausgeführt haben. 

So überprüfen Sie Untersuchungsberichte

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

Beachten Sie die folgenden Merkmale aus einem Untersuchungsbericht. 
+ **ID** – Die generierte Kennung des Untersuchungsberichts. Sie können diese **ID** wählen, um eine Übersicht des Untersuchungsberichts mit den Einzelheiten der Untersuchung zu lesen.
+ **Status** – Jeder Untersuchung ist ein **Status** zugeordnet, der auf dem Abschlussstatus der Untersuchung basiert. Die Statuswerte können **In Bearbeitung**, **Erfolgreich** oder **Fehlgeschlagen** lauten.
+ **Schweregrad** – Jeder Untersuchung wird ein **Schweregrad** zugewiesen. Der Detective weist der Erkenntnis automatisch einen Schweregrad zu. 

  Ein Schweregrad steht für die Disposition, wie sie bei der Untersuchung einer einzelnen Ressource zu einem bestimmten Zeitpunkt analysiert wurde. Ein im Rahmen einer Untersuchung gemeldeter Schweregrad impliziert nicht die Wichtigkeit oder Bedeutung, die eine betroffene Ressource für Ihr Unternehmen haben könnte, und gibt auch keinen Hinweis darauf.

  Der Schweregrad einer Untersuchung kann als **Kritisch**, **Hoch**, **Mittel**, **Niedrig** oder **Informativ** vom höchsten bis zum geringsten Schweregrad angegeben werden.

  Untersuchungen, denen der Schweregrad „Kritisch“ oder „Hoch“ zugewiesen wurde, sollten für eine weitere Überprüfung priorisiert werden, da es sich bei ihnen mit größerer Wahrscheinlichkeit um von Detective identifizierte Sicherheitsprobleme mit schwerwiegenden Auswirkungen handelt. 
+ **Entität** – Die Spalte **Entität** enthält Details zu den spezifischen Entitäten, die bei der Untersuchung entdeckt wurden. Bei einigen Entitäten handelt es sich um AWS Konten, z. B. Benutzer und Rolle. 
+ **Status** – Die Spalte **Erstellungsdatum** enthält Angaben zu Datum und Uhrzeit der ersten Erstellung des Untersuchungsberichts. 

# Einen Detective Investigations-Bericht verstehen
<a name="investigations-report-understand"></a>

In einem Detective Investigations-Bericht wird eine Zusammenfassung des ungewöhnlichen Verhaltens oder der böswilligen Aktivität aufgeführt, die auf eine Beeinträchtigung hindeuten. Er listet auch die Empfehlungen auf, die Detective zur Minderung des Sicherheitsrisikos vorschlägt.

So zeigen Sie einen Untersuchungsbericht für eine bestimmte Ermittlungsnummer an.

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine **Untersuchungs-ID** aus.

![\[Mit Untersuchungsberichten können Sie die generierten Berichte für Untersuchungen überprüfen, die Sie zuvor in Detective ausgeführt haben.\]](http://docs.aws.amazon.com/de_de/detective/latest/userguide/images/detective-investigations-report.png)


Detective generiert den Bericht für den ausgewählten **Gültigkeitszeitraum** und den ausgewählten **Benutzer**. Der Bericht enthält einen Abschnitt mit **Kompromissindikatoren**, der Einzelheiten zu einem oder mehreren der unten aufgeführten Kompromissindikatoren enthält. Wählen Sie bei der Überprüfung der einzelnen Kompromissindikatoren optional ein Element aus, das Sie genauer untersuchen und dessen Einzelheiten Sie überprüfen möchten.
+ **Taktiken. Techniken und Verfahren** — Identifiziert Taktiken, Techniken und Verfahren (TTPs), die bei einem potenziellen Sicherheitsereignis zum Einsatz kommen. Das MITRE ATT&CK-Framework wird verwendet, um das zu verstehen. TTPs Die Taktiken basieren auf der [MITRE](https://attack.mitre.org/matrices/enterprise/) ATT&CK-Matrix für Unternehmen.
+ **Mit Threat Intelligence markierte IP-Adressen** – Verdächtige IP-Adressen werden gekennzeichnet und auf der Grundlage von Detective Threat Intelligence als kritische oder schwerwiegende Bedrohungen identifiziert. 
+ **Unmögliche Reise** – Erkennt und identifiziert ungewöhnliche und unmögliche Benutzeraktivitäten für ein Konto. Dieser Indikator listet beispielsweise eine drastische Änderung zwischen Quell- und Zielort eines Benutzers innerhalb einer kurzen Zeitspanne auf. 
+ **Verwandte Erkenntnisgruppe** – Zeigt mehrere Aktivitäten an, die sich auf ein potenzielles Sicherheitsereignis beziehen. Detective verwendet Diagrammanalysetechniken, um Beziehungen zwischen Erkenntnissen und Entitäten abzuleiten und sie zu einer Erkenntnisgruppe zusammenzufassen.
+ **Verwandte Erkenntnisse** – Verwandte Aktivitäten im Zusammenhang mit einem potenziellen Sicherheitsereignis. Listet alle unterschiedlichen Kategorien von Beweisen auf, die mit der Ressource oder der Erkenntnisgruppe in Verbindung stehen.
+ **Neue Geolocations** – Identifiziert neue Geolocations, die entweder auf Ressourcen- oder Kontoebene verwendet werden. Dieser Indikator listet beispielsweise eine beobachtete Geolocation auf, bei der es sich aufgrund früherer Benutzeraktivitäten um einen seltenen oder ungenutzten Standort handelt. 
+ **Neue Benutzeragenten** – Identifiziert neue Benutzeragenten, die entweder auf Ressourcen- oder Kontoebene verwendet werden. 
+ **Neu ASOs** — Identifiziert neue autonome Systemorganisationen (ASOs), die entweder auf Ressourcen- oder Kontoebene verwendet werden. Dieser Indikator listet beispielsweise eine neue Organisation auf, die als ASO zugewiesen wurde. 

# Zusammenfassung des Berichts Detective Investigations
<a name="investigations-summary"></a>

In der Übersicht der Untersuchungen werden für den ausgewählten Zeitraum ungewöhnliche Indikatoren hervorgehoben, die besondere Aufmerksamkeit erfordern. Anhand der Übersicht können Sie schneller die Ursache potenzieller Sicherheitsprobleme identifizieren, Muster erkennen und die Ressourcen verstehen, die von Sicherheitsereignissen betroffen sind. 

In der Übersicht des Untersuchungsberichts finden Sie die folgenden Details.

**Untersuchungsübersicht**

Im Bereich „**Übersicht**“ finden Sie eine Visualisierung von Aktivitäten IPs mit hohem Schweregrad, die Ihnen mehr Informationen über den Weg eines Angriffs geben kann. 

Detective hebt **ungewöhnliche Aktivitäten** bei der Untersuchung hervor, z. B. die unmögliche Reise des IAM-Benutzers von einer Quelle zu einem weit entfernten Ziel. 

Detective ordnet die Untersuchungen den Taktiken, Techniken und Verfahren (TTPs) zu, die bei einem potenziellen Sicherheitsereignis angewendet werden. Das MITRE ATT&CK-Framework wird verwendet, um das zu verstehen. TTPs Die Taktiken basieren auf der [MITRE](https://attack.mitre.org/matrices/enterprise/) ATT&CK-Matrix für Unternehmen.

**Untersuchungsindikatoren**

Anhand der Informationen im Bereich **Indikatoren** können Sie feststellen, ob eine AWS -Ressource an ungewöhnlichen Aktivitäten beteiligt ist, die auf bösartiges Verhalten und dessen Auswirkungen hinweisen könnten. Ein Indikator für eine Gefährdung (IOC) ist ein Artefakt, das in oder auf einem Netzwerk, System oder einer Umgebung beobachtet wird und das (mit einem hohen Maß an Sicherheit) böswillige Aktivitäten oder einen Sicherheitsvorfall identifizieren kann.

# Einen Detective Investigations-Bericht herunterladen
<a name="download-investigation"></a>

Sie können den Detective Investigations-Bericht im JSON-Format herunterladen, um ihn weiter zu analysieren, oder ihn in Ihrer bevorzugten Speicherlösung wie einem Amazon S3 S3-Bucket speichern. 

**So laden Sie einen Untersuchungsbericht aus der Tabelle Berichte herunter.**

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine Untersuchung aus und klicken Sie auf **Herunterladen**.

**So laden Sie einen Untersuchungsbericht von der Übersichtsseite herunter.**

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine Untersuchung aus. 

1. Wählen Sie auf der Seite mit der Übersicht der Untersuchungen die Option **Herunterladen** aus.

# Archivieren eines Detective Investigationsberichts
<a name="archive-investigation"></a>

Wenn Sie Ihre Untersuchung in Amazon Detective abgeschlossen haben, können Sie den Untersuchungsbericht **Archivieren**. Eine archivierte Untersuchung zeigt an, dass Sie die Überprüfung der Untersuchung abgeschlossen haben.

Sie können eine Untersuchung nur archivieren oder deren Archivierung aufheben, wenn Sie Detective Administrator sind. Detective speichert Ihre archivierten Untersuchungen 90 Tage lang.

**So archivieren Sie einen Untersuchungsbericht aus der Tabelle Berichte.**

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine Untersuchung aus und klicken Sie dann auf **Archivieren**.

**So archivieren Sie einen Untersuchungsbericht von der Übersichtsseite aus.**

1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Wählen Sie im Navigationsbereich die Option **Untersuchungen**. 

1. Wählen Sie in der Tabelle **Berichte** eine Untersuchung aus. 

1. Wählen Sie auf der Seite mit der Übersicht der Untersuchungen die Option **Archivieren** aus.