

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Detective Investigation
<a name="investigations-about"></a>

Vous pouvez utiliser Amazon Detective Investigation pour étudier les utilisateurs et les rôles IAM à l'aide d'indicateurs de compromission, qui peuvent vous aider à déterminer si une ressource est impliquée dans un incident de sécurité. Un indicateur de compromission (IOC) est un artefact observé dans ou sur un réseau, un système ou un environnement qui peut (avec un niveau de confiance élevé) identifier une activité malveillante ou un incident de sécurité. Avec Detective Investigations, vous pouvez optimiser l'efficacité, vous concentrer sur les menaces de sécurité et renforcer les capacités de réponse aux incidents. 

Detective Investigation utilise des modèles d'apprentissage automatique et des informations sur les menaces pour analyser automatiquement les ressources de votre AWS environnement afin d'identifier les incidents de sécurité potentiels. Cette fonctionnalité vous permet d’utiliser de manière proactive, efficace et effective l’automatisation basée sur le graphe de comportement de Detective pour améliorer les opérations de sécurité. Detective Investigation vous permet d'enquêter sur les tactiques d'attaque, les déplacements impossibles, les adresses IP signalées et la recherche de groupes. Il effectue les premières étapes de l’enquête de sécurité et génère un rapport mettant en évidence les risques identifiés par Detective, afin de vous aider à comprendre les événements de sécurité et à répondre aux incidents potentiels.

**Topics**
+ [Mener une enquête Detective](run-investigations.md)
+ [Révision des rapports de Detective Investigations](investigations-report.md)
+ [Comprendre un rapport de Detective Investigations](investigations-report-understand.md)
+ [Résumé du rapport Detective Investigations](investigations-summary.md)
+ [Téléchargement d'un rapport de Detective Investigations](download-investigation.md)
+ [Archivage d'un rapport de Detective Investigations](archive-investigation.md)

# Mener une enquête Detective
<a name="run-investigations"></a>

Utilisez **Effectuer une enquête** pour analyser des ressources telles que les utilisateurs IAM et les rôles IAM, et pour générer un rapport d’enquête. Le rapport généré détaille les comportements anormaux qui indiquent une compromission potentielle.

------
#### [ Console ]

Suivez ces étapes pour exécuter une enquête Detective depuis la **page Investigations** à l'aide de la console Amazon Detective.

1. Connectez-vous à la console AWS de gestion. Ouvrez ensuite la console Detective à l'adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Dans le volet de navigation, choisissez **Enquêtes**. 

1. Sur la page **Enquêtes**, choisissez **Exécuter une investigation** dans le coin supérieur droit. 

1. Dans la section **Sélectionner une ressource**, vous pouvez effectuer une enquête de trois manières différentes. Vous pouvez choisir de lancer l'enquête pour une ressource recommandée par Detective. Vous pouvez exécuter l'enquête pour une ressource spécifique. Vous pouvez également enquêter sur une ressource depuis la page Rechercher de Detective.

   1. `Choose a recommended resource`— Detective recommande des ressources en fonction de son activité en matière de découvertes et de recherche de groupes. Pour exécuter l'enquête sur une ressource recommandée par Detective, dans le tableau **des ressources recommandées**, sélectionnez une ressource à examiner. 

      Le tableau Ressources recommandées fournit les détails suivants : 
      + **ARN de la ressource** : nom de ressource Amazon (ARN) de la AWS ressource.
      + **Motif de l’enquête** : affiche les principaux motifs menant à enquêter sur la ressource. Les motifs pour lesquels Detective recommande d’enquêter sur une ressource sont les suivants : 
        + Si une ressource a été impliquée dans un résultat de haute gravité au cours des dernières 24 heures. 
        + Si une ressource a été impliquée dans un groupe de résultats observé au cours des 7 derniers jours. Les groupes de résultats Detective vous permettent d’examiner plusieurs activités liées à un événement de sécurité potentiel. Pour en savoir plus, consultez [Analyse des groupes de résultats](groups-about.md).
        + Si une ressource a été impliquée dans un résultat observé au cours des 7 derniers jours.
      + **Dernier résultat** : les résultats les plus récents sont placés en tête de liste. 
      + **Type de ressource** : identifie le type de ressource. Par exemple, un AWS utilisateur ou un AWS rôle.

   1. `Specify an AWS role or user with an ARN`— Vous pouvez sélectionner un AWS rôle ou un AWS utilisateur et lancer une enquête pour la ressource en question. 

      Suivez ces étapes pour étudier un type de ressource spécifique. 

      1. Dans la liste déroulante **Sélectionner le type de ressource**, sélectionnez AWS un rôle ou un AWS utilisateur.

      1. Entrez l'**ARN de la ressource** IAM. Pour plus de détails sur Resource ARNs, consultez [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html) dans le guide de l'utilisateur IAM.

   1. `Find a resource to investigate from the Search page`— Vous pouvez effectuer des recherches dans toutes vos ressources IAM depuis la page Detective **Search**. 

      Suivez ces étapes pour rechercher une ressource à partir de la page de recherche.

      1. Dans le volet de navigation, sélectionnez **Recherche**.

      1. Sur la page de recherche, recherchez une ressource IAM. 

      1. Accédez à la page de profil de la ressource et lancez une enquête à partir de là.

1. Dans la section **Durée de l'enquête**, choisissez la **durée** de l'enquête afin d'évaluer l'activité de la ressource sélectionnée. Vous pouvez sélectionner une **date de début** et une **heure de début**, ainsi qu’une **date de fin** et une **heure de fin** au format UTC. La fenêtre de durée de validité sélectionnée peut être comprise entre un minimum de 3 heures et un maximum de 30 jours.

1. Choisissez **Exécuter une enquête**. 

------
#### [ API ]

Pour exécuter une enquête par programmation, utilisez le [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html)fonctionnement de l'API Detective. Pour exécuter une enquête à l'aide de la AWS Command Line Interface (AWS CLI), exécutez la commande [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html).

Dans votre demande, utilisez les paramètres suivants pour effectuer une enquête dans Detective : 
+ `GraphArn` : spécifiez l’Amazon Resource Name (ARN) du graphique de comportement.
+ `EntityArn` : spécifiez l’Amazon Resource Name (ARN) unique de l’utilisateur et du rôle IAM.
+ `ScopeStartTime` : spécifiez éventuellement la date et l’heure à partir desquelles l’enquête doit commencer. La valeur est une chaîne ISO8601 au format UTC. Par exemple,` 2021-08-18T16:35:56.284Z`.
+ `ScopeEndTime` : spécifiez éventuellement la date et l’heure auxquelles l’enquête doit se terminer. La valeur est une chaîne ISO8601 au format UTC. Par exemple,` 2021-08-18T16:35:56.284Z`.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z
```

------

Vous pouvez également exécuter une enquête à partir des pages suivantes de Detective :
+ Page de profil d’utilisateur ou de rôle IAM dans Detective.
+ Volet de visualisation de graphique d’un groupe de résultats.
+ Colonne Actions d’une ressource impliquée.
+ Utilisateur ou rôle IAM sur une page de résultat.

Une fois que Detective a effectué l’enquête pour une ressource, un rapport d’enquête est généré. Pour accéder au rapport, accédez à **Investigations** dans le volet de navigation. 

# Révision des rapports de Detective Investigations
<a name="investigations-report"></a>

Les rapports d’enquêtes vous permettent de consulter les **rapports** générés pour les enquêtes que vous avez menées précédemment dans Detective. 

Pour examiner les rapports d’enquête

1. Connectez-vous à la console AWS de gestion. Ouvrez ensuite la console Detective à l'adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Dans le volet de navigation, choisissez **Enquêtes**. 

Notez les attributs suivants d’un rapport d’enquête. 
+ **ID** : identifiant généré pour le rapport d’enquête. Vous pouvez choisir cet **identifiant** pour lire un résumé du rapport d’enquête, qui contient les détails de l’enquête.
+ **Statut** : chaque enquête est associée à un **statut** basé sur l’état d’achèvement de l’enquête. Les valeurs d’état peuvent être **En cours**, **Réussi** ou **Échoué**.
+ **Niveau de gravité** : un **niveau de gravité** est attribué à chaque enquête. Detective attribue automatiquement un niveau de gravité au résultat. 

  Un niveau de gravité représente la disposition telle qu’analysée par l’étude d’une seule ressource pour une durée de validité donnée. Un niveau de gravité signalé par une enquête n’implique ni n’indique le caractère critique ou l’importance que pourrait avoir une ressource affectée pour votre organisation.

  Les valeurs de gravité de l’enquête peuvent être **critiques**, **élevées**, **moyennes**, **faibles** ou **indicatives**, en allant du niveau le plus grave au moins sévère.

  Les enquêtes auxquelles est attribuée une valeur de gravité critique ou élevée doivent être prioritaires pour une inspection plus approfondie, car elles sont plus susceptibles de représenter des problèmes de sécurité à fort impact identifiés par Detective. 
+ **Entité** : la colonne **Entité** contient des détails sur les entités spécifiques détectées au cours de l’enquête. Certaines entités sont des AWS comptes, telles que l'utilisateur et le rôle. 
+ **Statut** : la colonne Date de **création** contient des détails sur la date et l’heure auxquelles le rapport d’enquête a été créé pour la première fois. 

# Comprendre un rapport de Detective Investigations
<a name="investigations-report-understand"></a>

Un rapport de Detective Investigations fournit un résumé des comportements inhabituels ou des activités malveillantes indiquant une compromission. Il répertorie également les recommandations suggérées par Detective pour atténuer les risques de sécurité.

Pour consulter un rapport d’enquête pour un identifiant d’enquête spécifique.

1. Connectez-vous à la console AWS de gestion. Ouvrez ensuite la console Detective à l'adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Dans le volet de navigation, choisissez **Enquêtes**. 

1. Dans le tableau **Rapports**, sélectionnez un **identifiant** d’enquête.

![\[Les rapports d’enquêtes vous permettent de consulter les rapports générés pour les enquêtes que vous avez menées précédemment dans Detective.\]](http://docs.aws.amazon.com/fr_fr/detective/latest/userguide/images/detective-investigations-report.png)


Detective génère le rapport pour la durée de **validité** et **l’utilisateur** sélectionnés. Le rapport contient une section sur **les indicateurs de compromission** qui inclut des détails concernant un ou plusieurs des indicateurs de compromission énumérés ci-dessous. Au fur et à mesure que vous passez en revue chaque indicateur de compromis, choisissez éventuellement un élément à explorer et à examiner en détail.
+ **Tactiques. Techniques et procédures** — Identifie les tactiques, techniques et procédures (TTPs) utilisées lors d'un événement de sécurité potentiel. Le framework MITRE ATT&CK est utilisé pour comprendre le. TTPs Les tactiques sont basées sur la [matrice MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/) pour Enterprise.
+ **Adresses IP signalées par le Threat Intelligence : les adresses** IP suspectes sont signalées et identifiées comme des menaces critiques ou graves sur la base des informations du Detective Threat Intelligence. 
+ **Déplacement impossible** : détecte et identifie les activités inhabituelles et impossibles des utilisateurs associées à un compte. Par exemple, cet indicateur répertorie un changement radical entre l’emplacement source et l’emplacement de destination d’un utilisateur dans un court laps de temps. 
+ **Groupe de résultats associé** : affiche plusieurs activités liées à un événement de sécurité potentiel. Detective utilise des techniques d’analyse de graphes qui déduisent les relations entre les résultats et les entités, puis les regroupe en un groupe de résultat.
+ **Résultats connexes** : activités connexes associées à un événement de sécurité potentiel. Répertorie toutes les catégories distinctes de preuves liées à la ressource ou au groupe de résultats.
+ **Nouvelles géolocalisations** : identifie les nouvelles géolocalisations utilisées au niveau de la ressource ou du compte. Par exemple, cet indicateur répertorie une géolocalisation observée qui est une localisation peu fréquente ou inutilisée en fonction de l’activité précédente de l’utilisateur. 
+ **Nouveaux agents utilisateurs** : identifie les nouveaux agents utilisateurs utilisés au niveau de la ressource ou du compte. 
+ **Nouveau ASOs** — Identifie les nouvelles Organisations de systèmes autonomes (ASOs) utilisées au niveau des ressources ou des comptes. Par exemple, cet indicateur répertorie une nouvelle organisation assignée en tant qu’ASO. 

# Résumé du rapport Detective Investigations
<a name="investigations-summary"></a>

Le résumé des enquêtes met en évidence les indicateurs anormaux qui nécessitent une attention particulière pour la durée de validité sélectionnée. À l’aide du résumé, vous pouvez identifier plus rapidement la cause première des problèmes de sécurité potentiels, identifier les modèles et comprendre les ressources affectées par les événements de sécurité. 

Dans le résumé du rapport d’enquête détaillé, vous pouvez afficher les détails suivants.

**Vue d’ensemble des enquêtes**

Dans le panneau **Vue d'ensemble**, vous pouvez voir une visualisation IPs des activités très graves, qui peut donner plus de contexte sur le parcours d'un attaquant. 

Detective met en lumière une **activité inhabituelle** au cours de l’enquête, par exemple l’impossibilité pour l’utilisateur d’IAM de se rendre d’une source à une destination lointaine. 

Detective associe les enquêtes aux tactiques, techniques et procédures (TTPs) utilisées lors d'un éventuel événement de sécurité. Le framework MITRE ATT&CK est utilisé pour comprendre le. TTPs Les tactiques sont basées sur la [matrice MITRE ATT&CK pour Enterprise](https://attack.mitre.org/matrices/enterprise/).

**Indicateurs d’enquêtes**

Vous pouvez utiliser les informations du volet **Indicateurs** pour déterminer si une ressource AWS est impliquée dans une activité inhabituelle susceptible d’indiquer un comportement malveillant et son impact. Un indicateur de compromission (IOC) est un artefact observé dans ou sur un réseau, un système ou un environnement qui peut (avec un niveau de confiance élevé) identifier une activité malveillante ou un incident de sécurité.

# Téléchargement d'un rapport de Detective Investigations
<a name="download-investigation"></a>

Vous pouvez télécharger le rapport Detective Investigations au format JSON pour l'analyser plus en profondeur ou le stocker dans votre solution de stockage préférée, telle qu'un bucket Amazon S3. 

**Pour télécharger un rapport d’enquête à partir du tableau Rapports.**

1. Connectez-vous à la console AWS de gestion. Ouvrez ensuite la console Detective à l'adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Dans le volet de navigation, choisissez **Enquêtes**. 

1. Sélectionnez une enquête dans le tableau **Rapports**, puis choisissez **Télécharger**.

**Pour télécharger un rapport d’enquête à partir de la page de synthèse.**

1. Connectez-vous à la console AWS de gestion. Ouvrez ensuite la console Detective à l'adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Dans le volet de navigation, choisissez **Enquêtes**. 

1. Sélectionnez une enquête dans le tableau **Rapports**. 

1. Sur la page récapitulative des enquêtes, choisissez **Télécharger**.

# Archivage d'un rapport de Detective Investigations
<a name="archive-investigation"></a>

Lorsque vous avez terminé votre enquête dans Amazon Detective, vous pouvez **archiver** le rapport d’enquête. Une enquête archivée indique que vous avez terminé de l’examiner.

Vous pouvez archiver ou désarchiver une enquête uniquement si vous avez la qualification Detective Administrator. Detective conserve vos enquêtes archivées pendant 90 jours.

**Pour archiver un rapport d’investigation à partir du tableau Rapports.**

1. Connectez-vous à la console AWS de gestion. Ouvrez ensuite la console Detective à l'adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Dans le volet de navigation, choisissez **Enquêtes**. 

1. Sélectionnez une enquête dans le tableau **Rapports**, puis choisissez **Archive**.

**Pour archiver un rapport d’enquête à partir de la page de résumé.**

1. Connectez-vous à la console AWS de gestion. Ouvrez ensuite la console Detective à l'adresse [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Dans le volet de navigation, choisissez **Enquêtes**. 

1. Sélectionnez une enquête dans le tableau **Rapports**. 

1. Sur la page récapitulative des enquêtes, choisissez **Archive**.