View a markdown version of this page

GuardDuty Investigasi (Pratinjau) - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty Investigasi (Pratinjau)

GuardDuty Investigasi memberikan analisis AI-powered keamanan atas GuardDuty temuan dan akun Anda. Saat Anda membuat investigasi, GuardDuty memeriksa konteks temuan, aktivitas terkait dari 90 hari terakhir, sumber daya yang terpengaruh, intelijen ancaman, dan indikator ancaman menggunakan grafik pengetahuan. Setiap investigasi memberikan penilaian disposisi ancaman dengan penilaian kepercayaan, klasifikasi teknik MITRE ATT&CK®, bukti pendukung, dan rekomendasi yang dapat ditindaklanjuti.

Setiap investigasi menghasilkan wawasan berikut:

  • Tingkat risiko — Penilaian risiko keseluruhan: Info, Rendah, Sedang, Tinggi, atau Kritis.

  • Keyakinan — Tingkat kepercayaan penilaian: Tidak Diketahui, Rendah, Sedang, atau Tinggi.

  • Ringkasan — Deskripsi temuan investigasi dan pengamatan kunci.

  • Detail Investigasi — Informasi dan konteks tambahan yang terkait dengan penyelidikan.

  • Tindakan yang Direkomendasikan - Tindakan terperinci, termasuk perintah CLI, yang dapat Anda ambil untuk mengatasi masalah yang diidentifikasi.

catatan

GuardDuty Investigasi hanya tersedia di 10 AWS Wilayah komersial berikut: AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), Kanada (Tengah), Eropa (Frankfurt), Eropa (Irlandia), Eropa (London), Eropa (Paris), Eropa (Stockholm), dan Asia Pasifik (Tokyo).

Jenis analisis

GuardDuty Investigasi mendukung tiga jenis analisis berikut:

  • Analisis temuan — Menganalisis GuardDuty temuan spesifik, saat Anda menentukan ID temuan (heksadesimal 32 karakter). Untuk pratinjau, GuardDuty Investigasi mendukung semua temuan Extended Threat Detection (XTD) dan memilih temuan dari paket dasar, S3, dan Runtime.

  • Analisis akun — Menganalisis postur ancaman AWS akun, saat Anda memberikan ID AWS akun 12 digit.

  • Analisis organisasi — Menganalisis postur ancaman organisasi Anda. Untuk pratinjau, ini menganalisis hingga 100 akun.

Cross-Region inferensi

GuardDuty Investigasi memanfaatkan Cross-Region Inference Service (CRIS), yang secara otomatis memilih yang optimal Wilayah AWS dalam geografi Anda untuk memproses analisis investigasi dan menghasilkan laporan investigasi. Ini memaksimalkan sumber daya komputasi yang tersedia, ketersediaan model, dan memberikan pengalaman pelanggan terbaik.

Data Anda tetap disimpan hanya di Wilayah tempat permintaan investigasi berasal. Namun, data investigasi dan hasil ringkasan dapat diproses di luar Wilayah tersebut. Semua data ditransmisikan dienkripsi di seluruh jaringan aman Amazon.

GuardDuty Investigasi dengan aman merutekan permintaan inferensi Anda ke sumber daya komputasi yang tersedia dalam wilayah geografis tempat permintaan tersebut berasal, seperti yang ditunjukkan pada tabel berikut.

Cross-Region perutean inferensi
Geografi yang didukung GuardDuty Wilayah Daerah Inferensi
Amerika Serikat AS Timur (Virginia Utara) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Amerika Serikat AS Timur (Ohio) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Amerika Serikat AS Barat (Oregon) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Amerika Serikat Kanada (Pusat) Kanada (Tengah), AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon)
Eropa Eropa (Frankfurt) Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris)
Eropa Eropa (Irlandia) Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris)
Eropa Eropa (London) Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (London), Eropa (Paris)
Eropa Eropa (Paris) Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris)
Eropa Eropa (Stockholm) Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris)
Jepang Asia Pasifik (Tokyo) Asia Pasifik (Tokyo), Asia Pasifik (Osaka)

Prasyarat

Sebelum Anda dapat menggunakan GuardDuty Investigasi, pastikan bahwa prasyarat berikut terpenuhi:

  • Anda harus memiliki GuardDuty detektor aktif di Wilayah AWS tempat Anda ingin membuat investigasi. Untuk informasi selengkapnya tentang mengaktifkan GuardDuty, lihatMemulai dengan GuardDuty.

  • Anda harus mengaktifkan fitur GuardDuty Investigasi pada detektor Anda.

    Console
    1. Buka GuardDuty konsol.

    2. Pada panel navigasi, silakan pilih Pengaturan.

    3. Di bawah investigasi bertenaga AI - Pratinjau, pilih Aktifkan.

    API/CLI

    Panggil UpdateDetectorAPI dan aktifkan AI_ANALYST fitur pada detektor Anda.

    aws guardduty update-detector \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  • Identitas IAM Anda harus memiliki izin yang diperlukan untuk melakukan tindakan investigasi. Tindakan IAM berikut diperlukan:

    • guardduty:CreateInvestigation— Diperlukan untuk membuat penyelidikan baru.

    • guardduty:GetInvestigation— Diperlukan untuk mengambil hasil investigasi.

    • guardduty:ListInvestigations— Diperlukan untuk membuat daftar investigasi untuk detektor.

Contoh berikut kebijakan IAM memberikan izin untuk menggunakan semua tindakan GuardDuty Investigasi:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }

Model akses untuk akun administrator dan anggota

Aturan akses berikut berlaku untuk GuardDuty Investigasi tergantung pada apakah Anda menggunakan akun administrator atau akun anggota:

  • Akun administrator — Dapat membuat, mendapatkan, dan membuat daftar investigasi untuk diri mereka sendiri dan akun anggota mereka.

  • Akun anggota — Hanya bisa mendapatkan dan membuat daftar investigasi untuk akun mereka sendiri. Akun anggota tidak dapat membuat investigasi dan tidak dapat mengakses investigasi milik akun lain atau akun administrator.

Membuat investigasi

Anda dapat membuat penyelidikan untuk menganalisis GuardDuty temuan dan akun di AWS lingkungan Anda. Investigasi berjalan secara asinkron di latar belakang. Setelah Anda membuat investigasi, gunakan ID investigasi untuk memeriksa statusnya dan mengambil hasilnya.

penting

Selama pratinjau, Anda dapat memulai hingga 10 investigasi per akun per hari, dengan total batas 100 investigasi per akun. Investigasi yang gagal tidak diperhitungkan dalam kuota ini. Jika Anda menggunakan API/CLI, prompt pemicu dapat mencapai 2.048 karakter.

Pilih metode akses pilihan Anda untuk membuat penyelidikan.

Console
  1. Buka GuardDuty konsol dan arahkan ke Investigasi di navigasi kiri.

  2. Pilih Memulai investigasi.

  3. Pilih ruang lingkup investigasi:

    • Temuan spesifik — Masukkan ID temuan yang ingin Anda analisis.

    • Akun saya (hanya mandiri) - Tidak diperlukan masukan tambahan. GuardDuty akan menganalisis akun Anda.

    • Akun tertentu (hanya administrator) — Masukkan ID AWS akun 12 digit.

    • Semua akun dalam organisasi (hanya administrator) - Tidak diperlukan masukan tambahan.

  4. Pilih Memulai investigasi untuk memulai analisis.

API/CLI

Jalankan operasi CreateInvestigation API untuk memulai penyelidikan baru. Anda harus memberikan ID detektor dan prompt pemicu yang menjelaskan apa yang harus diselidiki.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

Pada perintah sebelumnya, ganti detector-id dengan ID detektor Anda sendiri dan trigger-prompt dengan deskripsi tentang apa yang ingin Anda selidiki.

Anda dapat secara opsional menyertakan --client-token parameter untuk idempotensi. Jika Anda mencoba lagi permintaan dengan token klien yang sama, GuardDuty mengembalikan investigasi yang ada alih-alih membuat duplikat.

Contoh output:

{ "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890" }

Memicu persyaratan prompt

Prompt pemicu harus menjelaskan apa yang harus diselidiki. GuardDuty menentukan jenis analisis berdasarkan konten prompt Anda:

  • Analisis temuan - Sertakan tepat satu ID temuan (string heksadesimal 32 karakter) dalam prompt. Temuan harus ada dan milik akun penelepon atau akun anggota. Anda tidak dapat menyertakan beberapa ID pencarian dalam satu prompt.

  • Analisis akun — Sertakan tepat satu ID AWS akun 12 digit dalam prompt. Penelepon harus menjadi administrator akun itu. Anda tidak dapat menyertakan beberapa ID akun dalam satu prompt.

  • Analisis organisasi — Jelaskan masalah keamanan di seluruh organisasi dalam prompt Anda. Investigasi menganalisis sinyal di seluruh organisasi (hingga 100 akun).

GuardDuty menggunakan AI untuk menafsirkan prompt bentuk bebas Anda dan menentukan ruang lingkup analisis yang sesuai. Jika Anda menyertakan ID temuan, ia melakukan analisis temuan. Jika Anda menyertakan ID akun, ia melakukan analisis akun. Jika prompt Anda menjelaskan masalah di seluruh organisasi, ia melakukan analisis organisasi. Jika prompt tidak cocok dengan jenis analisis tertentu, investigasi default untuk menganalisis akun pemanggil itu sendiri.

Berikut ini adalah contoh prompt pemicu untuk setiap jenis analisis:

  • Analisis temuan - "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

  • Analisis akun"Analyze findings in account with id 123456789012"

  • Analisis organisasi"Analyze findings in my organization"

Membuat investigasi untuk akun anggota

Jika Anda adalah akun administrator, Anda dapat membuat investigasi untuk akun anggota dengan memasukkan ID akun anggota dalam prompt pemicu. Gunakan ID detektor akun administrator dalam perintah. Hasil investigasi akan berisi temuan dari akun anggota yang ditentukan.

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Analyze findings in account with id 111122223333"

Pada perintah sebelumnya, ganti detector-id dengan ID detektor akun administrator Anda. ID akun 12 digit dalam prompt pemicu mengidentifikasi akun anggota untuk diselidiki.

Melihat hasil investigasi

Setelah Anda membuat investigasi, Anda dapat mengambil hasil termasuk ringkasan, detail investigasi, tingkat kepercayaan, dan rekomendasi. Investigasi dapat memiliki salah satu status berikut:

  • RUNNING — Investigasi masih berlangsung.

  • SELESAI — Investigasi selesai dengan sukses dan hasilnya tersedia.

  • GAGAL — Investigasi mengalami kesalahan. Periksa bidang kesalahan untuk detailnya.

Pilih metode akses pilihan Anda untuk melihat hasil investigasi.

AI-generated analisis dan rekomendasi mungkin berisi kesalahan atau penilaian yang tidak lengkap. Ulasan manusia direkomendasikan.

Console
  1. Buka GuardDuty konsol dan arahkan ke Investigasi di navigasi kiri.

  2. Di tabel investigasi, temukan investigasi lengkap yang ingin Anda tinjau.

  3. Pilih tautan judul investigasi untuk membuka halaman detail.

catatan

Judul investigasi hanya dapat diklik ketika status Selesai.

API/CLI

Jalankan operasi GetInvestigation API untuk mengambil detail lengkap dari investigasi yang telah selesai.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

aws guardduty get-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --investigation-id a1b2c3d4-5678-90ab-cdef-ef1234567890

Contoh keluaran untuk penyelidikan yang lengkap:

{ "Investigation": { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "TriggeredBy": "123456789012", "RiskLevel": "Critical", "Risk": "Detection logic is valid but no live resources are compromised.", "Confidence": "High", "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}", "Cloud": { "Provider": "AWS", "Region": "us-east-1", "Account": "123456789012" }, "Metadata": { "Product": { "Name": "Amazon GuardDuty AI Analyst", "Feature": "Investigation" }, "Version": "1.0.0" }, "StartTime": 1705319400.0, "EndTime": 1705319700.0 } }

SummaryBidang ini berisi string JSON dengan hasil investigasi lengkap, termasuk pengamatan kunci, penanggulangan dengan perintah CLI, dan penilaian ancaman MITRE ATT&CK®.

Menafsirkan hasil investigasi

Tabel berikut menjelaskan tingkat risiko yang dapat dikembalikan oleh investigasi:

Tingkat risiko investigasi
Tingkat risiko Deskripsi
Info Temuan informasi tanpa risiko langsung terhadap lingkungan.
Rendah Risiko kecil yang tidak mungkin memerlukan tindakan segera.
Sedang Risiko moderat yang harus Anda tinjau dan mungkin memerlukan remediasi.
Tinggi Risiko signifikan yang membutuhkan investigasi dan remediasi yang cepat.
Kritis Risiko berat yang membutuhkan tindakan segera untuk mencegah kompromi lebih lanjut.

Tabel berikut menjelaskan tingkat kepercayaan:

Tingkat kepercayaan investigasi
Tingkat kepercayaan diri Deskripsi
Tidak Diketahui Data yang tidak mencukupi untuk menentukan kepercayaan dalam penilaian.
Rendah Bukti terbatas mendukung penilaian.
Sedang Bukti moderat mendukung penilaian.
Tinggi Bukti kuat mendukung penilaian.

Investigasi daftar

Anda dapat membuat daftar semua investigasi untuk detektor, dengan penyortiran dan pagination opsional. Ini membantu Anda meninjau dan melacak status beberapa investigasi.

Pilih metode akses pilihan Anda untuk membuat daftar investigasi.

Console
  1. Buka GuardDuty konsol dan arahkan ke Investigasi di navigasi kiri.

  2. Tabel investigasi menampilkan semua investigasi untuk detektor saat ini dengan status, tingkat risiko, dan stempel waktu.

API/CLI

Jalankan operasi ListInvestigations API untuk membuat daftar ringkasan investigasi untuk detektor.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --max-results 10

Anda dapat mengurutkan hasil dengan menentukan --sort-criteria parameter. Contoh berikut mencantumkan investigasi yang diurutkan berdasarkan waktu mulai dalam urutan menurun:

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \ --max-results 10

Atribut sortir yang tersedia adalah START_TIMEEND_TIME,STATUS,RISK_LEVEL,, danCONFIDENCE. Anda dapat mengurutkan dalam urutan ASC (naik) atau DESC (turun).

Contoh output:

{ "Investigations": [ { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "RiskLevel": "Critical", "Confidence": "High", "StartTime": 1705319400.0, "EndTime": 1705319700.0, "AccountId": "123456789012" }, { "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in account with id 123456789012", "RiskLevel": "High", "Confidence": "High", "StartTime": 1705315800.0, "EndTime": 1705316100.0, "AccountId": "123456789012" }, { "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in my organization", "RiskLevel": "Medium", "Confidence": "Medium", "StartTime": 1705312200.0, "EndTime": 1705312500.0, "AccountId": "123456789012" } ] }

Jika respons menyertakan NextToken nilai, berikan dalam permintaan berikutnya untuk mengambil halaman hasil berikutnya. Anda dapat mengambil hingga 50 hasil per halaman.