Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
GuardDuty Investigasi (Pratinjau)
GuardDuty Investigasi memberikan analisis AI-powered keamanan atas GuardDuty temuan dan akun Anda. Saat Anda membuat investigasi, GuardDuty memeriksa konteks temuan, aktivitas terkait dari 90 hari terakhir, sumber daya yang terpengaruh, intelijen ancaman, dan indikator ancaman menggunakan grafik pengetahuan. Setiap investigasi memberikan penilaian disposisi ancaman dengan penilaian kepercayaan, klasifikasi teknik MITRE ATT&CK®, bukti pendukung, dan rekomendasi yang dapat ditindaklanjuti.
Setiap investigasi menghasilkan wawasan berikut:
-
Tingkat risiko — Penilaian risiko keseluruhan: Info, Rendah, Sedang, Tinggi, atau Kritis.
-
Keyakinan — Tingkat kepercayaan penilaian: Tidak Diketahui, Rendah, Sedang, atau Tinggi.
-
Ringkasan — Deskripsi temuan investigasi dan pengamatan kunci.
-
Detail Investigasi — Informasi dan konteks tambahan yang terkait dengan penyelidikan.
-
Tindakan yang Direkomendasikan - Tindakan terperinci, termasuk perintah CLI, yang dapat Anda ambil untuk mengatasi masalah yang diidentifikasi.
catatan
GuardDuty Investigasi hanya tersedia di 10 AWS Wilayah komersial berikut: AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), Kanada (Tengah), Eropa (Frankfurt), Eropa (Irlandia), Eropa (London), Eropa (Paris), Eropa (Stockholm), dan Asia Pasifik (Tokyo).
Jenis analisis
GuardDuty Investigasi mendukung tiga jenis analisis berikut:
-
Analisis temuan — Menganalisis GuardDuty temuan spesifik, saat Anda menentukan ID temuan (heksadesimal 32 karakter). Untuk pratinjau, GuardDuty Investigasi mendukung semua temuan Extended Threat Detection (XTD) dan memilih temuan dari paket dasar, S3, dan Runtime.
-
Analisis akun — Menganalisis postur ancaman AWS akun, saat Anda memberikan ID AWS akun 12 digit.
-
Analisis organisasi — Menganalisis postur ancaman organisasi Anda. Untuk pratinjau, ini menganalisis hingga 100 akun.
Cross-Region inferensi
GuardDuty Investigasi memanfaatkan Cross-Region Inference Service (CRIS), yang secara otomatis memilih yang optimal Wilayah AWS dalam geografi Anda untuk memproses analisis investigasi dan menghasilkan laporan investigasi. Ini memaksimalkan sumber daya komputasi yang tersedia, ketersediaan model, dan memberikan pengalaman pelanggan terbaik.
Data Anda tetap disimpan hanya di Wilayah tempat permintaan investigasi berasal. Namun, data investigasi dan hasil ringkasan dapat diproses di luar Wilayah tersebut. Semua data ditransmisikan dienkripsi di seluruh jaringan aman Amazon.
GuardDuty Investigasi dengan aman merutekan permintaan inferensi Anda ke sumber daya komputasi yang tersedia dalam wilayah geografis tempat permintaan tersebut berasal, seperti yang ditunjukkan pada tabel berikut.
| Geografi yang didukung | GuardDuty Wilayah | Daerah Inferensi |
|---|---|---|
| Amerika Serikat | AS Timur (Virginia Utara) | AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon) |
| Amerika Serikat | AS Timur (Ohio) | AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon) |
| Amerika Serikat | AS Barat (Oregon) | AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon) |
| Amerika Serikat | Kanada (Pusat) | Kanada (Tengah), AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon) |
| Eropa | Eropa (Frankfurt) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris) |
| Eropa | Eropa (Irlandia) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris) |
| Eropa | Eropa (London) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (London), Eropa (Paris) |
| Eropa | Eropa (Paris) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris) |
| Eropa | Eropa (Stockholm) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris) |
| Jepang | Asia Pasifik (Tokyo) | Asia Pasifik (Tokyo), Asia Pasifik (Osaka) |
Prasyarat
Sebelum Anda dapat menggunakan GuardDuty Investigasi, pastikan bahwa prasyarat berikut terpenuhi:
-
Anda harus memiliki GuardDuty detektor aktif di Wilayah AWS tempat Anda ingin membuat investigasi. Untuk informasi selengkapnya tentang mengaktifkan GuardDuty, lihatMemulai dengan GuardDuty.
-
Anda harus mengaktifkan fitur GuardDuty Investigasi pada detektor Anda.
-
Identitas IAM Anda harus memiliki izin yang diperlukan untuk melakukan tindakan investigasi. Tindakan IAM berikut diperlukan:
-
guardduty:CreateInvestigation— Diperlukan untuk membuat penyelidikan baru. -
guardduty:GetInvestigation— Diperlukan untuk mengambil hasil investigasi. -
guardduty:ListInvestigations— Diperlukan untuk membuat daftar investigasi untuk detektor.
-
Contoh berikut kebijakan IAM memberikan izin untuk menggunakan semua tindakan GuardDuty Investigasi:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }
Model akses untuk akun administrator dan anggota
Aturan akses berikut berlaku untuk GuardDuty Investigasi tergantung pada apakah Anda menggunakan akun administrator atau akun anggota:
-
Akun administrator — Dapat membuat, mendapatkan, dan membuat daftar investigasi untuk diri mereka sendiri dan akun anggota mereka.
-
Akun anggota — Hanya bisa mendapatkan dan membuat daftar investigasi untuk akun mereka sendiri. Akun anggota tidak dapat membuat investigasi dan tidak dapat mengakses investigasi milik akun lain atau akun administrator.
Membuat investigasi
Anda dapat membuat penyelidikan untuk menganalisis GuardDuty temuan dan akun di AWS lingkungan Anda. Investigasi berjalan secara asinkron di latar belakang. Setelah Anda membuat investigasi, gunakan ID investigasi untuk memeriksa statusnya dan mengambil hasilnya.
penting
Selama pratinjau, Anda dapat memulai hingga 10 investigasi per akun per hari, dengan total batas 100 investigasi per akun. Investigasi yang gagal tidak diperhitungkan dalam kuota ini. Jika Anda menggunakan API/CLI, prompt pemicu dapat mencapai 2.048 karakter.
Pilih metode akses pilihan Anda untuk membuat penyelidikan.
Melihat hasil investigasi
Setelah Anda membuat investigasi, Anda dapat mengambil hasil termasuk ringkasan, detail investigasi, tingkat kepercayaan, dan rekomendasi. Investigasi dapat memiliki salah satu status berikut:
-
RUNNING — Investigasi masih berlangsung.
-
SELESAI — Investigasi selesai dengan sukses dan hasilnya tersedia.
-
GAGAL — Investigasi mengalami kesalahan. Periksa bidang kesalahan untuk detailnya.
Pilih metode akses pilihan Anda untuk melihat hasil investigasi.
AI-generated analisis dan rekomendasi mungkin berisi kesalahan atau penilaian yang tidak lengkap. Ulasan manusia direkomendasikan.
Menafsirkan hasil investigasi
Tabel berikut menjelaskan tingkat risiko yang dapat dikembalikan oleh investigasi:
| Tingkat risiko | Deskripsi |
|---|---|
| Info | Temuan informasi tanpa risiko langsung terhadap lingkungan. |
| Rendah | Risiko kecil yang tidak mungkin memerlukan tindakan segera. |
| Sedang | Risiko moderat yang harus Anda tinjau dan mungkin memerlukan remediasi. |
| Tinggi | Risiko signifikan yang membutuhkan investigasi dan remediasi yang cepat. |
| Kritis | Risiko berat yang membutuhkan tindakan segera untuk mencegah kompromi lebih lanjut. |
Tabel berikut menjelaskan tingkat kepercayaan:
| Tingkat kepercayaan diri | Deskripsi |
|---|---|
| Tidak Diketahui | Data yang tidak mencukupi untuk menentukan kepercayaan dalam penilaian. |
| Rendah | Bukti terbatas mendukung penilaian. |
| Sedang | Bukti moderat mendukung penilaian. |
| Tinggi | Bukti kuat mendukung penilaian. |
Investigasi daftar
Anda dapat membuat daftar semua investigasi untuk detektor, dengan penyortiran dan pagination opsional. Ini membantu Anda meninjau dan melacak status beberapa investigasi.
Pilih metode akses pilihan Anda untuk membuat daftar investigasi.