

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# GuardDuty Investigasi (Pratinjau)
<a name="guardduty-investigation"></a>

GuardDuty Investigasi memberikan analisis AI-powered keamanan atas GuardDuty temuan dan akun Anda. Saat Anda membuat investigasi, GuardDuty memeriksa konteks temuan, aktivitas terkait dari 90 hari terakhir, sumber daya yang terpengaruh, intelijen ancaman, dan indikator ancaman menggunakan grafik pengetahuan. Setiap investigasi memberikan penilaian disposisi ancaman dengan penilaian kepercayaan, klasifikasi teknik MITRE ATT&CK®, bukti pendukung, dan rekomendasi yang dapat ditindaklanjuti.

Setiap investigasi menghasilkan wawasan berikut:
+ **Tingkat risiko** — Penilaian risiko keseluruhan: Info, Rendah, Sedang, Tinggi, atau Kritis.
+ **Keyakinan** — Tingkat kepercayaan penilaian: Tidak Diketahui, Rendah, Sedang, atau Tinggi.
+ **Ringkasan** — Deskripsi temuan investigasi dan pengamatan kunci.
+ **Detail Investigasi** — Informasi dan konteks tambahan yang terkait dengan penyelidikan.
+ **Tindakan yang Direkomendasikan** - Tindakan terperinci, termasuk perintah CLI, yang dapat Anda ambil untuk mengatasi masalah yang diidentifikasi.

**catatan**  
GuardDuty Investigasi hanya tersedia di 10 AWS Wilayah komersial berikut: AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), Kanada (Tengah), Eropa (Frankfurt), Eropa (Irlandia), Eropa (London), Eropa (Paris), Eropa (Stockholm), dan Asia Pasifik (Tokyo).

## Jenis analisis
<a name="guardduty-investigation-analysis-types"></a>

GuardDuty Investigasi mendukung tiga jenis analisis berikut:
+ **Analisis temuan** — Menganalisis GuardDuty temuan spesifik, saat Anda menentukan ID temuan (heksadesimal 32 karakter). Untuk pratinjau, GuardDuty Investigasi mendukung semua temuan Extended Threat Detection (XTD) dan memilih temuan dari paket dasar, S3, dan Runtime.
+ **Analisis akun** — Menganalisis postur ancaman AWS akun, saat Anda memberikan ID AWS akun 12 digit.
+ **Analisis organisasi** — Menganalisis postur ancaman organisasi Anda. Untuk pratinjau, ini menganalisis hingga 100 akun.

## Cross-Region inferensi
<a name="guardduty-investigation-cross-region-inference"></a>

GuardDuty Investigasi memanfaatkan Cross-Region Inference Service (CRIS), yang secara otomatis memilih yang optimal Wilayah AWS dalam geografi Anda untuk memproses analisis investigasi dan menghasilkan laporan investigasi. Ini memaksimalkan sumber daya komputasi yang tersedia, ketersediaan model, dan memberikan pengalaman pelanggan terbaik.

Data Anda tetap disimpan hanya di Wilayah tempat permintaan investigasi berasal. Namun, data investigasi dan hasil ringkasan dapat diproses di luar Wilayah tersebut. Semua data ditransmisikan dienkripsi di seluruh jaringan aman Amazon.

GuardDuty Investigasi dengan aman merutekan permintaan inferensi Anda ke sumber daya komputasi yang tersedia dalam wilayah geografis tempat permintaan tersebut berasal, seperti yang ditunjukkan pada tabel berikut.


**Cross-Region perutean inferensi**  

| Geografi yang didukung | GuardDuty Wilayah | Daerah Inferensi | 
| --- | --- | --- | 
| Amerika Serikat | AS Timur (Virginia Utara) | AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon) | 
| Amerika Serikat | AS Timur (Ohio) | AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon) | 
| Amerika Serikat | AS Barat (Oregon) | AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon) | 
| Amerika Serikat | Kanada (Pusat) | Kanada (Tengah), AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon) | 
| Eropa | Eropa (Frankfurt) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris) | 
| Eropa | Eropa (Irlandia) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris) | 
| Eropa | Eropa (London) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (London), Eropa (Paris) | 
| Eropa | Eropa (Paris) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris) | 
| Eropa | Eropa (Stockholm) | Eropa (Frankfurt), Eropa (Stockholm), Eropa (Milan), Eropa (Spanyol), Eropa (Irlandia), Eropa (Paris) | 
| Jepang | Asia Pasifik (Tokyo) | Asia Pasifik (Tokyo), Asia Pasifik (Osaka) | 

## Prasyarat
<a name="guardduty-investigation-prerequisites"></a>

Sebelum Anda dapat menggunakan GuardDuty Investigasi, pastikan bahwa prasyarat berikut terpenuhi:
+ Anda harus memiliki GuardDuty detektor aktif di Wilayah AWS tempat Anda ingin membuat investigasi. Untuk informasi selengkapnya tentang mengaktifkan GuardDuty, lihat[Memulai dengan GuardDuty](guardduty_settingup.md).
+ Anda harus mengaktifkan fitur GuardDuty Investigasi pada detektor Anda.

------
#### [ Console ]

  1. Buka GuardDuty konsol.

  1. Pada panel navigasi, silakan pilih **Pengaturan**.

  1. Di bawah **investigasi bertenaga AI - Pratinjau**, pilih **Aktifkan**.

------
#### [ API/CLI ]

  Panggil [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)API dan aktifkan `AI_ANALYST` fitur pada detektor Anda.

  ```
  aws guardduty update-detector \
      --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
      --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  ```

------
+ Identitas IAM Anda harus memiliki izin yang diperlukan untuk melakukan tindakan investigasi. Tindakan IAM berikut diperlukan:
  + `guardduty:CreateInvestigation`— Diperlukan untuk membuat penyelidikan baru.
  + `guardduty:GetInvestigation`— Diperlukan untuk mengambil hasil investigasi.
  + `guardduty:ListInvestigations`— Diperlukan untuk membuat daftar investigasi untuk detektor.

Contoh berikut kebijakan IAM memberikan izin untuk menggunakan semua tindakan GuardDuty Investigasi:

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:CreateInvestigation",
                "guardduty:GetInvestigation",
                "guardduty:ListInvestigations"
            ],
            "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7"
        }
    ]
}
```

### Model akses untuk akun administrator dan anggota
<a name="guardduty-investigation-access-model"></a>

Aturan akses berikut berlaku untuk GuardDuty Investigasi tergantung pada apakah Anda menggunakan akun administrator atau akun anggota:
+ **Akun administrator** — Dapat membuat, mendapatkan, dan membuat daftar investigasi untuk diri mereka sendiri dan akun anggota mereka.
+ **Akun anggota** — Hanya bisa mendapatkan dan membuat daftar investigasi untuk akun mereka sendiri. Akun anggota tidak dapat membuat investigasi dan tidak dapat mengakses investigasi milik akun lain atau akun administrator.

## Membuat investigasi
<a name="guardduty-investigation-create"></a>

Anda dapat membuat penyelidikan untuk menganalisis GuardDuty temuan dan akun di AWS lingkungan Anda. Investigasi berjalan secara asinkron di latar belakang. Setelah Anda membuat investigasi, gunakan ID investigasi untuk memeriksa statusnya dan mengambil hasilnya.

**penting**  
Selama pratinjau, Anda dapat memulai hingga 10 investigasi per akun per hari, dengan total batas 100 investigasi per akun. Investigasi yang gagal tidak diperhitungkan dalam kuota ini. Jika Anda menggunakan API/CLI, prompt pemicu dapat mencapai 2.048 karakter.

Pilih metode akses pilihan Anda untuk membuat penyelidikan.

------
#### [ Console ]

1. Buka GuardDuty konsol dan arahkan ke **Investigasi** di navigasi kiri.

1. Pilih **Memulai investigasi**.

1. Pilih ruang lingkup investigasi:
   + **Temuan spesifik** — Masukkan ID temuan yang ingin Anda analisis.
   + **Akun saya** (hanya mandiri) - Tidak diperlukan masukan tambahan. GuardDuty akan menganalisis akun Anda.
   + **Akun tertentu** (hanya administrator) — Masukkan ID AWS akun 12 digit.
   + **Semua akun dalam organisasi** (hanya administrator) - Tidak diperlukan masukan tambahan.

1. Pilih **Memulai investigasi** untuk memulai analisis.

------
#### [ API/CLI ]

Jalankan operasi CreateInvestigation API untuk memulai penyelidikan baru. Anda harus memberikan ID detektor dan prompt pemicu yang menjelaskan apa yang harus diselidiki.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "{{Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012}}"
```

Pada perintah sebelumnya, ganti {{detector-id}} dengan ID detektor Anda sendiri dan {{trigger-prompt}} dengan deskripsi tentang apa yang ingin Anda selidiki.

Anda dapat secara opsional menyertakan `--client-token` parameter untuk idempotensi. Jika Anda mencoba lagi permintaan dengan token klien yang sama, GuardDuty mengembalikan investigasi yang ada alih-alih membuat duplikat.

Contoh output:

```
{
    "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890"
}
```

**Memicu persyaratan prompt**

Prompt pemicu harus menjelaskan apa yang harus diselidiki. GuardDuty menentukan jenis analisis berdasarkan konten prompt Anda:
+ **Analisis temuan** - Sertakan tepat satu ID temuan (string heksadesimal 32 karakter) dalam prompt. Temuan harus ada dan milik akun penelepon atau akun anggota. Anda tidak dapat menyertakan beberapa ID pencarian dalam satu prompt.
+ **Analisis akun** — Sertakan tepat satu ID AWS akun 12 digit dalam prompt. Penelepon harus menjadi administrator akun itu. Anda tidak dapat menyertakan beberapa ID akun dalam satu prompt.
+ **Analisis organisasi** — Jelaskan masalah keamanan di seluruh organisasi dalam prompt Anda. Investigasi menganalisis sinyal di seluruh organisasi (hingga 100 akun).

GuardDuty menggunakan AI untuk menafsirkan prompt bentuk bebas Anda dan menentukan ruang lingkup analisis yang sesuai. Jika Anda menyertakan ID temuan, ia melakukan analisis temuan. Jika Anda menyertakan ID akun, ia melakukan analisis akun. Jika prompt Anda menjelaskan masalah di seluruh organisasi, ia melakukan analisis organisasi. Jika prompt tidak cocok dengan jenis analisis tertentu, investigasi default untuk menganalisis akun pemanggil itu sendiri.

Berikut ini adalah contoh prompt pemicu untuk setiap jenis analisis:
+ **Analisis temuan** - `"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"`
+ **Analisis akun** — `"Analyze findings in account with id 123456789012"`
+ **Analisis organisasi** — `"Analyze findings in my organization"`

**Membuat investigasi untuk akun anggota**

Jika Anda adalah akun administrator, Anda dapat membuat investigasi untuk akun anggota dengan memasukkan ID akun anggota dalam prompt pemicu. Gunakan ID detektor akun administrator dalam perintah. Hasil investigasi akan berisi temuan dari akun anggota yang ditentukan.

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "Analyze findings in account with id 111122223333"
```

Pada perintah sebelumnya, ganti {{detector-id}} dengan ID detektor akun administrator Anda. ID akun 12 digit dalam prompt pemicu mengidentifikasi akun anggota untuk diselidiki.

------

## Melihat hasil investigasi
<a name="guardduty-investigation-get"></a>

Setelah Anda membuat investigasi, Anda dapat mengambil hasil termasuk ringkasan, detail investigasi, tingkat kepercayaan, dan rekomendasi. Investigasi dapat memiliki salah satu status berikut:
+ **RUNNING** — Investigasi masih berlangsung.
+ **SELESAI** — Investigasi selesai dengan sukses dan hasilnya tersedia.
+ **GAGAL** — Investigasi mengalami kesalahan. Periksa bidang kesalahan untuk detailnya.

Pilih metode akses pilihan Anda untuk melihat hasil investigasi.

*AI-generated analisis dan rekomendasi mungkin berisi kesalahan atau penilaian yang tidak lengkap. Ulasan manusia direkomendasikan.*

------
#### [ Console ]

1. Buka GuardDuty konsol dan arahkan ke **Investigasi** di navigasi kiri.

1. Di tabel investigasi, temukan investigasi lengkap yang ingin Anda tinjau.

1. Pilih tautan judul investigasi untuk membuka halaman detail.

**catatan**  
**Judul investigasi hanya dapat diklik ketika status Selesai.**

------
#### [ API/CLI ]

Jalankan operasi GetInvestigation API untuk mengambil detail lengkap dari investigasi yang telah selesai.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`

```
aws guardduty get-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --investigation-id {{a1b2c3d4-5678-90ab-cdef-ef1234567890}}
```

Contoh keluaran untuk penyelidikan yang lengkap:

```
{
    "Investigation": {
        "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
        "Status": "COMPLETED",
        "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
        "TriggeredBy": "123456789012",
        "RiskLevel": "Critical",
        "Risk": "Detection logic is valid but no live resources are compromised.",
        "Confidence": "High",
        "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}",
        "Cloud": {
            "Provider": "AWS",
            "Region": "us-east-1",
            "Account": "123456789012"
        },
        "Metadata": {
            "Product": {
                "Name": "Amazon GuardDuty AI Analyst",
                "Feature": "Investigation"
            },
            "Version": "1.0.0"
        },
        "StartTime": 1705319400.0,
        "EndTime": 1705319700.0
    }
}
```

`Summary`Bidang ini berisi string JSON dengan hasil investigasi lengkap, termasuk pengamatan kunci, penanggulangan dengan perintah CLI, dan penilaian ancaman MITRE ATT&CK®.

------

### Menafsirkan hasil investigasi
<a name="guardduty-investigation-interpret-results"></a>

Tabel berikut menjelaskan tingkat risiko yang dapat dikembalikan oleh investigasi:


**Tingkat risiko investigasi**  

| Tingkat risiko | Deskripsi | 
| --- | --- | 
| Info | Temuan informasi tanpa risiko langsung terhadap lingkungan. | 
| Rendah | Risiko kecil yang tidak mungkin memerlukan tindakan segera. | 
| Sedang | Risiko moderat yang harus Anda tinjau dan mungkin memerlukan remediasi. | 
| Tinggi | Risiko signifikan yang membutuhkan investigasi dan remediasi yang cepat. | 
| Kritis | Risiko berat yang membutuhkan tindakan segera untuk mencegah kompromi lebih lanjut. | 

Tabel berikut menjelaskan tingkat kepercayaan:


**Tingkat kepercayaan investigasi**  

| Tingkat kepercayaan diri | Deskripsi | 
| --- | --- | 
| Tidak Diketahui | Data yang tidak mencukupi untuk menentukan kepercayaan dalam penilaian. | 
| Rendah | Bukti terbatas mendukung penilaian. | 
| Sedang | Bukti moderat mendukung penilaian. | 
| Tinggi | Bukti kuat mendukung penilaian. | 

## Investigasi daftar
<a name="guardduty-investigation-list"></a>

Anda dapat membuat daftar semua investigasi untuk detektor, dengan penyortiran dan pagination opsional. Ini membantu Anda meninjau dan melacak status beberapa investigasi.

Pilih metode akses pilihan Anda untuk membuat daftar investigasi.

------
#### [ Console ]

1. Buka GuardDuty konsol dan arahkan ke **Investigasi** di navigasi kiri.

1. Tabel investigasi menampilkan semua investigasi untuk detektor saat ini dengan status, tingkat risiko, dan stempel waktu.

------
#### [ API/CLI ]

Jalankan operasi ListInvestigations API untuk membuat daftar ringkasan investigasi untuk detektor.

Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman **Pengaturan** di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)konsol, atau jalankan [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API. `detectorId`

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --max-results 10
```

Anda dapat mengurutkan hasil dengan menentukan `--sort-criteria` parameter. Contoh berikut mencantumkan investigasi yang diurutkan berdasarkan waktu mulai dalam urutan menurun:

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \
    --max-results 10
```

Atribut sortir yang tersedia adalah `START_TIME``END_TIME`,`STATUS`,`RISK_LEVEL`,, dan`CONFIDENCE`. Anda dapat mengurutkan dalam urutan `ASC` (naik) atau `DESC` (turun).

Contoh output:

```
{
    "Investigations": [
        {
            "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
            "Status": "COMPLETED",
            "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
            "RiskLevel": "Critical",
            "Confidence": "High",
            "StartTime": 1705319400.0,
            "EndTime": 1705319700.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in account with id 123456789012",
            "RiskLevel": "High",
            "Confidence": "High",
            "StartTime": 1705315800.0,
            "EndTime": 1705316100.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in my organization",
            "RiskLevel": "Medium",
            "Confidence": "Medium",
            "StartTime": 1705312200.0,
            "EndTime": 1705312500.0,
            "AccountId": "123456789012"
        }
    ]
}
```

Jika respons menyertakan `NextToken` nilai, berikan dalam permintaan berikutnya untuk mengambil halaman hasil berikutnya. Anda dapat mengambil hingga 50 hasil per halaman.

------