

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Indagine Detective
<a name="investigations-about"></a>

Puoi utilizzare Amazon Detective Investigation per indagare sugli utenti e sui ruoli IAM utilizzando indicatori di compromissione, che possono aiutarti a determinare se una risorsa è coinvolta in un incidente di sicurezza. Un indicatore di compromissione (IOC) è un artefatto osservato all'interno o su una rete, un sistema o un ambiente in grado di identificare (con un elevato livello di sicurezza) attività dannose o incidenti di sicurezza. Con Detective Investigations puoi massimizzare l'efficienza, concentrarti sulle minacce alla sicurezza e rafforzare le capacità di risposta all'incidenza. 

Detective Investigation utilizza modelli di apprendimento automatico e intelligence sulle minacce per analizzare automaticamente le risorse nell' AWS ambiente e identificare potenziali incidenti di sicurezza. Consente di utilizzare in modo proattivo, efficace ed efficiente l'automazione basata sul grafico di comportamento di Detective per migliorare le operazioni di sicurezza. Usando Detective Investigation puoi indagare sulle tattiche di attacco, sui viaggi impossibili, sugli indirizzi IP contrassegnati e sulla ricerca di gruppi. Esegue le fasi iniziali di indagine sulla sicurezza e genera un report che evidenzia i rischi identificati da Detective, per aiutarti a comprendere gli eventi di sicurezza e rispondere a potenziali incidenti.

**Topics**
+ [Esecuzione di un'indagine investigativa](run-investigations.md)
+ [Revisione dei rapporti delle Indagini Detective](investigations-report.md)
+ [Comprensione di un rapporto di Investigazioni Detective](investigations-report-understand.md)
+ [Riepilogo del rapporto Detective Investigations](investigations-summary.md)
+ [Scaricamento di un rapporto sulle Indagini Detective](download-investigation.md)
+ [Archiviazione di un rapporto di Investigazioni Detective](archive-investigation.md)

# Esecuzione di un'indagine investigativa
<a name="run-investigations"></a>

Utilizza **Esegui un'indagine** per analizzare risorse quali gli utenti IAM e i ruoli IAM e per generare un report di indagini. Il rapporto generato descrive in dettaglio il comportamento anomalo che indica un potenziale compromesso.

------
#### [ Console ]

Segui questi passaggi per eseguire un'indagine investigativa dalla **pagina Investigazioni** utilizzando la console Amazon Detective.

1. Accedi alla console di AWS gestione. Quindi apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Nel riquadro di navigazione scegli **Indagini** 

1. Nella pagina **Investigazioni**, scegli **Esegui indagine** nell'angolo in alto a destra. 

1. Nella sezione **Seleziona risorsa**, hai tre modi per condurre un'indagine. Puoi scegliere di condurre l'indagine su una risorsa consigliata dal Detective. Puoi eseguire l'indagine per una risorsa specifica. Puoi anche esaminare una risorsa dalla pagina Ricerca di Detective.

   1. `Choose a recommended resource`— Detective consiglia le risorse in base alla sua attività nei risultati e nei gruppi di ricerca. Per eseguire l'indagine su una risorsa consigliata dal Detective, nella tabella **Risorse consigliate**, selezionare una risorsa da esaminare. 

      La tabella Risorse consigliate fornisce i seguenti dettagli: 
      + **ARN della risorsa**: l'Amazon Resource Name (ARN) della risorsa. AWS 
      + **Motivo dell'indagine**: visualizza i motivi principali per esaminare la risorsa. I motivi per cui Detective suggerisce di esaminare una risorsa sono i seguenti: 
        + Se una risorsa è stata coinvolta in un esito di elevata gravità nelle ultime 24 ore. 
        + Se una risorsa è stata coinvolta in un gruppo di risultati osservati negli ultimi sette giorni. I gruppi di risultati di Detective ti consentono di esaminare più attività in relazione a un potenziale evento di sicurezza. Per ulteriori dettagli, consultare [Analisi dei gruppi di risultati](groups-about.md).
        + Se una risorsa è stata coinvolta in un esito negli ultimi sette giorni.
      + **Risultati più recenti**: i risultati più recenti hanno la priorità all'inizio dell'elenco. 
      + **Tipo di risorsa**: identifica il tipo di risorsa. Ad esempio, un AWS utente o AWS un ruolo.

   1. `Specify an AWS role or user with an ARN`— È possibile selezionare un AWS ruolo o un AWS utente ed eseguire un'indagine per la risorsa specifica. 

      Segui questi passaggi per esaminare un tipo di risorsa specifico. 

      1. Dall'elenco a discesa **Seleziona il tipo di risorsa**, scegli AWS ruolo o AWS utente.

      1. Inserisci l'**ARN della risorsa** IAM. Per maggiori dettagli su Resource ARNs, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html) nella IAM User Guide.

   1. `Find a resource to investigate from the Search page`— Puoi cercare tutte le tue risorse IAM dalla pagina Detective **Search**. 

      Segui questi passaggi per esaminare una risorsa dalla pagina di ricerca.

      1. Nel riquadro di navigazione selezionare **Search (Cerca)**.

      1. Nella pagina di ricerca, cerca una risorsa IAM. 

      1. Vai alla pagina del profilo della risorsa ed esegui l'indagine da lì.

1. Nella sezione **Ambito temporale dell'indagine**, scegli l'**intervallo temporale** dell'indagine per valutare l'attività della risorsa selezionata. Puoi selezionare una **Data di inizio** e un'**Ora di inizio**, nonché una **Data di fine** e un'**Ora di fine**. Il periodo di validità selezionato può essere compreso tra un minimo di 3 ore e un massimo di 30 giorni.

1. Scegli **Esegui indagine**. 

------
#### [ API ]

Per eseguire un'indagine a livello di codice, utilizza il [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html)funzionamento dell'API Detective. Per eseguire un'indagine utilizzando AWS Command Line Interface (AWS CLI), esegui il comando [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html).

Nella richiesta, utilizza questi parametri per eseguire un'indagine in Detective: 
+ `GraphArn`: specifica il nome della risorsa Amazon (ARN) del grafico di comportamento.
+ `EntityArn`: specifica il nome della risorsa Amazon (ARN) univoco dell'utente IAM e del ruolo IAM.
+ `ScopeStartTime`: facoltativamente, specifica la data e l'ora a partire dalle quali deve iniziare l'indagine. Il valore è una stringa in formato UTC ISO8601 . Ad esempio,. ` 2021-08-18T16:35:56.284Z`
+ `ScopeEndTime`: facoltativamente, specifica la data e l'ora in cui deve terminare l'indagine. Il valore è una stringa in ISO8601 formato UTC. Ad esempio,. ` 2021-08-18T16:35:56.284Z`

Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z
```

------

Puoi anche eseguire un'indagine dalle seguenti pagine di Detective:
+ Una pagina del profilo di un utente IAM o di un ruolo IAM in Detective.
+ Il pannello di visualizzazione grafica di un gruppo di ricerca.
+ La colonna Operazioni di una risorsa coinvolta.
+ Un utente IAm o un ruolo IAM in una pagina dei risultati.

Dopo che Detective ha eseguito l'indagine su una risorsa, viene generato un report di indagini. Per accedere al rapporto, vai a **Indagini** dal riquadro di navigazione. 

# Revisione dei rapporti delle Indagini Detective
<a name="investigations-report"></a>

I report di indagini ti consentono di esaminare i **report** generati per le indagini che hai eseguito in precedenza in Detective. 

Esaminare i report di indagini

1. Accedi alla console di AWS gestione. Quindi apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Nel riquadro di navigazione scegli **Indagini** 

Prendi nota dei seguenti attributi tratti da un report di indagini. 
+ **ID**: l'identificatore generato del report sulle indagini. Puoi scegliere questo **ID** per leggere un riepilogo del report di indagine, che contiene i dettagli dell'indagine.
+ **Stato**: a ogni indagine è associato uno **stato** basato sullo stato di completamento dell'indagine. I valori dello stato possono essere **In corso**, **Completata** o **Non riuscita**.
+ **Gravità**: a ogni indagine viene assegnata una **gravità**. Detective assegna automaticamente una gravità al risultato. 

  Una gravità rappresenta la disposizione analizzata dall'indagine su una singola risorsa in un determinato periodo di validità. Una gravità segnalata da un'indagine non implica né indica in altro modo la criticità o l'importanza che una risorsa interessata potrebbe avere per l'organizzazione.

  I valori di gravità delle indagini possono essere **Critico**, **Alto**, **Medio**, **Basso** o **Informativo**, dal più grave al meno grave.

  Le indagini a cui viene assegnato un valore di gravità Critico o Alto devono avere la priorità per ulteriori ispezioni, poiché è più probabile che rappresentino problemi di sicurezza ad alto impatto identificati da Detective. 
+ **Entità**: la colonna **Entità** contiene dettagli sulle entità specifiche rilevate nell'indagine. Alcune entità sono AWS account, come utente e ruolo. 
+ **Stato**: la colonna **Data di creazione** contiene dettagli sulla data e l'ora in cui il report di indagine è stato creato per la prima volta. 

# Comprensione di un rapporto di Investigazioni Detective
<a name="investigations-report-understand"></a>

Un rapporto di Investigazioni Detective elenca un riepilogo dei comportamenti non comuni o delle attività dannose che indicano una compromissione. Elenca inoltre le raccomandazioni suggerite da Detective per mitigare il rischio per la sicurezza.

Visualizzare un report di indagini relativo a un ID di indagine specifico.

1. Accedi alla console di AWS gestione. Quindi apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Nel riquadro di navigazione scegli **Indagini** 

1. Nella tabella **Report**, seleziona un **ID** dell'indagine.

![\[I report di indagini ti consentono di esaminare i report generati per le indagini che hai eseguito in precedenza in Detective.\]](http://docs.aws.amazon.com/it_it/detective/latest/userguide/images/detective-investigations-report.png)


Detective genera il report per il **periodo di validità** e l'**utente** selezionati. Il report contiene una sezione **Indicatori di compromesso** che include dettagli su uno o più degli indicatori di compromesso elencati di seguito. Quando esamini ogni indicatore di compromesso, facoltativamente scegli un elemento di cui approfondire ed esaminarne i dettagli.
+ **Tattiche. Tecniche e procedure**: identifica tattiche, tecniche e procedure (TTPs) utilizzate in un potenziale evento di sicurezza. Il framework MITRE ATT&CK viene utilizzato per comprendere il. TTPs Le tattiche si basano sulla [matrice MITRE ATT&CK per Enterprise](https://attack.mitre.org/matrices/enterprise/).
+ **Indirizzi IP segnalati da intelligence delle minacce**: gli indirizzi IP sospetti vengono contrassegnati e identificati come minacce critiche o gravi sulla base dell'intelligence delle minacce di Detective. 
+ **Impossible Travel**: rileva e identifica attività utente insolite e impossibili per un account. Ad esempio, questo indicatore riporta un cambiamento drastico tra la posizione di origine e quella di destinazione di un utente in un breve lasso di tempo. 
+ **Gruppo di risultati correlato**: mostra più attività correlate a un potenziale evento di sicurezza. Detective utilizza tecniche di analisi dei grafici che deducono le relazioni tra risultati ed entità e li raggruppa in un gruppo di risultati.
+ **Risultati correlati**: le attività correlate associate a un potenziale evento di sicurezza. Elenca tutte le categorie distinte di prove collegate alla risorsa o al gruppo di risultati.
+ **Nuove geolocalizzazioni**: identifica le nuove geolocalizzazioni utilizzate a livello di risorsa o di account. Ad esempio, questo indicatore elenca una geolocalizzazione osservata che è una posizione poco frequente o inutilizzata in base all'attività precedente dell'utente. 
+ **Nuovi agenti utente**: identifica i nuovi agenti utente utilizzati a livello di risorsa o di account. 
+ **Nuovo ASOs**: identifica le nuove Organizzazioni di sistema autonome (ASOs) utilizzate a livello di risorsa o di account. Ad esempio, questo indicatore elenca una nuova organizzazione assegnata come ASO. 

# Riepilogo del rapporto Detective Investigations
<a name="investigations-summary"></a>

Il riepilogo delle indagini evidenzia gli indicatori anomali che richiedono attenzione, per il periodo di tempo selezionato. Utilizzando il riepilogo, è possibile identificare più rapidamente la causa principale dei potenziali problemi di sicurezza, identificare i modelli e comprendere le risorse interessate dagli eventi di sicurezza. 

Nel riepilogo dettagliato del report di indagini puoi visualizzare i dettagli seguenti.

**Panoramica delle indagini**

Nel pannello **Panoramica**, puoi vedere una visualizzazione delle attività IPs con elevata gravità, che può fornire maggiori informazioni sul percorso di un aggressore. 

Detective evidenzia **Attività insolita** nell'indagine, ad esempio l'impossibilità di viaggiare da una origine a una destinazione lontana da parte dell'utente IAM. 

Detective mappa le indagini in base a tattiche, tecniche e procedure (TTPs) utilizzate in un potenziale evento di sicurezza. Il framework MITRE ATT&CK viene utilizzato per comprendere il. TTPs Le tattiche si basano sulla [matrice MITRE ATT&CK per Enterprise](https://attack.mitre.org/matrices/enterprise/).

**Indicatori delle indagini**

È possibile utilizzare le informazioni nel riquadro **Indicatori** per determinare se una risorsa AWS è coinvolta in attività insolite che potrebbero indicare un comportamento dannoso e il relativo impatto. Un indicatore di compromissione (IOC) è un artefatto osservato all'interno o su una rete, un sistema o un ambiente in grado di identificare (con un elevato livello di sicurezza) attività dannose o incidenti di sicurezza.

# Scaricamento di un rapporto sulle Indagini Detective
<a name="download-investigation"></a>

Puoi scaricare il rapporto Detective Investigations in formato JSON, per analizzarlo ulteriormente o archiviarlo nella tua soluzione di archiviazione preferita, ad esempio un bucket Amazon S3. 

**Download di un report di indagini dalla tabella Report.**

1. Accedi alla console di gestione. AWS Quindi apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Nel riquadro di navigazione scegli **Indagini** 

1. Seleziona un'indagine dalla tabella **Report**, quindi scegli **Scarica**.

**Download di un report di indagini dalla pagina di riepilogo.**

1. Accedi alla console AWS di gestione. Quindi apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Nel riquadro di navigazione scegli **Indagini** 

1. Seleziona un'indagine dalla tabella **Report**. 

1. Nella pagina di riepilogo delle indagini, scegli **Scarica**.

# Archiviazione di un rapporto di Investigazioni Detective
<a name="archive-investigation"></a>

Una volta completata l'indagine in Amazon Detective, puoi **archiviare** il report di indagini. Un'indagine archiviata indica che hai completato la revisione dell'indagine.

Puoi archiviare o annullare l'archiviazione di un'indagine solo se sei un amministratore di Detective. Detective conserverà le indagini archiviate per 90 giorni.

**Per archiviare un rapporto di indagine dalla tabella Report.**

1. Accedi alla console di AWS gestione. Quindi apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Nel riquadro di navigazione scegli **Indagini** 

1. Seleziona un'indagine dalla tabella **Rapporti**, quindi scegli **Archivia**.

**Archiviare un report di indagine dalla pagina di riepilogo.**

1. Accedi alla console AWS di gestione. Quindi apri la console Detective all'indirizzo [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/).

1. Nel riquadro di navigazione scegli **Indagini** 

1. Seleziona un'indagine dalla tabella **Report**. 

1. Nella pagina di riepilogo delle indagini, scegli **Archivia**.