

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Investigação de Detective
<a name="investigations-about"></a>

Você pode usar o Amazon Detective Investigation para investigar usuários e funções do IAM usando indicadores de comprometimento, que podem ajudá-lo a determinar se um recurso está envolvido em um incidente de segurança. Um indicador de comprometimento (IOC, na sigla em inglês) refere-se a um artefato detectado em uma rede, em um sistema ou em um ambiente que possibilita, com elevado nível de confiança, a identificação de atividades maliciosas ou de um incidente de segurança. Com o Detective Investigations, você pode maximizar a eficiência, focar nas ameaças à segurança e fortalecer as capacidades de resposta a incidentes. 

O Detective Investigation usa modelos de aprendizado de máquina e inteligência de ameaças para analisar automaticamente os recursos em seu AWS ambiente e identificar possíveis incidentes de segurança. Elas permitem que você use de forma proativa, eficaz e eficiente a automação criada com base no gráfico comportamental do Detective para melhorar as operações de segurança. Usando o Detective Investigation, você pode investigar táticas de ataque, viagens impossíveis, endereços IP sinalizados e encontrar grupos. A investigação executa as etapas iniciais de investigação de segurança e gera um relatório que destaca os riscos identificados pelo Detective para ajudar você a entender os eventos de segurança e responder a possíveis incidentes.

**Topics**
+ [Executando uma investigação de Detective](run-investigations.md)
+ [Analisando relatórios de Investigações de Detectives](investigations-report.md)
+ [Entendendo um relatório de Investigações de Detectives](investigations-report-understand.md)
+ [Resumo do relatório da Detective Investigations](investigations-summary.md)
+ [Baixando um relatório de Investigações de Detectives](download-investigation.md)
+ [Arquivando um relatório de Investigações de Detectives](archive-investigation.md)

# Executando uma investigação de Detective
<a name="run-investigations"></a>

Use **Executar investigação** para analisar recursos, como usuários e perfis do IAM, e para gerar um relatório de investigação. O relatório gerado detalha o comportamento anômalo que indica um possível comprometimento.

------
#### [ Console ]

Siga estas etapas para executar uma investigação de detetive na **página Investigações** usando o console Amazon Detective.

1. Faça login no AWS Management Console. Em seguida, abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)

1. No painel de navegação, selecione **Investigações**. 

1. Na página **Investigações**, escolha **Executar investigação** no canto superior direito. 

1. Na seção **Selecionar recurso**, você tem três maneiras de realizar uma investigação. Você pode optar por realizar a investigação de um recurso recomendado pelo Detective. Você pode executar a investigação de um recurso específico. Você também pode investigar um recurso na página Pesquisar do Detective.

   1. `Choose a recommended resource`— Detective recomenda recursos com base em sua atividade em descobertas e grupos de localização. Para executar a investigação de um recurso recomendado pelo Detective, na tabela **Recursos recomendados**, selecione um recurso para investigar. 

      A tabela de Recursos recomendados fornece os seguintes detalhes: 
      + **ARN do recurso** — O nome do recurso da Amazon (ARN) do recurso. AWS 
      + **Motivo de investigação**: exibe os principais motivos para investigar o recurso. Os motivos pelos quais o Detective recomenda investigar um recurso são os seguintes: 
        + Se um recurso esteve envolvido em uma descoberta de alta gravidade nas últimas 24 horas. 
        + Se um recurso esteve envolvido em um grupo de descobertas observado nos últimos sete dias. Os grupos de descobertas do Detective permitem que você examine várias atividades relacionadas a um possível evento de segurança. Consulte mais detalhes em [Analisar grupos de descobertas](groups-about.md).
        + Se um recurso esteve envolvido em uma descoberta nos últimos sete dias.
      + **Última descoberta**: as descobertas mais recentes são priorizadas no topo da lista. 
      + **Tipo de recurso**: identifica o tipo de recurso. Por exemplo, um AWS usuário ou uma AWS função.

   1. `Specify an AWS role or user with an ARN`— Você pode selecionar uma AWS função ou AWS usuário e executar uma investigação para o recurso específico. 

      Siga estas etapas para investigar um tipo específico de recurso. 

      1. Na lista suspensa **Selecionar tipo de recurso**, escolha AWS função ou AWS usuário.

      1. Insira o **ARN do recurso** do IAM. Para obter mais detalhes sobre o recurso ARNs, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html) no Guia do usuário do IAM.

   1. `Find a resource to investigate from the Search page`— Você pode pesquisar todos os seus recursos do IAM na página Detective **Search**. 

      Siga estas etapas para investigar um recurso na página de pesquisa.

      1. No painel de navegação, selecione **Pesquisar**.

      1. Na página de pesquisa, pesquise um recurso do IAM. 

      1. Navegue até a página de perfil do recurso e execute a investigação a partir daí.

1. Na seção **Tempo do escopo da investigação**, escolha o **Tempo do escopo** da investigação para avaliar a atividade do recurso selecionado. Você pode selecionar uma **data de início** e **hora de início** e uma **data de término** e **hora de término** no formato UTC. A janela do tempo de escopo vai de no mínimo de 3 horas e no máximo de 30 dias.

1. Selecione **Executar investigação**. 

------
#### [ API ]

Para executar uma investigação programaticamente, use a [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html)operação da Detective API. Para executar uma investigação usando o AWS Command Line Interface (AWS CLI), execute o comando [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html).

Em sua solicitação, use os seguintes parâmetros para executar uma investigação no Detective: 
+ `GraphArn`: especifica o nome do recurso da Amazon (ARN) do gráfico de comportamento.
+ `EntityArn`: especifica o nome do recurso da Amazon (ARN) exclusivo do usuário do IAM e do perfil do IAM.
+ `ScopeStartTime`: opcionalmente, especifique os dados e a hora em que a investigação deve começar. O valor é uma string ISO8601 formatada em UTC. Por exemplo, ` 2021-08-18T16:35:56.284Z`.
+ `ScopeEndTime`: opcionalmente, especifique os dados e a hora em que a investigação deve terminar. O valor é uma string ISO8601 formatada em UTC. Por exemplo, ` 2021-08-18T16:35:56.284Z`.

Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z
```

------

Você também pode realizar uma investigação nas seguintes páginas no Detective:
+ Página de perfil de um usuário do IAM ou de um perfil do IAM no Detective.
+ Painel de visualização gráfica de um grupo de descobertas.
+ Coluna de ações de um recurso envolvido.
+ Usuário do IAM ou perfil do IAM em uma página de descobertas.

Depois que o Detective executa a investigação de um recurso, um relatório de investigação é gerado. Para acessar o relatório, acesse **Investigações** no painel de navegação. 

# Analisando relatórios de Investigações de Detectives
<a name="investigations-report"></a>

Os relatórios de investigações permitem que você analise os **relatórios** gerados de investigações realizadas anteriormente no Detective. 

Como analisar os relatórios de investigações

1. Faça login no AWS Management Console. Em seguida, abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)

1. No painel de navegação, selecione **Investigações**. 

Anote atributos a seguir de um relatório de investigação. 
+ **ID**: o identificador gerado do relatório de investigações. Selecione esse **ID** para ler um resumo do relatório da investigação que contém os detalhes da investigação.
+ **Status**: cada investigação é associada a um **status** com base no status de conclusão da investigação. Os valores de status podem ser **Em andamento**, **Com êxito** ou **Com falha**.
+ **Gravidade**: cada investigação recebe um nível de **gravidade**. O Detective atribui automaticamente uma gravidade à descoberta. 

  Uma gravidade representa a disposição analisada pela investigação de um único recurso em um determinado tempo de escopo. A gravidade relatada por uma investigação não implica nem indica o caráter crítico ou a importância que um recurso afetado pode ter para sua organização.

  Os valores de gravidade de descobertas da investigação podem ser **Crítico**, **Alto**, **Médio**, **Baixo** ou **Informativo**, do mais ao menos grave.

  As investigações com valor de gravidade Crítico ou Alto devem ser priorizadas para inspeção posterior, já que elas têm mais chances de representar problemas de segurança de alto impacto identificados pelo Detective. 
+ **Entidade**: a coluna **Entidade** contém detalhes sobre as entidades específicas detectadas na investigação. Algumas entidades são AWS contas, como usuário e função. 
+ **Status**: a coluna de data de **Criação** contém detalhes sobre a data e a hora em que o relatório de investigação foi criado pela primeira vez. 

# Entendendo um relatório de Investigações de Detectives
<a name="investigations-report-understand"></a>

Um relatório da Detective Investigations lista um resumo do comportamento incomum ou da atividade maliciosa que indica comprometimento. Ele também lista as recomendações sugeridas pelo Detective para reduzir o risco de segurança.

Como visualizar um relatório de investigação de um ID de investigação específico.

1. Faça login no AWS Management Console. Em seguida, abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)

1. No painel de navegação, selecione **Investigações**. 

1. Na tabela **Relatórios**, selecione um **ID** de investigação.

![\[Os relatórios de investigações permitem que você analise os relatórios gerados de investigações realizadas anteriormente no Detective.\]](http://docs.aws.amazon.com/pt_br/detective/latest/userguide/images/detective-investigations-report.png)


O Detective gera o relatório para o tempo de **Escopo** e o **Usuário** selecionados. O relatório contém uma seção de **Indicadores de comprometimento** que incluem detalhes sobre um ou mais dos indicadores de comprometimento listados abaixo. Ao analisar cada indicador de comprometimento, você pode selecionar um item para detalhar e revisar seus detalhes.
+ **Táticas, Técnicas e procedimentos** — Identifica táticas, técnicas e procedimentos (TTPs) usados em um possível evento de segurança. A estrutura MITRE ATT&CK é usada para entender o. TTPs As táticas são baseadas na matriz [MITRE ATT&CK Matrix for Enterprise](https://attack.mitre.org/matrices/enterprise/).
+ **Endereços IP sinalizados pela Inteligência de ameaças**: endereços IP suspeitos são sinalizados e identificados como ameaças críticas ou graves com base na inteligência de ameaças do Detective. 
+ **Atividade humanamente impossível**: detecta e identifica atividades incomuns e impossíveis de serem realizadas pelo usuário em uma conta. Por exemplo, esse indicador lista uma mudança drástica entre a origem e a localização de destino de um usuário em um curto espaço de tempo. 
+ **Grupo de descobertas relacionado**: mostra diversas atividades relacionadas a um possível evento de segurança. O Detective usa técnicas de análise de gráficos que infere relacionamentos entre descobertas e entidades e os agrupa como um grupo de descobertas.
+ **Descobertas relacionadas**: atividades relacionadas associadas a um possível evento de segurança. Lista todas as categorias distintas de evidências que estão conectadas ao recurso ou ao grupo de descobertas.
+ **Novas geolocalizações**: identifica novas geolocalizações usadas no nível do recurso ou da conta. Por exemplo, esse indicador lista uma geolocalização observada que é uma localização pouco frequente ou não utilizada com base na atividade anterior do usuário. 
+ **Novos agentes de usuário**: identifica novos agentes de usuário usados no nível do recurso ou da conta. 
+ **Novo ASOs** — Identifica novas Organizações do Sistema Autônomo (ASOs) usadas no nível do recurso ou da conta. Por exemplo, esse indicador lista uma nova organização atribuída como uma ASO. 

# Resumo do relatório da Detective Investigations
<a name="investigations-summary"></a>

O resumo de investigação destaca indicadores anômalos que exigem atenção, de acordo com o tempo de escopo selecionado. Com o resumo, você pode identificar mais rapidamente a causa raiz de possíveis problemas de segurança, identificar padrões e entender os recursos afetados pelos eventos de segurança. 

No resumo detalhado do relatório de investigação, você pode visualizar os detalhes a seguir.

**Visão geral das investigações**

No painel **Visão geral**, você pode ver uma visualização de atividade IPs com alta severidade, que pode fornecer mais contexto sobre o caminho de um invasor. 

O Detective destaca **Atividade incomum** na investigação, por exemplo, a impossibilidade de viagem de uma fonte para um destino distante pelo usuário do IAM. 

Detective mapeia as investigações de acordo com táticas, técnicas e procedimentos (TTPs) usados em um possível evento de segurança. A estrutura MITRE ATT&CK é usada para entender o. TTPs As táticas são baseadas na matriz [MITRE ATT&CK Matrix for Enterprise](https://attack.mitre.org/matrices/enterprise/).

**Indicadores de investigação**

Você pode usar as informações no painel **Indicadores** para determinar se um recurso da AWS está envolvido em atividades incomuns que podem indicar comportamento mal-intencionado e seu impacto. Um indicador de comprometimento (IOC) é um artefato observado de ou em uma rede, um sistema ou um ambiente que pode (com alto nível de confiança) identificar atividades mal-intencionadas ou incidentes de segurança.

# Baixando um relatório de Investigações de Detectives
<a name="download-investigation"></a>

Você pode baixar o relatório Detective Investigations no formato JSON para analisá-lo mais detalhadamente ou armazená-lo em sua solução de armazenamento preferida, como um bucket Amazon S3. 

**Como baixar um relatório de investigação da tabela Relatórios.**

1. Faça login no AWS Management Console. Em seguida, abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)

1. No painel de navegação, selecione **Investigações**. 

1. Selecione uma investigação na tabela **Relatórios** e selecione **Baixar**.

**Como baixar um relatório de investigação na página de resumo.**

1. Faça login no AWS Management Console. Em seguida, abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)

1. No painel de navegação, selecione **Investigações**. 

1. Selecione uma investigação na tabela **Relatórios**. 

1. Na página de resumo das investigações, selecione **Baixar**.

# Arquivando um relatório de Investigações de Detectives
<a name="archive-investigation"></a>

Ao concluir a investigação no Amazon Detective, você pode **arquivar** o relatório da investigação. Uma investigação arquivada indica que você concluiu a análise da investigação.

Apenas um Administrador do Detective pode arquivar ou desarquivar uma investigação. O Detective armazena as investigações arquivadas por 90 dias.

**Como arquivar um relatório de investigação da tabela Relatórios.**

1. Faça login no AWS Management Console. Em seguida, abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)

1. No painel de navegação, selecione **Investigações**. 

1. Selecione uma investigação na tabela **Relatórios** e selecione **Arquivar**.

**Como arquivar um relatório de investigação na página de resumo.**

1. Faça login no AWS Management Console. Em seguida, abra o console do Detective em. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)

1. No painel de navegação, selecione **Investigações**. 

1. Selecione uma investigação na tabela **Relatórios**. 

1. Na página de resumo das investigações, selecione **Arquivar**.