As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
GuardDuty Investigação (prévia)
GuardDuty A investigação fornece uma análise de AI-powered segurança de suas GuardDuty descobertas e contas. Ao criar uma investigação, GuardDuty examina o contexto de busca, as atividades relacionadas dos últimos 90 dias, os recursos afetados, a inteligência de ameaças e os indicadores de ameaças usando gráficos de conhecimento. Cada investigação fornece uma avaliação da eliminação de ameaças com pontuação de confiança, classificação da técnica MITRE ATT&CK®, evidências de apoio e recomendações acionáveis.
Cada investigação produz os seguintes insights:
-
Nível de risco — Uma avaliação do risco geral: informativo, baixo, médio, alto ou crítico.
-
Confiança — O nível de confiança da avaliação: desconhecido, baixo, médio ou alto.
-
Resumo — Uma descrição dos resultados da investigação e das principais observações.
-
Detalhes da investigação — Informações adicionais e contexto relacionados à investigação.
-
Ações recomendadas — ações detalhadas, incluindo os comandos da CLI, que você pode realizar para resolver os problemas identificados.
nota
GuardDuty A investigação está disponível somente AWS nas seguintes 10 regiões comerciais: Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Canadá (Central), Europa (Frankfurt), Europa (Irlanda), Europa (Londres), Europa (Paris), Europa (Estocolmo) e Ásia-Pacífico (Tóquio).
Tipos de análise
GuardDuty A investigação apóia os três tipos de análise a seguir:
-
Análise da descoberta — analisa GuardDuty descobertas específicas, quando você especifica a ID da descoberta (hexadecimal de 32 caracteres). Para pré-visualização, o GuardDuty Investigation suporta todas as descobertas do Extended Threat Detection (XTD) e seleciona descobertas dos planos básico, S3 e Runtime.
-
Análise da conta — analisa a postura de ameaça de uma AWS conta quando você fornece o ID da conta de 12 dígitos AWS .
-
Análise organizacional — analisa a postura de ameaça da sua organização. Para pré-visualização, ele analisa até 100 contas.
Cross-Region inferência
GuardDuty A investigação utiliza o Serviço de Cross-Region Inferência (CRIS), que seleciona automaticamente o ideal Região da AWS em sua região para processar a análise da investigação e gerar o relatório da investigação. Isso maximiza os recursos computacionais disponíveis, a disponibilidade do modelo e oferece a melhor experiência ao cliente.
Seus dados permanecem armazenados somente na região de origem da solicitação de investigação. No entanto, os dados da investigação e os resultados resumidos podem ser processados fora dessa região. Todos os dados são transmitidos criptografados pela rede segura da Amazon.
GuardDuty A investigação direciona com segurança suas solicitações de inferência para os recursos computacionais disponíveis na área geográfica de origem da solicitação, conforme mostrado na tabela a seguir.
| Região geográfica do compatível | GuardDuty Região | Regiões de inferência |
|---|---|---|
| Estados Unidos | Leste dos EUA (Norte da Virgínia) | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon) |
| Estados Unidos | Leste dos EUA (Ohio) | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon) |
| Estados Unidos | Oeste dos EUA (Oregon) | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon) |
| Estados Unidos | Canadá (Central) | Canadá (Central), Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon) |
| Europa | Europa (Frankfurt) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris) |
| Europa | Europa (Irlanda) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris) |
| Europa | Europa (Londres) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Londres), Europa (Paris) |
| Europa | Europa (Paris) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris) |
| Europa | Europa (Estocolmo) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris) |
| Japão | Ásia-Pacífico (Tóquio) | Ásia-Pacífico (Tóquio), Ásia-Pacífico (Osaka) |
Pré-requisitos
Antes de usar o GuardDuty Investigation, verifique se os seguintes pré-requisitos foram atendidos:
-
Você deve ter um GuardDuty detector ativo no Região da AWS local em que deseja criar investigações. Para obter mais informações sobre como habilitar GuardDuty, consulteComeçando com GuardDuty.
-
Você deve ativar o recurso GuardDuty Investigação em seu detector.
-
Sua identidade do IAM deve ter as permissões necessárias para realizar ações de investigação. As seguintes ações do IAM são necessárias:
-
guardduty:CreateInvestigation— Necessário para criar uma nova investigação. -
guardduty:GetInvestigation— Necessário para recuperar os resultados da investigação. -
guardduty:ListInvestigations— Necessário para listar as investigações de um detector.
-
O exemplo a seguir da política do IAM concede permissão para usar todas as ações de GuardDuty investigação:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }
Modelo de acesso para contas de administradores e membros
As seguintes regras de acesso se aplicam à GuardDuty Investigação, dependendo se você usa uma conta de administrador ou uma conta de membro:
-
Contas de administrador — podem criar, obter e listar investigações para si mesmas e para suas contas de membros.
-
Contas de membros — Só podem obter e listar investigações para sua própria conta. As contas dos membros não podem criar investigações e não podem acessar investigações pertencentes a outras contas ou à conta do administrador.
Criando uma investigação
Você pode criar uma investigação para analisar GuardDuty descobertas e contas em seu AWS ambiente. A investigação é executada de forma assíncrona em segundo plano. Depois de criar uma investigação, use a ID da investigação para verificar seu status e recuperar os resultados.
Importante
Durante a versão prévia, você pode iniciar até 10 investigações por conta por dia, com um limite total de 100 investigações por conta. Investigações fracassadas não contam para essas cotas. Se você estiver usando o API/CLI, o prompt do gatilho pode ter até 2.048 caracteres.
Escolha seu método de acesso preferido para criar uma investigação.
Visualizando os resultados da investigação
Depois de criar uma investigação, você pode recuperar os resultados, incluindo o resumo, os detalhes da investigação, o nível de confiança e a recomendação. Uma investigação pode ter um dos seguintes status:
-
EM EXECUÇÃO — A investigação ainda está em andamento.
-
CONCLUÍDA — A investigação foi concluída com sucesso e os resultados estão disponíveis.
-
FALHA — A investigação encontrou um erro. Verifique o campo de erro para obter detalhes.
Escolha seu método de acesso preferido para ver os resultados da investigação.
AI-generated análises e recomendações podem conter erros ou avaliações incompletas. A revisão humana é recomendada.
Interpretação dos resultados da investigação
A tabela a seguir descreve os níveis de risco que uma investigação pode retornar:
| Nível de risco | Description |
|---|---|
| Informações | Achado informativo sem risco imediato ao meio ambiente. |
| Baixo | Risco menor que provavelmente não exigirá ação imediata. |
| Médio | Risco moderado que você deve analisar e pode precisar de remediação. |
| Alto | Risco significativo que requer investigação e remediação imediatas. |
| Crítico | Risco grave que requer ação imediata para evitar maiores comprometimentos. |
A tabela a seguir descreve os níveis de confiança:
| Nível de confiança | Description |
|---|---|
| Desconhecido | Dados insuficientes para determinar a confiança na avaliação. |
| Baixo | Evidências limitadas apoiam a avaliação. |
| Médio | Evidências moderadas apóiam a avaliação. |
| Alto | Evidências sólidas apoiam a avaliação. |
Listando investigações
Você pode listar todas as investigações de um detector, com classificação e paginação opcionais. Isso ajuda você a analisar e rastrear o status de várias investigações.
Escolha seu método de acesso preferido para listar as investigações.