View a markdown version of this page

GuardDuty Investigação (prévia) - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty Investigação (prévia)

GuardDuty A investigação fornece uma análise de AI-powered segurança de suas GuardDuty descobertas e contas. Ao criar uma investigação, GuardDuty examina o contexto de busca, as atividades relacionadas dos últimos 90 dias, os recursos afetados, a inteligência de ameaças e os indicadores de ameaças usando gráficos de conhecimento. Cada investigação fornece uma avaliação da eliminação de ameaças com pontuação de confiança, classificação da técnica MITRE ATT&CK®, evidências de apoio e recomendações acionáveis.

Cada investigação produz os seguintes insights:

  • Nível de risco — Uma avaliação do risco geral: informativo, baixo, médio, alto ou crítico.

  • Confiança — O nível de confiança da avaliação: desconhecido, baixo, médio ou alto.

  • Resumo — Uma descrição dos resultados da investigação e das principais observações.

  • Detalhes da investigação — Informações adicionais e contexto relacionados à investigação.

  • Ações recomendadas — ações detalhadas, incluindo os comandos da CLI, que você pode realizar para resolver os problemas identificados.

nota

GuardDuty A investigação está disponível somente AWS nas seguintes 10 regiões comerciais: Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Canadá (Central), Europa (Frankfurt), Europa (Irlanda), Europa (Londres), Europa (Paris), Europa (Estocolmo) e Ásia-Pacífico (Tóquio).

Tipos de análise

GuardDuty A investigação apóia os três tipos de análise a seguir:

  • Análise da descoberta — analisa GuardDuty descobertas específicas, quando você especifica a ID da descoberta (hexadecimal de 32 caracteres). Para pré-visualização, o GuardDuty Investigation suporta todas as descobertas do Extended Threat Detection (XTD) e seleciona descobertas dos planos básico, S3 e Runtime.

  • Análise da conta — analisa a postura de ameaça de uma AWS conta quando você fornece o ID da conta de 12 dígitos AWS .

  • Análise organizacional — analisa a postura de ameaça da sua organização. Para pré-visualização, ele analisa até 100 contas.

Cross-Region inferência

GuardDuty A investigação utiliza o Serviço de Cross-Region Inferência (CRIS), que seleciona automaticamente o ideal Região da AWS em sua região para processar a análise da investigação e gerar o relatório da investigação. Isso maximiza os recursos computacionais disponíveis, a disponibilidade do modelo e oferece a melhor experiência ao cliente.

Seus dados permanecem armazenados somente na região de origem da solicitação de investigação. No entanto, os dados da investigação e os resultados resumidos podem ser processados fora dessa região. Todos os dados são transmitidos criptografados pela rede segura da Amazon.

GuardDuty A investigação direciona com segurança suas solicitações de inferência para os recursos computacionais disponíveis na área geográfica de origem da solicitação, conforme mostrado na tabela a seguir.

Cross-Region roteamento de inferência
Região geográfica do compatível GuardDuty Região Regiões de inferência
Estados Unidos Leste dos EUA (Norte da Virgínia) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Estados Unidos Leste dos EUA (Ohio) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Estados Unidos Oeste dos EUA (Oregon) Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Estados Unidos Canadá (Central) Canadá (Central), Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon)
Europa Europa (Frankfurt) Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris)
Europa Europa (Irlanda) Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris)
Europa Europa (Londres) Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Londres), Europa (Paris)
Europa Europa (Paris) Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris)
Europa Europa (Estocolmo) Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris)
Japão Ásia-Pacífico (Tóquio) Ásia-Pacífico (Tóquio), Ásia-Pacífico (Osaka)

Pré-requisitos

Antes de usar o GuardDuty Investigation, verifique se os seguintes pré-requisitos foram atendidos:

  • Você deve ter um GuardDuty detector ativo no Região da AWS local em que deseja criar investigações. Para obter mais informações sobre como habilitar GuardDuty, consulteComeçando com GuardDuty.

  • Você deve ativar o recurso GuardDuty Investigação em seu detector.

    Console
    1. Abra o GuardDuty console.

    2. No painel de navegação, selecione Configurações.

    3. Em Investigações baseadas em IA - Pré-visualização, escolha Ativar.

    API/CLI

    Chame a UpdateDetectorAPI e ative o AI_ANALYST recurso em seu detector.

    aws guardduty update-detector \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  • Sua identidade do IAM deve ter as permissões necessárias para realizar ações de investigação. As seguintes ações do IAM são necessárias:

    • guardduty:CreateInvestigation— Necessário para criar uma nova investigação.

    • guardduty:GetInvestigation— Necessário para recuperar os resultados da investigação.

    • guardduty:ListInvestigations— Necessário para listar as investigações de um detector.

O exemplo a seguir da política do IAM concede permissão para usar todas as ações de GuardDuty investigação:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }

Modelo de acesso para contas de administradores e membros

As seguintes regras de acesso se aplicam à GuardDuty Investigação, dependendo se você usa uma conta de administrador ou uma conta de membro:

  • Contas de administrador — podem criar, obter e listar investigações para si mesmas e para suas contas de membros.

  • Contas de membros — Só podem obter e listar investigações para sua própria conta. As contas dos membros não podem criar investigações e não podem acessar investigações pertencentes a outras contas ou à conta do administrador.

Criando uma investigação

Você pode criar uma investigação para analisar GuardDuty descobertas e contas em seu AWS ambiente. A investigação é executada de forma assíncrona em segundo plano. Depois de criar uma investigação, use a ID da investigação para verificar seu status e recuperar os resultados.

Importante

Durante a versão prévia, você pode iniciar até 10 investigações por conta por dia, com um limite total de 100 investigações por conta. Investigações fracassadas não contam para essas cotas. Se você estiver usando o API/CLI, o prompt do gatilho pode ter até 2.048 caracteres.

Escolha seu método de acesso preferido para criar uma investigação.

Console
  1. Abra o GuardDuty console e navegue até Investigações no painel de navegação à esquerda.

  2. Escolha Iniciar investigação.

  3. Selecione um escopo de investigação:

    • Uma descoberta específica — insira o ID da descoberta que você deseja analisar.

    • Minha conta (somente autônoma) — Nenhuma entrada adicional é necessária. GuardDuty analisará sua conta.

    • Uma conta específica (somente para administrador) — Insira o ID da AWS conta de 12 dígitos.

    • Todas as contas na organização (somente administrador) — Nenhuma entrada adicional é necessária.

  4. Escolha Iniciar investigação para iniciar a análise.

API/CLI

Execute a operação CreateInvestigation da API para iniciar uma nova investigação. Você deve fornecer o ID do detector e um prompt de acionamento que descreva o que investigar.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

No comando anterior, detector-id substitua o pelo seu próprio ID de detector e trigger-prompt por uma descrição do que você deseja investigar.

Opcionalmente, você pode incluir um --client-token parâmetro para idempotência. Se você repetir a solicitação com o mesmo token de cliente, GuardDuty retornará a investigação existente em vez de criar uma duplicata.

Resultado do exemplo:

{ "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890" }

Requisitos de gatilho imediato

O prompt do gatilho deve descrever o que investigar. GuardDuty determina o tipo de análise com base no conteúdo do seu prompt:

  • Análise de descoberta — inclua exatamente um ID de descoberta (sequência hexadecimal de 32 caracteres) no prompt. A descoberta deve existir e pertencer à conta do chamador ou à conta de um membro. Você não pode incluir vários IDs de busca em um único prompt.

  • Análise da conta — inclua exatamente um ID de AWS conta de 12 dígitos no prompt. O chamador deve ser o administrador dessa conta. Você não pode incluir vários IDs de conta em um único prompt.

  • Análise da organização — descreva uma preocupação de segurança em toda a organização em seu prompt. A investigação analisa sinais em toda a organização (até 100 contas).

GuardDuty usa IA para interpretar sua solicitação de formato livre e determinar o escopo de análise apropriado. Se você incluir uma ID de descoberta, ela executará a análise da descoberta. Se você incluir um ID de conta, ele executará a análise da conta. Se sua solicitação descrever uma preocupação de toda a organização, ela executará uma análise organizacional. Se a solicitação não corresponder a um tipo de análise específico, o padrão da investigação é analisar a própria conta do chamador.

Veja a seguir exemplos de solicitações de gatilho para cada tipo de análise:

  • Análise de resultados"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

  • Análise da conta"Analyze findings in account with id 123456789012"

  • Análise da organização"Analyze findings in my organization"

Criação de uma investigação para uma conta de membro

Se você for uma conta de administrador, poderá criar uma investigação para uma conta de membro incluindo o ID da conta do membro no prompt de acionamento. Use o ID do detector da conta do administrador no comando. Os resultados da investigação conterão descobertas da conta do membro especificada.

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Analyze findings in account with id 111122223333"

No comando anterior, substitua o pelo ID do detector-id detector da sua conta de administrador. O ID da conta de 12 dígitos no prompt de ativação identifica a conta do membro a ser investigada.

Visualizando os resultados da investigação

Depois de criar uma investigação, você pode recuperar os resultados, incluindo o resumo, os detalhes da investigação, o nível de confiança e a recomendação. Uma investigação pode ter um dos seguintes status:

  • EM EXECUÇÃO — A investigação ainda está em andamento.

  • CONCLUÍDA — A investigação foi concluída com sucesso e os resultados estão disponíveis.

  • FALHA — A investigação encontrou um erro. Verifique o campo de erro para obter detalhes.

Escolha seu método de acesso preferido para ver os resultados da investigação.

AI-generated análises e recomendações podem conter erros ou avaliações incompletas. A revisão humana é recomendada.

Console
  1. Abra o GuardDuty console e navegue até Investigações no painel de navegação à esquerda.

  2. Na tabela de investigações, encontre a investigação concluída que você deseja revisar.

  3. Escolha o link do título da investigação para abrir a página de detalhes.

nota

Os títulos de investigação só podem ser clicados quando o status é Concluído.

API/CLI

Execute a operação GetInvestigation da API para recuperar os detalhes completos de uma investigação concluída.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

aws guardduty get-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --investigation-id a1b2c3d4-5678-90ab-cdef-ef1234567890

Exemplo de saída para uma investigação concluída:

{ "Investigation": { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "TriggeredBy": "123456789012", "RiskLevel": "Critical", "Risk": "Detection logic is valid but no live resources are compromised.", "Confidence": "High", "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}", "Cloud": { "Provider": "AWS", "Region": "us-east-1", "Account": "123456789012" }, "Metadata": { "Product": { "Name": "Amazon GuardDuty AI Analyst", "Feature": "Investigation" }, "Version": "1.0.0" }, "StartTime": 1705319400.0, "EndTime": 1705319700.0 } }

O Summary campo contém uma string JSON com os resultados completos da investigação, incluindo as principais observações, contramedidas com comandos da CLI e uma avaliação de ameaças do MITRE ATT&CK®.

Interpretação dos resultados da investigação

A tabela a seguir descreve os níveis de risco que uma investigação pode retornar:

Níveis de risco de investigação
Nível de risco Description
Informações Achado informativo sem risco imediato ao meio ambiente.
Baixo Risco menor que provavelmente não exigirá ação imediata.
Médio Risco moderado que você deve analisar e pode precisar de remediação.
Alto Risco significativo que requer investigação e remediação imediatas.
Crítico Risco grave que requer ação imediata para evitar maiores comprometimentos.

A tabela a seguir descreve os níveis de confiança:

Níveis de confiança da investigação
Nível de confiança Description
Desconhecido Dados insuficientes para determinar a confiança na avaliação.
Baixo Evidências limitadas apoiam a avaliação.
Médio Evidências moderadas apóiam a avaliação.
Alto Evidências sólidas apoiam a avaliação.

Listando investigações

Você pode listar todas as investigações de um detector, com classificação e paginação opcionais. Isso ajuda você a analisar e rastrear o status de várias investigações.

Escolha seu método de acesso preferido para listar as investigações.

Console
  1. Abra o GuardDuty console e navegue até Investigações no painel de navegação à esquerda.

  2. A tabela de investigações exibe todas as investigações do detector atual com seu status, nível de risco e registros de data e hora.

API/CLI

Execute a operação ListInvestigations da API para listar os resumos das investigações de um detector.

Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --max-results 10

Você pode classificar os resultados especificando um --sort-criteria parâmetro. O exemplo a seguir lista as investigações classificadas por horário de início em ordem decrescente:

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \ --max-results 10

Os atributos de classificação disponíveis são START_TIME END_TIMESTATUS,RISK_LEVEL,, CONFIDENCE e. Você pode classificar em ordem ASC (crescente) ou DESC (decrescente).

Resultado do exemplo:

{ "Investigations": [ { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "RiskLevel": "Critical", "Confidence": "High", "StartTime": 1705319400.0, "EndTime": 1705319700.0, "AccountId": "123456789012" }, { "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in account with id 123456789012", "RiskLevel": "High", "Confidence": "High", "StartTime": 1705315800.0, "EndTime": 1705316100.0, "AccountId": "123456789012" }, { "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in my organization", "RiskLevel": "Medium", "Confidence": "Medium", "StartTime": 1705312200.0, "EndTime": 1705312500.0, "AccountId": "123456789012" } ] }

Se a resposta incluir um NextToken valor, passe-o em uma solicitação subseqüente para recuperar a próxima página de resultados. Você pode recuperar até 50 resultados por página.