

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# GuardDuty Investigação (prévia)
<a name="guardduty-investigation"></a>

GuardDuty A investigação fornece uma análise de AI-powered segurança de suas GuardDuty descobertas e contas. Ao criar uma investigação, GuardDuty examina o contexto de busca, as atividades relacionadas dos últimos 90 dias, os recursos afetados, a inteligência de ameaças e os indicadores de ameaças usando gráficos de conhecimento. Cada investigação fornece uma avaliação da eliminação de ameaças com pontuação de confiança, classificação da técnica MITRE ATT&CK®, evidências de apoio e recomendações acionáveis.

Cada investigação produz os seguintes insights:
+ **Nível de risco** — Uma avaliação do risco geral: informativo, baixo, médio, alto ou crítico.
+ **Confiança** — O nível de confiança da avaliação: desconhecido, baixo, médio ou alto.
+ **Resumo** — Uma descrição dos resultados da investigação e das principais observações.
+ **Detalhes da investigação** — Informações adicionais e contexto relacionados à investigação.
+ **Ações recomendadas** — ações detalhadas, incluindo os comandos da CLI, que você pode realizar para resolver os problemas identificados.

**nota**  
GuardDuty A investigação está disponível somente AWS nas seguintes 10 regiões comerciais: Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Canadá (Central), Europa (Frankfurt), Europa (Irlanda), Europa (Londres), Europa (Paris), Europa (Estocolmo) e Ásia-Pacífico (Tóquio).

## Tipos de análise
<a name="guardduty-investigation-analysis-types"></a>

GuardDuty A investigação apóia os três tipos de análise a seguir:
+ **Análise da descoberta** — analisa GuardDuty descobertas específicas, quando você especifica a ID da descoberta (hexadecimal de 32 caracteres). Para pré-visualização, o GuardDuty Investigation suporta todas as descobertas do Extended Threat Detection (XTD) e seleciona descobertas dos planos básico, S3 e Runtime.
+ **Análise da conta** — analisa a postura de ameaça de uma AWS conta quando você fornece o ID da conta de 12 dígitos AWS .
+ **Análise organizacional** — analisa a postura de ameaça da sua organização. Para pré-visualização, ele analisa até 100 contas.

## Cross-Region inferência
<a name="guardduty-investigation-cross-region-inference"></a>

GuardDuty A investigação utiliza o Serviço de Cross-Region Inferência (CRIS), que seleciona automaticamente o ideal Região da AWS em sua região para processar a análise da investigação e gerar o relatório da investigação. Isso maximiza os recursos computacionais disponíveis, a disponibilidade do modelo e oferece a melhor experiência ao cliente.

Seus dados permanecem armazenados somente na região de origem da solicitação de investigação. No entanto, os dados da investigação e os resultados resumidos podem ser processados fora dessa região. Todos os dados são transmitidos criptografados pela rede segura da Amazon.

GuardDuty A investigação direciona com segurança suas solicitações de inferência para os recursos computacionais disponíveis na área geográfica de origem da solicitação, conforme mostrado na tabela a seguir.


**Cross-Region roteamento de inferência**  

| Região geográfica do compatível | GuardDuty Região | Regiões de inferência | 
| --- | --- | --- | 
| Estados Unidos | Leste dos EUA (Norte da Virgínia) | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon) | 
| Estados Unidos | Leste dos EUA (Ohio) | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon) | 
| Estados Unidos | Oeste dos EUA (Oregon) | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon) | 
| Estados Unidos | Canadá (Central) | Canadá (Central), Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon) | 
| Europa | Europa (Frankfurt) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris) | 
| Europa | Europa (Irlanda) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris) | 
| Europa | Europa (Londres) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Londres), Europa (Paris) | 
| Europa | Europa (Paris) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris) | 
| Europa | Europa (Estocolmo) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milão), Europa (Espanha), Europa (Irlanda), Europa (Paris) | 
| Japão | Ásia-Pacífico (Tóquio) | Ásia-Pacífico (Tóquio), Ásia-Pacífico (Osaka) | 

## Pré-requisitos
<a name="guardduty-investigation-prerequisites"></a>

Antes de usar o GuardDuty Investigation, verifique se os seguintes pré-requisitos foram atendidos:
+ Você deve ter um GuardDuty detector ativo no Região da AWS local em que deseja criar investigações. Para obter mais informações sobre como habilitar GuardDuty, consulte[Começando com GuardDuty](guardduty_settingup.md).
+ Você deve ativar o recurso GuardDuty Investigação em seu detector.

------
#### [ Console ]

  1. Abra o GuardDuty console.

  1. No painel de navegação, selecione **Configurações**.

  1. Em **Investigações baseadas em IA - Pré-visualização**, escolha **Ativar**.

------
#### [ API/CLI ]

  Chame a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)API e ative o `AI_ANALYST` recurso em seu detector.

  ```
  aws guardduty update-detector \
      --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
      --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  ```

------
+ Sua identidade do IAM deve ter as permissões necessárias para realizar ações de investigação. As seguintes ações do IAM são necessárias:
  + `guardduty:CreateInvestigation`— Necessário para criar uma nova investigação.
  + `guardduty:GetInvestigation`— Necessário para recuperar os resultados da investigação.
  + `guardduty:ListInvestigations`— Necessário para listar as investigações de um detector.

O exemplo a seguir da política do IAM concede permissão para usar todas as ações de GuardDuty investigação:

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:CreateInvestigation",
                "guardduty:GetInvestigation",
                "guardduty:ListInvestigations"
            ],
            "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7"
        }
    ]
}
```

### Modelo de acesso para contas de administradores e membros
<a name="guardduty-investigation-access-model"></a>

As seguintes regras de acesso se aplicam à GuardDuty Investigação, dependendo se você usa uma conta de administrador ou uma conta de membro:
+ **Contas de administrador** — podem criar, obter e listar investigações para si mesmas e para suas contas de membros.
+ **Contas de membros** — Só podem obter e listar investigações para sua própria conta. As contas dos membros não podem criar investigações e não podem acessar investigações pertencentes a outras contas ou à conta do administrador.

## Criando uma investigação
<a name="guardduty-investigation-create"></a>

Você pode criar uma investigação para analisar GuardDuty descobertas e contas em seu AWS ambiente. A investigação é executada de forma assíncrona em segundo plano. Depois de criar uma investigação, use a ID da investigação para verificar seu status e recuperar os resultados.

**Importante**  
Durante a versão prévia, você pode iniciar até 10 investigações por conta por dia, com um limite total de 100 investigações por conta. Investigações fracassadas não contam para essas cotas. Se você estiver usando o API/CLI, o prompt do gatilho pode ter até 2.048 caracteres.

Escolha seu método de acesso preferido para criar uma investigação.

------
#### [ Console ]

1. Abra o GuardDuty console e navegue até **Investigações** no painel de navegação à esquerda.

1. Escolha **Iniciar investigação**.

1. Selecione um escopo de investigação:
   + **Uma descoberta específica** — insira o ID da descoberta que você deseja analisar.
   + **Minha conta** (somente autônoma) — Nenhuma entrada adicional é necessária. GuardDuty analisará sua conta.
   + **Uma conta específica** (somente para administrador) — Insira o ID da AWS conta de 12 dígitos.
   + **Todas as contas na organização** (somente administrador) — Nenhuma entrada adicional é necessária.

1. Escolha **Iniciar investigação** para iniciar a análise.

------
#### [ API/CLI ]

Execute a operação CreateInvestigation da API para iniciar uma nova investigação. Você deve fornecer o ID do detector e um prompt de acionamento que descreva o que investigar.

Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "{{Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012}}"
```

No comando anterior, {{detector-id}} substitua o pelo seu próprio ID de detector e {{trigger-prompt}} por uma descrição do que você deseja investigar.

Opcionalmente, você pode incluir um `--client-token` parâmetro para idempotência. Se você repetir a solicitação com o mesmo token de cliente, GuardDuty retornará a investigação existente em vez de criar uma duplicata.

Resultado do exemplo:

```
{
    "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890"
}
```

**Requisitos de gatilho imediato**

O prompt do gatilho deve descrever o que investigar. GuardDuty determina o tipo de análise com base no conteúdo do seu prompt:
+ **Análise de descoberta** — inclua exatamente um ID de descoberta (sequência hexadecimal de 32 caracteres) no prompt. A descoberta deve existir e pertencer à conta do chamador ou à conta de um membro. Você não pode incluir vários IDs de busca em um único prompt.
+ **Análise da conta** — inclua exatamente um ID de AWS conta de 12 dígitos no prompt. O chamador deve ser o administrador dessa conta. Você não pode incluir vários IDs de conta em um único prompt.
+ **Análise da organização** — descreva uma preocupação de segurança em toda a organização em seu prompt. A investigação analisa sinais em toda a organização (até 100 contas).

GuardDuty usa IA para interpretar sua solicitação de formato livre e determinar o escopo de análise apropriado. Se você incluir uma ID de descoberta, ela executará a análise da descoberta. Se você incluir um ID de conta, ele executará a análise da conta. Se sua solicitação descrever uma preocupação de toda a organização, ela executará uma análise organizacional. Se a solicitação não corresponder a um tipo de análise específico, o padrão da investigação é analisar a própria conta do chamador.

Veja a seguir exemplos de solicitações de gatilho para cada tipo de análise:
+ **Análise de resultados** — `"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"`
+ **Análise da conta** — `"Analyze findings in account with id 123456789012"`
+ **Análise da organização** — `"Analyze findings in my organization"`

**Criação de uma investigação para uma conta de membro**

Se você for uma conta de administrador, poderá criar uma investigação para uma conta de membro incluindo o ID da conta do membro no prompt de acionamento. Use o ID do detector da conta do administrador no comando. Os resultados da investigação conterão descobertas da conta do membro especificada.

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "Analyze findings in account with id 111122223333"
```

No comando anterior, substitua o pelo ID do {{detector-id}} detector da sua conta de administrador. O ID da conta de 12 dígitos no prompt de ativação identifica a conta do membro a ser investigada.

------

## Visualizando os resultados da investigação
<a name="guardduty-investigation-get"></a>

Depois de criar uma investigação, você pode recuperar os resultados, incluindo o resumo, os detalhes da investigação, o nível de confiança e a recomendação. Uma investigação pode ter um dos seguintes status:
+ **EM EXECUÇÃO** — A investigação ainda está em andamento.
+ **CONCLUÍDA** — A investigação foi concluída com sucesso e os resultados estão disponíveis.
+ **FALHA** — A investigação encontrou um erro. Verifique o campo de erro para obter detalhes.

Escolha seu método de acesso preferido para ver os resultados da investigação.

*AI-generated análises e recomendações podem conter erros ou avaliações incompletas. A revisão humana é recomendada.*

------
#### [ Console ]

1. Abra o GuardDuty console e navegue até **Investigações** no painel de navegação à esquerda.

1. Na tabela de investigações, encontre a investigação concluída que você deseja revisar.

1. Escolha o link do título da investigação para abrir a página de detalhes.

**nota**  
**Os títulos de investigação só podem ser clicados quando o status é Concluído.**

------
#### [ API/CLI ]

Execute a operação GetInvestigation da API para recuperar os detalhes completos de uma investigação concluída.

Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty get-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --investigation-id {{a1b2c3d4-5678-90ab-cdef-ef1234567890}}
```

Exemplo de saída para uma investigação concluída:

```
{
    "Investigation": {
        "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
        "Status": "COMPLETED",
        "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
        "TriggeredBy": "123456789012",
        "RiskLevel": "Critical",
        "Risk": "Detection logic is valid but no live resources are compromised.",
        "Confidence": "High",
        "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}",
        "Cloud": {
            "Provider": "AWS",
            "Region": "us-east-1",
            "Account": "123456789012"
        },
        "Metadata": {
            "Product": {
                "Name": "Amazon GuardDuty AI Analyst",
                "Feature": "Investigation"
            },
            "Version": "1.0.0"
        },
        "StartTime": 1705319400.0,
        "EndTime": 1705319700.0
    }
}
```

O `Summary` campo contém uma string JSON com os resultados completos da investigação, incluindo as principais observações, contramedidas com comandos da CLI e uma avaliação de ameaças do MITRE ATT&CK®.

------

### Interpretação dos resultados da investigação
<a name="guardduty-investigation-interpret-results"></a>

A tabela a seguir descreve os níveis de risco que uma investigação pode retornar:


**Níveis de risco de investigação**  

| Nível de risco | Description | 
| --- | --- | 
| Informações | Achado informativo sem risco imediato ao meio ambiente. | 
| Baixo | Risco menor que provavelmente não exigirá ação imediata. | 
| Médio | Risco moderado que você deve analisar e pode precisar de remediação. | 
| Alto | Risco significativo que requer investigação e remediação imediatas. | 
| Crítico | Risco grave que requer ação imediata para evitar maiores comprometimentos. | 

A tabela a seguir descreve os níveis de confiança:


**Níveis de confiança da investigação**  

| Nível de confiança | Description | 
| --- | --- | 
| Desconhecido | Dados insuficientes para determinar a confiança na avaliação. | 
| Baixo | Evidências limitadas apoiam a avaliação. | 
| Médio | Evidências moderadas apóiam a avaliação. | 
| Alto | Evidências sólidas apoiam a avaliação. | 

## Listando investigações
<a name="guardduty-investigation-list"></a>

Você pode listar todas as investigações de um detector, com classificação e paginação opcionais. Isso ajuda você a analisar e rastrear o status de várias investigações.

Escolha seu método de acesso preferido para listar as investigações.

------
#### [ Console ]

1. Abra o GuardDuty console e navegue até **Investigações** no painel de navegação à esquerda.

1. A tabela de investigações exibe todas as investigações do detector atual com seu status, nível de risco e registros de data e hora.

------
#### [ API/CLI ]

Execute a operação ListInvestigations da API para listar os resumos das investigações de um detector.

Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --max-results 10
```

Você pode classificar os resultados especificando um `--sort-criteria` parâmetro. O exemplo a seguir lista as investigações classificadas por horário de início em ordem decrescente:

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \
    --max-results 10
```

Os atributos de classificação disponíveis são `START_TIME` `END_TIME``STATUS`,`RISK_LEVEL`,, `CONFIDENCE` e. Você pode classificar em ordem `ASC` (crescente) ou `DESC` (decrescente).

Resultado do exemplo:

```
{
    "Investigations": [
        {
            "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
            "Status": "COMPLETED",
            "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
            "RiskLevel": "Critical",
            "Confidence": "High",
            "StartTime": 1705319400.0,
            "EndTime": 1705319700.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in account with id 123456789012",
            "RiskLevel": "High",
            "Confidence": "High",
            "StartTime": 1705315800.0,
            "EndTime": 1705316100.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in my organization",
            "RiskLevel": "Medium",
            "Confidence": "Medium",
            "StartTime": 1705312200.0,
            "EndTime": 1705312500.0,
            "AccountId": "123456789012"
        }
    ]
}
```

Se a resposta incluir um `NextToken` valor, passe-o em uma solicitação subseqüente para recuperar a próxima página de resultados. Você pode recuperar até 50 resultados por página.

------