本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何使用 Detective 进行调查
Amazon Detective 可轻松分析、调查和快速识别安全调查发现或可疑活动的根本原因。Detective 提供了支持整个调查过程的工具。Detective 中的调查可以从调查发现、调查发现群组或实体开始。
## Detective 的调查阶段
任何 Detective 调查过程都涉及以下阶段:
****分类****
收到有关恶意或高风险活动的可疑实例时,调查过程就开始了。例如,您被指派调查亚马逊 GuardDuty 和Amazon Inspector等服务发现的结果或警报。
在分类阶段,要确定您认为该活动是真阳性(真正的恶意活动)还是假阳性(非恶意或高风险活动)。通过深入了解相关实体的活动,Detective 配置文件可为分类流程提供支持。
对于真阳性的实例,您可以继续进入下一阶段。
****范围界定****
在范围界定阶段,分析人员要确定恶意或高风险活动的范围以及根本原因。
范围界定可以回答以下类型的问题:
+ 哪些系统和用户受到了威胁?
+ 攻击的源头在哪里?
+ 攻击持续了多长时间?
+ 还有其他相关活动需要发现吗? 例如,如果攻击者正在从系统中提取数据,他们是如何获得这些数据的?
Detective 可视化有助于确定涉及或受影响的其他实体。
**响应**
最后一步是对攻击做出响应,以阻止攻击,将损失降到最低,并防止类似攻击再次发生。
## Detective 调查的起点
Detective 中的每一项调查都有一个基本的出发点。例如,您可能会被分配一个要调查的 Amazon GuardDuty 或 AWS Security Hub CSPM 调查结果。或者,您可能担心某个 IP 地址会出现异常活动。
调查的典型起点包括检测到的调查结果 GuardDuty 和从 Detective 源数据中提取的实体。
### 检测到的结果 GuardDuty
GuardDuty 使用您的日志数据来发现可疑的恶意或高风险活动实例。Detective 提供的资源有助于您调查这些调查发现。
对于每项调查发现,Detective 都会提供关联的调查发现详细信息。Detective 还显示了与调查结果相关的实体,例如 IP 地址和 AWS 账户。
然后,您就可以浏览相关实体的活动,以确定从调查发现中检测到的活动是否真正令人担忧。
有关更多信息,请参阅 [在 Detective 中分析发现概述](finding-overview.md)。
### AWS 由 Security Hub CSPM 汇总的安全调查结果
AWS Security Hub CSPM 将来自不同调查结果提供者的安全调查结果汇总到一个地方,并为您提供中 AWS安全状态的全面视图。Security Hub CSPM 消除了处理来自多个提供商的大量发现的复杂性。它可以减少管理和提高所有 AWS 账户、资源和工作负载安全所需的精力。Detective 提供的资源有助于您调查这些调查发现。
对于每项调查发现,Detective 都会提供关联的调查发现详细信息。Detective 还显示了与调查结果相关的实体,例如 IP 地址和 AWS 账户。
有关更多信息,请参阅 [在 Detective 中分析发现概述](finding-overview.md)。
### 从 Detective 源数据中提取的实体
Detective 从摄取的 Detective 源数据中提取 IP 地址和 AWS 用户等实体。您可以使用其中一个作为调查出发点。
Detective 提供有关该实体的一般详细信息,例如 IP 地址或用户名。它还提供了有关活动历史记录的详细信息。例如,Detective 可以报告某个实体已连接、被连接或使用的其他 IP 地址。
有关更多信息,请参阅 [分析 Amazon Detective 中的实体](entity-profiles.md)。
## Detective 调查流程
您可以使用 Amazon Detective 来调查 EC2 实例或 AWS 用户等实体。您也可以调查安全调查发现。
简而言之,下图显示了 Detective 调查的过程。
![\[该图显示了 Detective 的调查过程。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/diagram_investigation_flow_entity.png)
**第 1 步:选择要调查的实体**
在查看调查结果时 GuardDuty,分析师可以选择在 Detective 中调查关联实体。请参阅[转到实体资料或从 Amazon GuardDuty 查找概述或 AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service)。
选择实体后,您将进入 Detective 中的实体配置文件。
**第 2 步:分析配置文件的可视化内容**
每个实体配置文件都包含一组从行为图生成的可视化内容。行为图是根据输入到 Detective 的日志文件和其他数据创建的。
可视化内容显示与实体相关的活动。您可以使用这些可视化内容回答问题,以确定实体活动是否异常。请参阅[分析 Amazon Detective 中的实体](entity-profiles.md)。
为了帮助指导调查,您可以使用为每种可视化内容提供的 Detective 指南。该指南概述了所显示的信息,提出了供询问的问题,并根据答案提出了后续步骤。请参阅[在调查期间使用配置文件面板指南](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance)。
每个配置文件都包含关联调查发现的列表。您可以查看调查发现的详细信息,也可以查看调查发现概述。请参阅[在 Detective 中查看相关发现的详细信息](entity-finding-list.md)。
您可以从实体配置文件转到其他实体和调查发现配置文件,进一步调查相关资产的活动。
**第 3 步:采取措施**
根据调查结果,采取适当措施。
对于假阳性调查发现,您可以将其存档。在 Detective 中,你可以存档 GuardDuty 调查结果。如需了解更多详情,请参阅[存档 Amazon GuardDuty 调查结果](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html)。
否则,您需要采取适当措施来解决漏洞问题并减轻损失。例如,您可能需要更新某个资源的配置。
# Detective 调查
您可以使用 Amazon Detective Investivation 使用泄露指标来调查 IAM 用户和 IAM 角色,这可以帮助您确定安全事件中是否涉及资源。漏洞指标(IOC)是在网络、系统或环境中观察到的一种构件,它可以(以高置信度)识别恶意活动或安全事件。借助 Detective Investivations,您可以最大限度地提高效率,专注于安全威胁,并增强事件响应能力。
Detective Invertivation 使用机器学习模型和威胁情报自动分析 AWS 环境中的资源,以识别潜在的安全事件。借助它,您可以主动、高效地使用在 Detective 行为图之上构建的自动化来改善安全运营。使用 Detective Investivation,你可以调查攻击策略、不可能的旅行、标记的 IP 地址和寻找群组。它执行初步安全调查步骤并生成一份报告,重点说明由 Detective 识别的风险,以帮助您了解安全事件并应对潜在事件。
**Topics**
+ [进行 Detective 调查](run-investigations.md)
+ [查看 Detective 调查报告](investigations-report.md)
+ [理解 Detective 调查报告](investigations-report-understand.md)
+ [Detective 调查报告摘要](investigations-summary.md)
+ [下载侦探调查报告](download-investigation.md)
+ [存档 Detective 调查报告](archive-investigation.md)
# 进行 Detective 调查
使用**进行调查**来分析 IAM 用户和 IAM 角色等资源并生成调查报告。生成的报告详细说明了表明潜在危害的异常行为。
------
#### [ Console ]
按照以下步骤使用 Amazon Detective 控制台从 **“调查” 页面进行**侦探调查。
1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在导航窗格中,选择**调查**。
1. 在 “**调查**” 页面中,选择右上角的 “**运行调查**”。
1. 在 **“选择资源”** 部分,您可以通过三种方式进行调查。你可以选择对 Detective 推荐的资源进行调查。您可以对特定资源进行调查。您也可以从 Detective 搜索页面调查资源。
1. `Choose a recommended resource`— Detective 根据其在调查结果和发现小组中的活动来推荐资源。要对 Detective 推荐的资源进行调查,请在**推荐资源**表中选择要调查的资源。
推荐资源表提供以下详细信息:
+ **资源 ARN** — 资源的亚马逊资源名称 (ARN)。 AWS
+ **调查原因**:显示调查资源的关键原因。Detective 建议调查资源的原因如下:
+ 过去 24 小时内高严重性调查发现涉及资源。
+ 过去 7 天内观察到的调查发现组中涉及资源。Detective 调查发现组使您能够检查与潜在安全事件相关的多项活动。有关更多详细信息,请参阅[分析调查发现群组](groups-about.md)。
+ 过去 7 天内调查发现涉及资源。
+ **最新调查发现**:最新调查发现的优先级排在列表顶部。
+ **资源类型**:标识资源的类型。例如, AWS 用户或 AWS 角色。
1. `Specify an AWS role or user with an ARN`— 您可以选择 AWS 角色或 AWS 用户,然后对特定资源进行调查。
请按照以下步骤调查特定的资源类型。
1. 从**选择资源类型**下拉列表中,选择 AWS 角色或 AWS 用户。
1. 输入 IAM **资源的资源 ARN**。有关资源的更多详细信息 ARNs,请参阅 IAM 用户指南中的 A [mazon 资源名称 (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html)。
1. `Find a resource to investigate from the Search page`— 您可以从 Detective Sear **ch 页面搜索**所有 IAM 资源。
按照以下步骤从 “搜索” 页面调查资源。
1. 在导航窗格中,选择**搜索**。
1. 在搜索页面中,搜索 IAM 资源。
1. 导航到资源的个人资料页面,然后从那里进行调查。
1. 在**调查范围时间**部分中,选择调查**范围时间**,以评估所选资源的活动。您可以选择 UTC 格式的**开始日期**和**开始时间**;以及**结束日期**和**结束时间**。所选的时间范围可以介于最少 3 小时到最多 30 天之间。
1. 选择**进行调查**。
------
#### [ API ]
要以编程方式运行调查,请使用 Detective API 的[StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html)操作。要使用 AWS Command Line Interface (AWS CLI) 运行调查,请运行[开始调查](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html)命令。
在您的请求中,使用以下参数在 Detective 中运行调查:
+ `GraphArn`:指定行为图的 Amazon 资源名称(ARN)。
+ `EntityArn`:指定 IAM 用户和 IAM 角色的唯一 Amazon 资源名称(ARN)。
+ `ScopeStartTime`:(可选)指定开始调查的日期和时间。该值是 UTC ISO8601 格式的字符串。例如,` 2021-08-18T16:35:56.284Z`。
+ `ScopeEndTime`:(可选)指定结束调查的日期和时间。该值是 UTC ISO8601 格式的字符串。例如,` 2021-08-18T16:35:56.284Z`。
此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
--entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z
--scope-end-time 2023-09-28T22:00:00.00Z
```
------
您也可以从 Detective 的以下页面运行调查:
+ Detective 中的 IAM 用户或 IAM 角色配置文件页面。
+ 调查发现组的图形可视化窗格。
+ 所涉及资源的操作列。
+ 调查发现页面上的 IAM 用户或 IAM 角色。
在 Detective 对资源运行调查后,将生成调查报告。要访问报告,请从导航窗格转到**调查**。
# 查看 Detective 调查报告
调查报告允许您查看生成的**报告**,了解您之前在 Detective 中运行的调查。
查看调查报告
1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在导航窗格中,选择**调查**。
记录调查报告中的以下属性。
+ **ID**:调查报告生成的标识符。您可以选择此 **ID** 来阅读调查报告的摘要,其中包含调查的详细信息。
+ **状态**:每个调查都与一个基于调查完成状态的**状态**相关联。状态值可以是**进行中**、**成功**或**失败**。
+ **严重性**:为每个调查分配一个**严重性**。Detective 自动为调查发现分配严重性。
严重性表示在给定时间范围内通过调查单个资源所分析的处置情况。调查报告的严重性并不意味着或以其他方式表明受影响的资源可能对您的组织具有的关键程度或重要性。
调查严重性值可从最严重到最不严重依次为**严重**、**高**、**中**、**低**或**信息性**。
应优先考虑被指定为“严重”或“高”严重性值的调查,以便进一步检查,因为它们更有可能表示 Detective 发现的高影响安全问题。
+ **实体**:**实体**列包含有关调查中检测到的特定实体的详细信息。有些实体是 AWS 帐户,例如用户和角色。
+ **状态**:**创建**日期列包含有关首次创建调查报告的日期和时间的详细信息。
# 理解 Detective 调查报告
Detective Investivations 报告列出了表明泄露的罕见行为或恶意活动的摘要。它还列出了 Detective 为降低安全风险而提出的建议。
查看特定调查 ID 所对应的调查报告。
1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在导航窗格中,选择**调查**。
1. 在**报告**表中,选择调查 **ID**。
![\[调查报告允许您查看生成的报告,了解您之前在 Detective 中运行的调查。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/detective-investigations-report.png)
Detective 针对选定的时间**范围**和**用户**生成报告。该报告包含**漏洞指标**部分,其中包括有关下面列出的一个或多个漏洞指标的详细信息。在查看每个漏洞指标时,可以选择要深入了解的项并查看其详细信息。
+ **策略。技术和程序**-确定在潜在安全事件中使用的策略、技术和程序 (TTPs)。MITRE ATT&CK 框架用于理解. TTPs 策略基于 [MITRE ATT&CK 企业矩阵](https://attack.mitre.org/matrices/enterprise/)。
+ **威胁情报标记的 IP 地址**:根据 Detective 威胁情报,标记可疑 IP 地址并将其标记为关键或严重威胁。
+ **不可能的异地活动**:检测并识别账户中异常和不可能的用户活动。例如,该指标列出了用户在短时间内源位置与目标位置之间的巨大变化。
+ **相关调查发现组**:显示与潜在安全事件相关的多项活动。Detective 使用图表分析技术来推断调查发现和实体之间的关系,并将它们分在调查发现组。
+ **相关调查发现**:与潜在安全事件相关的相关活动。列出与资源或调查发现组有关的所有不同类别的证据。
+ **新地理位置**:识别在资源或账户级别使用的新地理位置。例如,该指标根据之前的用户活动列出了一个观察到的地理位置,该地理位置是一个不经常出现或未使用的位置。
+ **新用户代理**:识别在资源或账户级别使用的新用户代理。
+ **新建 ASOs**-标识在资源或账户级别使用的新自治系统组织 (ASOs)。例如,此指标列出了被指定为 ASO 的新组织。
# Detective 调查报告摘要
调查摘要重点说明了选定时间范围内需要注意的异常指标。使用摘要,您可以更快地确定潜在安全问题的根本原因,识别模式,并了解受安全事件影响的资源。
在详细调查报告摘要中,您可以查看以下详细信息。
**调查概述**
在 “**概述**” 面板中,您可以看到 IPs 具有高严重性活动的可视化,这可以提供有关攻击者路径的更多背景信息。
Detective 重点指明了调查中的**异常活动**,例如不可能的异地活动(IAM 用户不可能从源发地前往遥远的目的地)。
Detective 将调查映射到潜在安全事件中使用的策略、技术和程序 (TTPs)。MITRE ATT&CK 框架用于理解. TTPs 策略基于 [MITRE ATT&CK 企业矩阵](https://attack.mitre.org/matrices/enterprise/)。
**调查指标**
您可以使用**指标**窗格中的信息,来确定可能表明恶意行为及其影响的异常活动中是否涉及 AWS 资源。漏洞指标(IOC)是在网络、系统或环境中观察到的一种构件,它可以(以高置信度)识别恶意活动或安全事件。
# 下载侦探调查报告
您可以下载 JSON 格式的 Detective Investivations 报告,以便对其进行进一步分析或将其存储到首选的存储解决方案(例如 Amazon S3 存储桶)中。
**从“报告”表下载调查报告。**
1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在导航窗格中,选择**调查**。
1. 从**报告**表中选择一个调查,然后选择**下载**。
**从摘要页面下载调查报告。**
1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在导航窗格中,选择**调查**。
1. 从**报告**表中选择一个调查。
1. 在调查摘要页面中,选择**下载**。
# 存档 Detective 调查报告
在 Amazon Detective 中完成调查后,您可以将调查报告**存档**。已存档的调查表明您已完成对调查的查看。
只有当您是 Detective 管理员时,您才能存档或取消存档调查。Detective 会将您存档的调查存储 90 天。
**从“报告”表存档调查报告。**
1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在导航窗格中,选择**调查**。
1. 从**报告**表中选择一个调查,然后选择**存档**。
**从摘要页面存档调查报告。**
1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 在导航窗格中,选择**调查**。
1. 从**报告**表中选择一个调查。
1. 在调查摘要页面中,选择**存档**。