本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 开始使用 Amazon Detective
本教程介绍了 Amazon Detective。你将学习如何为你的 AWS 账户启用 Detective。你还将学习如何验证 Detective 是否已开始从你的 AWS 账户中提取数据并将其提取到你的行为图中。
启用 Amazon Detective 后,Detective 会创建一个以账户作为管理员账户的特定区域行为图。这是行为图中最初的唯一账户。然后,管理员账户可以邀请其他 AWS 账户将其数据贡献到行为图中。请参阅[在 Detective 中管理账户](accounts.md)。
首次启用区域中 Detective 还可开始为期 30 天的行为图免费试用。如果该账户禁用 Detective 然后再次启用,则无法提供免费试用。请参阅[行为图免费试用简介](free-trial-overview.md)。
免费试用期结束后,行为图中的每个账户都要为其提供的数据付费。管理员账户可以跟踪使用情况,并查看其整个行为图在典型的 30 天内的预计总费用。有关更多信息,请参阅 [监控 Detective 管理员帐户的使用情况](usage-tracking-admin.md)。成员账户可以跟踪其所属行为图的使用情况和预计费用。有关更多信息,请参阅 [监控 Detective 成员账户的使用情况](member-usage-tracking.md)。
**Topics**
+ [设置您的 AWS 账户](detective-before-you-begin.md)
+ [启用 Detective 的前提条件](detective-prerequisites.md)
+ [启用 Detective 的建议](detective-recommendations.md)
+ [启用 Detective](detective-enabling.md)
# 设置您的 AWS 账户
启用 Amazon Detective 之前,您必须有 AWS 账户。如果您没有 AWS 帐户,请完成以下步骤来创建一个帐户。
## 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
## 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
# 启用 Detective 的前提条件
在启用 Detective 之前,请确保满足以下要求。
## 授予所需的 Detective 权限
在启用 Detective 之前,您必须确保 IAM 主体拥有所需的 Detective 权限。主体可以是已在使用的现有用户或角色,也可以创建新的用户或角色供 Detective 使用。
注册 Amazon Web Services (AWS) 后,账户将自动注册所有 AWS 服务,包括 Amazon Detective。但是,要启用和使用 Detective,您首先必须设置允许访问 Amazon Detective 控制台和 API 操作的权限。为此,您或您的管理员可以使用 AWS Identity and Access Management (IAM) 将[`AmazonDetectiveFullAccess`托管策略](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectivefullaccess)附加到您的 IAM 委托人,从而授予对所有 Detective 操作的访问权限。如果没有这些 IAM 权限,则可以在 AWS 控制台中查看 D **etective 入门**页面。因此,在添加这些权限之前,控制台不会显示任何活动图表,即使该服务已启用。
## 支持的 AWS Command Line Interface 版本
要使用 AWS CLI 来执行 Detective 任务,所需的最低版本为 1.16.303。
# 启用 Detective 的建议
在启用 Detective 之前,请考虑遵循以下建议
## 建议与 GuardDuty 和对齐 AWS Security Hub CSPM
如果您已注册 GuardDuty 和 AWS Security Hub CSPM,我们建议您的账户成为这些服务的管理员帐户。如果所有三项服务的管理员账户相同,则以下集成点就能顺利运行。
+ 在我们 GuardDuty 的 Security Hub CSPM 中,在查看 GuardDuty 调查结果的详细信息时,您可以从查找结果详细信息转到侦探调查结果配置文件。
+ 在 Detective 中,在调查 GuardDuty 发现时,你可以选择将该发现存档的选项。
如果您对 GuardDuty 和 Security Hub CSPM 有不同的管理员帐户,我们建议您根据更频繁使用的服务来调整管理员帐户。
+ 如果您 GuardDuty 更频繁地使用,请使用 GuardDuty 管理员帐户启用 Detective。
如果您使用管理帐户, AWS Organizations 请将 GuardDuty 管理员帐户指定为组织的 Detective 管理员帐户。
+ 如果你更频繁地使用 Security Hub CSPM,请使用 Security Hub CSPM 管理员帐户启用 Detective。
如果您使用 Organizations 来管理帐户,请将 Security Hub CSPM 管理员帐户指定为该组织的 Detective 管理员帐户。
如果您无法在所有服务中使用相同的管理员账户,则在启用 Detective 后,可以选择创建跨账户角色。该角色赋予管理员账户访问其他账户的权限。
有关 IAM 如何支持此类角色的信息,请参阅 [IAM 用户*指南中的向您拥有的另一个 AWS 账户中的 IAM 用户*提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。
## GuardDuty CloudWatch 通知频率的建议更新
在中 GuardDuty,探测器配置了 Amazon CloudWatch 通知频率,用于报告发现的后续事件。这包括向 Detective 发送通知。
默认情况下,频率为 6 小时。这意味着,即使一项调查发现重复出现多次,新出现的情况也要到 6 个小时之后才会反映在 Detective 中。
为了缩短 Detective 接收这些更新的时间,我们建议 GuardDuty 管理员帐户将其探测器的设置更改为 15 分钟。请注意,更改配置不会影响使用成本 GuardDuty。
有关设置通知频率的信息,请参阅《亚马逊* GuardDuty 用户指南》中的 “使用亚马逊 CloudWatch *[事件监控 GuardDuty 结果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html)”。
# 启用 Detective
您可以通过 Detective 控制台、Detective API 或 AWS Command Line Interface启用 Detective。
您在每个区域只能启用一次 Detective。如果您已经是该区域中某个行为图的管理员账户,则无法在该区域中再次启用 Detective。
------
#### [ Console ]
**要启用 Detective(控制台)**
1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。
1. 选择**开始**。
1. 在 “**启用 Amazon Detectiv** e” 页面上,**对齐管理员账户(推荐)**解释了在 Detective GuardDuty 和 Amazon 之间调整管理员账户的建议 AWS Security Hub CSPM。请参阅[建议与 GuardDuty 和对齐 AWS Security Hub CSPM](detective-recommendations.md#recommended-service-alignment)。
1. “**附加 IAM 策略**” 按钮可将您直接带到 IAM 控制台并打开推荐的策略。您可以选择将推荐的策略附加到用于 Detective 的委托人。如您果没有在 IAM 控制台中操作的权限,则可以在**所需权限**中复制策略 Amazon 资源名称(ARN),将其提供给 IAM 管理员。他们可以代表您附加策略。
确认所需的 IAM 策略已落实到位。
1. 您可以通过**添加标签**部分向行为图添加标签。
要添加标签,请执行以下操作:
1. 选择**添加新标签**。
1. 对于**键**,输入标签的名称。
1. 对于**值**,输入标签的值。
要删除标签,请为该标签选择**删除**选项。
1. 选择**启用 Amazon Detective**。
1. 启用 Detective 后,就可以邀请成员账户访问行为图。
要导航到**账户管理**页面,请选择**立即添加成员**。有关邀请成员账户的信息,请参阅[在 Detective 中管理受邀成员账户](accounts-invited-members.md)。
------
#### [ Detective API, AWS CLI ]
您可以通过 Detective API 或 AWS Command Line Interface启用 Amazon Detective。
**要启用 Detective(Detective API, AWS CLI)**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateGraph.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateGraph.html) 操作。
+ **AWS CLI:**在命令行处,运行 [https://docs.aws.amazon.com/cli/latest/reference/detective/create-graph.html](https://docs.aws.amazon.com/cli/latest/reference/detective/create-graph.html) 命令。
```
aws detective create-graph --tags '{"tagName": "tagValue"}'
```
以下命令将启用 Detective 并将 `Department` 标签的值设置为 `Security`。
```
aws detective create-graph --tags '{"Department": "Security"}'
```
------
#### [ Python script on GitHub ]
你可以使用 Detective Python 脚本启用跨区域侦探 GitHub。Detective 提供了一个开源脚本 GitHub ,用于执行以下操作:
+ 为指定区域列表中的管理员账户启用 Detective
+ 将提供的成员账户列表添加到生成的每个行为图中
+ 向成员账号发送邀请电子邮件
+ 自动接受成员账户的邀请
有关如何配置和使用 GitHub 脚本的信息,请参见[使用 Detective Python 脚本管理账户](detective-github-scripts.md)。
------
## 检查 Detective 是否正在从你的账户中提取数据 AWS
启用 Detective 后,它会开始从你的 AWS 账户中提取数据并将其提取到你的行为图中。
对于初始提取,数据通常会在 2 小时内出现在行为图中。
检查 Detective 是否正在提取数据的一种方法是在 Detective **搜索**页面上查找示例值。
**要在“搜索”页面上查看示例值**
1. 通过 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 打开 Amazon Detective 控制台。
1. 在导航窗格中,选择**搜索**。
1. 从**选择类型**菜单中,选择一种项目类型。
**数据示例**包含行为图数据中选定类型标识符的样本集。
如果出现示例值,就说明数据已被采集并提取到行为图中。