本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 理解 Detective 调查报告 Detective Investivations 报告列出了表明泄露的罕见行为或恶意活动的摘要。它还列出了 Detective 为降低安全风险而提出的建议。 查看特定调查 ID 所对应的调查报告。 1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。 1. 在导航窗格中,选择**调查**。 1. 在**报告**表中,选择调查 **ID**。 ![\[调查报告允许您查看生成的报告,了解您之前在 Detective 中运行的调查。\]](http://docs.aws.amazon.com/zh_cn/detective/latest/userguide/images/detective-investigations-report.png) Detective 针对选定的时间**范围**和**用户**生成报告。该报告包含**漏洞指标**部分,其中包括有关下面列出的一个或多个漏洞指标的详细信息。在查看每个漏洞指标时,可以选择要深入了解的项并查看其详细信息。 + **策略。技术和程序**-确定在潜在安全事件中使用的策略、技术和程序 (TTPs)。MITRE ATT&CK 框架用于理解. TTPs 策略基于 [MITRE ATT&CK 企业矩阵](https://attack.mitre.org/matrices/enterprise/)。 + **威胁情报标记的 IP 地址**:根据 Detective 威胁情报,标记可疑 IP 地址并将其标记为关键或严重威胁。 + **不可能的异地活动**:检测并识别账户中异常和不可能的用户活动。例如,该指标列出了用户在短时间内源位置与目标位置之间的巨大变化。 + **相关调查发现组**:显示与潜在安全事件相关的多项活动。Detective 使用图表分析技术来推断调查发现和实体之间的关系,并将它们分在调查发现组。 + **相关调查发现**:与潜在安全事件相关的相关活动。列出与资源或调查发现组有关的所有不同类别的证据。 + **新地理位置**:识别在资源或账户级别使用的新地理位置。例如,该指标根据之前的用户活动列出了一个观察到的地理位置,该地理位置是一个不经常出现或未使用的位置。 + **新用户代理**:识别在资源或账户级别使用的新用户代理。 + **新建 ASOs**-标识在资源或账户级别使用的新自治系统组织 (ASOs)。例如,此指标列出了被指定为 ASO 的新组织。