本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 直接导航到实体配置文件或调查发现概述
使用以下选项之一可直接导航到 Amazon Detective 中的实体配置文件或调查发现概述。
+ 从 Amazon GuardDuty 或者 AWS Security Hub CSPM,你可以从 GuardDuty 调查结果转到相应的 Detective 发现档案。
+ 您可以汇编 Detective 网址,用于标识调查发现或实体,并设置要使用的范围时间。
## 转到实体资料或从 Amazon GuardDuty 查找概述或 AWS Security Hub CSPM
在 Amazon GuardDuty 控制台中,您可以导航到与调查结果相关的实体的实体档案。
您还可以从 GuardDuty 和 AWS Security Hub CSPM 控制台导航到查找概览。这还提供了相关实体的实体配置文件链接。
这些链接有助于简化调查流程。您可以快速使用 Detective 查看关联的实体活动,并确定后续步骤。然后,如果调查发现是误报,则可以将其存档,也可以进一步深入了解,确定问题的范围。
### 如何转到 Amazon Detective 控制台
所有调查 GuardDuty 结果均有调查链接。 GuardDuty 还允许您选择是导航到实体配置文件还是导航到查找结果概览。
**从 GuardDuty 主机切换到 Detective**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 如有必要,选择左侧导航窗格中的**调查发现**。
1. 在 GuardDuty **调查结果**页面上,选择调查结果。
调查发现详细信息窗格显示在调查发现列表的右侧。
1. 在调查发现详细信息窗格上,选择**在 Detective 中进行调查**。
GuardDuty 显示 Detective 中可供调查的可用物品列表。
该列表既包含相关实体(例如 IP 地址或 EC2 实例),也包含调查发现。
1. 选择实体或调查发现。
Detective 控制台将打开新的选项卡。控制台将打开实体或调查发现配置文件。
如果尚未启用 Detective,则控制台会打开一个登陆页面,提供 Detective 的概述。您可在此选择启用 Detective。
**从 Security Hub CSPM 控制台转向 Detective**
1. 打开 AWS Security Hub CSPM 控制台,网址为[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)。
1. 如有必要,选择左侧导航窗格中的**调查发现**。
1. 在 Security Hub CSPM **调查结果**页面上,选择一个 GuardDuty 调查结果。
1. 在详细信息窗格中,选择**在 Detective 中进行调查**,然后选择**对调查发现进行调查**。
当您选择**对调查发现进行调查**时,在新的选项卡中将打开 Detective 控制台。打开控制台,显示调查发现概述。
即使从聚合区域进行转向,总是打开 Detective 控制台,显示调查发现来源的区域。有关调查发现聚合的更多信息,请参阅《AWS Security Hub 用户指南》**中的[跨区域聚合调查发现](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。
如果您未启用 Detective,则将打开控制台,显示 Detective 登录页面。您可在此启用 Detective。
### 对转向故障排除
要使用转向功能,必须满足以下条件之一:
+ 账户必须既是 Detective 的管理员账户,也是要转向的服务的管理员账户。
+ 已代入跨账户角色,该角色授予管理员账户访问行为图的权限。
有关调整管理员账户的建议的更多信息,请参阅与 [Amazon 保持一致的建议 GuardDuty 和 AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations)。
如果转向功能不起作用,请检查以下内容。
+ **在行为图中,该调查发现是否属于已启用的成员账户?** 如果关联账户未被邀请以成员账户的身份访问行为图,则行为图中不包含该账户的数据。
如果受邀成员账户未接受邀请,则行为图中不包含该账户的数据。
+ **调查发现是否存档?** Detective 没有收到来自的存档调查结果 GuardDuty。
+ **这一调查发现是否发生在 Detective 开始将数据导入行为图之前?** 如果 Detective 采集的数据中不存在该调查发现,则行为图中就不包含相关数据。
+ **调查发现是否来自正确的区域?** 每个行为图都针对一个区域。行为图不包含来自其他区域的数据。
## 使用网址导航到实体配置文件或调查发现概述
要导航到 Amazon Detective 中的实体配置文件或调查发现概述,您可以使用提供直接链接的网址。网址可标识调查发现或实体。它还可以指定在配置文件上使用的范围时间。Detective 最多可保存一年的历史事件数据。
### 配置文件网址的格式
**注意**
如果您使用的是旧网址格式,Detective 会自动重定向到新网址。网址的旧格式是:
https://console.aws.amazon.com/detective/家? region= *Region* \$1*type*/*namespace*/?*instanceID* *parameters*
配置文件网址的新格式如下:
+ 对于实体- https://console.aws.amazon.com/detective/ 主页? region= *Region* \$1*entities*/*namespace*/?*instanceID* *parameters*
+ 要了解调查结果—— https://console.aws.amazon.com/detective/ 回家? region= *Region* \$1*findings*/?*instanceID* *parameters*
网址需要以下值。
***Region***
您要使用的区域。
***type***
您要导航到的配置文件的项目类型。
+ `entities` - 表示您正在导航到实体配置文件
+ `findings` - 表示您正在导航到调查发现概述
***namespace***
对于实体,命名空间是实体类型的名称。
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`
***instanceID***
调查发现或实体的实例标识符。
+ 对于 GuardDuty 查找结果,为查找 GuardDuty 结果标识符。
+ 对于 AWS 账户,为账户 ID。
+ 对于 AWS 角色和用户,是角色或用户的委托人 ID。
+ 对于联合用户,即联合用户的主体 ID。主体 ID 为 `:` 或 `::`。
+ 对于 IP 地址,即 IP 地址。
+ 对于用户代理,即用户代理名称。
+ 对于 EC2 实例,即实例 ID。
+ 对于角色会话,即会话标识符。会话标识符使用格式` :`。
+ 对于 S3 存储桶,即存储桶名称。
+ 对于 FindingGroups,一个 UUID。例如,`ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ 对于 EKS 资源,请使用以下格式:
+ EKS 集群:*\$1\$1EKS*
+ Kubernetes Pod:*\$1\$1\$1EKS*
+ Kubernetes 主题:*\$1\$1*
+ 容器镜像:*/:@*
调查发现或实体必须与行为图中已启用的账户相关联。
网址还可以包含以下可选参数,用于设置范围时间。有关范围时间以及其如何在配置文件中使用的更多信息,请参阅[管理范围时间](scope-time-managing.md)。
**`scopeStart`**
在配置文件中使用的范围时间的开始时间。开始时间必须在过去 365 天内。
该值是事件时间戳。
如果您提供了开始时间,但没有提供结束时间,则范围时间将在当前时间结束。
**`scopeEnd`**
在配置文件中使用的范围时间的结束时间。
该值是事件时间戳。
如果您提供了结束时间,但没有提供开始时间,则范围时间包括结束时间之前的所有时间。
如果您未指定范围时间,则使用默认的范围时间。
+ 对于调查发现,默认范围时间使用观察到调查发现活动的第一次和最后一次时间。
+ 对于实体,默认范围时间是前 24 小时。
以下是 Detective 网址示例:
`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`
该示例网址提供了以下说明。
+ 显示 IP 地址 192.168.1 的实体配置文件。
+ 使用从 GMT 2019 年 3 月 18 日(星期一)上午 12:00:00 开始,到 GMT 2019 年 3 月 18 日(星期一)下午 12:00:00 结束的范围时间。
### 对网址故障排除
如果网址未显示预期配置文件,请首先检查网址是否使用了正确的格式,以及提供的值是否正确。
+ 是否使用了正确的网址(`findings` 或 `entities`)?
+ 是否指定了正确的命名空间?
+ 是否提供了正确的标识符?
如果数值正确,您还可以检查以下内容。
+ **在行为图中,该调查发现或实体是否属于已启用的成员账户?** 如果关联账户未被邀请以成员账户的身份访问行为图,则行为图中不包含该账户的数据。
如果受邀成员账户未接受邀请,则行为图中不包含该账户的数据。
+ **对于调查发现,该调查发现是否存档?** Detective 不会收到来自亚马逊的存档调查结果 GuardDuty。
+ **这一调查发现或实体是否发生在 Detective 开始将数据导入行为图之前?** 如果 Detective 采集的数据中不存在该调查发现或实体,则行为图中就不包含相关数据。
+ **调查发现或实体是否来自正确的区域?** 每个行为图都针对一个区域。行为图不包含来自其他区域的数据。
## 在 Splun URLs k 中添加侦探调查结果
Splunk Trumpet 项目允许您将数据从 AWS 服务发送到 Splunk。
您可以将 Trumpet 项目配置为生成 Detective for Amazon URLs 的 GuardDuty 调查结果。然后,你可以使用它们直接从 Splunk 切换 URLs 到相应的 Detective 发现档案。
Trumpet 项目可从以下网址获得 GitHub 。[https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)
在 Trumpet 项目的配置页面上,从 “**AWS CloudWatch 事件**” 中选择 Detect **iv GuardDuty URLs** e。