本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 进行 Detective 调查 使用**进行调查**来分析 IAM 用户和 IAM 角色等资源并生成调查报告。生成的报告详细说明了表明潜在危害的异常行为。 ------ #### [ Console ] 按照以下步骤使用 Amazon Detective 控制台从 **“调查” 页面进行**侦探调查。 1. 登录到 AWS 管理控制台。然后打开 Detective 控制台,网址为[https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)。 1. 在导航窗格中,选择**调查**。 1. 在 “**调查**” 页面中,选择右上角的 “**运行调查**”。 1. 在 **“选择资源”** 部分,您可以通过三种方式进行调查。你可以选择对 Detective 推荐的资源进行调查。您可以对特定资源进行调查。您也可以从 Detective 搜索页面调查资源。 1. `Choose a recommended resource`— Detective 根据其在调查结果和发现小组中的活动来推荐资源。要对 Detective 推荐的资源进行调查,请在**推荐资源**表中选择要调查的资源。 推荐资源表提供以下详细信息: + **资源 ARN** — 资源的亚马逊资源名称 (ARN)。 AWS + **调查原因**:显示调查资源的关键原因。Detective 建议调查资源的原因如下: + 过去 24 小时内高严重性调查发现涉及资源。 + 过去 7 天内观察到的调查发现组中涉及资源。Detective 调查发现组使您能够检查与潜在安全事件相关的多项活动。有关更多详细信息,请参阅[分析调查发现群组](groups-about.md)。 + 过去 7 天内调查发现涉及资源。 + **最新调查发现**:最新调查发现的优先级排在列表顶部。 + **资源类型**:标识资源的类型。例如, AWS 用户或 AWS 角色。 1. `Specify an AWS role or user with an ARN`— 您可以选择 AWS 角色或 AWS 用户,然后对特定资源进行调查。 请按照以下步骤调查特定的资源类型。 1. 从**选择资源类型**下拉列表中,选择 AWS 角色或 AWS 用户。 1. 输入 IAM **资源的资源 ARN**。有关资源的更多详细信息 ARNs,请参阅 IAM 用户指南中的 A [mazon 资源名称 (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html)。 1. `Find a resource to investigate from the Search page`— 您可以从 Detective Sear **ch 页面搜索**所有 IAM 资源。 按照以下步骤从 “搜索” 页面调查资源。 1. 在导航窗格中,选择**搜索**。 1. 在搜索页面中,搜索 IAM 资源。 1. 导航到资源的个人资料页面,然后从那里进行调查。 1. 在**调查范围时间**部分中,选择调查**范围时间**,以评估所选资源的活动。您可以选择 UTC 格式的**开始日期**和**开始时间**;以及**结束日期**和**结束时间**。所选的时间范围可以介于最少 3 小时到最多 30 天之间。 1. 选择**进行调查**。 ------ #### [ API ] 要以编程方式运行调查,请使用 Detective API 的[StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html)操作。要使用 AWS Command Line Interface (AWS CLI) 运行调查,请运行[开始调查](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html)命令。 在您的请求中,使用以下参数在 Detective 中运行调查: + `GraphArn`:指定行为图的 Amazon 资源名称(ARN)。 + `EntityArn`:指定 IAM 用户和 IAM 角色的唯一 Amazon 资源名称(ARN)。 + `ScopeStartTime`:(可选)指定开始调查的日期和时间。该值是 UTC ISO8601 格式的字符串。例如,` 2021-08-18T16:35:56.284Z`。 + `ScopeEndTime`:(可选)指定结束调查的日期和时间。该值是 UTC ISO8601 格式的字符串。例如,` 2021-08-18T16:35:56.284Z`。 此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\\)行继续符来提高可读性。 ``` aws detective start-investigation \ --graph-arn {{arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0}} --entity-arn {{arn:aws:iam::123456789123:role/rolename}} --scope-start-time {{2023-09-27T20:00:00.00Z}} --scope-end-time {{2023-09-28T22:00:00.00Z}} ``` ------ 您也可以从 Detective 的以下页面运行调查: + Detective 中的 IAM 用户或 IAM 角色配置文件页面。 + 调查发现组的图形可视化窗格。 + 所涉及资源的操作列。 + 调查发现页面上的 IAM 用户或 IAM 角色。 在 Detective 对资源运行调查后,将生成调查报告。要访问报告,请从导航窗格转到**调查**。