

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# GuardDuty 调查（预览）
<a name="guardduty-investigation"></a>

GuardDuty 调查可对您的调查 GuardDuty结果和账户进行 AI-powered 安全分析。创建调查时，使用知识图 GuardDuty 检查发现的背景、过去 90 天的相关活动、受影响的资源、威胁情报和威胁指标。每项调查都提供威胁处置评估，包括信心评分、MITRE ATT&CK® 技术分类、支持证据和可行的建议。

每项调查都会得出以下见解：
+ **风险等级** — 对总体风险的评估：信息、低、中、高或严重。
+ **置信**度-评估的置信度：未知、低、中或高。
+ **摘要** — 对调查结果和主要观察结果的描述。
+ **调查详情**-与调查相关的其他信息和背景。
+ **建议的操作** — 为解决已发现的问题可以采取的详细操作，包括 CLI 命令。

**注意**  
GuardDuty 调查仅适用于以下 10 个商业 AWS 区域：美国东部（弗吉尼亚北部）、美国东部（俄亥俄州）、美国西部（俄勒冈）、加拿大（中部）、欧洲（法兰克福）、欧洲（爱尔兰）、欧洲（伦敦）、欧洲（巴黎）、欧洲（斯德哥尔摩）和亚太地区（东京）。

## 分析类型
<a name="guardduty-investigation-analysis-types"></a>

GuardDuty 调查支持以下三种类型的分析：
+ **查找结果分析**-在您指定查找 GuardDuty结果 ID（32 个字符的十六进制）时分析特定的调查结果。为了预览版，“ GuardDuty 调查” 支持所有扩展威胁检测 (XTD) 调查结果以及基础计划、S3 计划和运行时计划中的精选调查结果。
+ **账户分析**-当您提供 12 位数的 AWS 账户 ID 时，分析 AWS 账户的威胁态势。
+ **组织分析**-分析贵组织的威胁态势。为了进行预览，它最多可以分析 100 个帐户。

## Cross-Region 推断
<a name="guardduty-investigation-cross-region-inference"></a>

GuardDuty 调查利用 Cross-Region 推理服务 (CRIS)，它会自动选择您 AWS 区域 所在地区的最佳位置来处理调查分析并生成调查报告。这样可以最大限度地提高可用计算资源和模型可用性，并提供最佳的客户体验。

您的数据仅存储在调查请求发起的地区。但是，调查数据和摘要结果可能会在该地区以外的地方处理。所有数据均通过亚马逊的安全网络加密传输。

GuardDuty 调查可安全地将您的推理请求路由到发出请求的地理区域内的可用计算资源，如下表所示。


**Cross-Region 推理路由**  

| 支持的 地理区域 | GuardDuty 区域 | 推理区域 | 
| --- | --- | --- | 
| 美国 | 美国东部（弗吉尼亚州北部） | 美国东部（弗吉尼亚州北部）、美国东部（俄亥俄州）、美国西部（俄勒冈州） | 
| 美国 | 美国东部（俄亥俄州） | 美国东部（弗吉尼亚州北部）、美国东部（俄亥俄州）、美国西部（俄勒冈州） | 
| 美国 | 美国西部（俄勒冈州） | 美国东部（弗吉尼亚州北部）、美国东部（俄亥俄州）、美国西部（俄勒冈州） | 
| 美国 | 加拿大（中部） | 加拿大（中部）、美国东部（弗吉尼亚北部）、美国东部（俄亥俄州）、美国西部（俄勒冈） | 
| 欧洲 | 欧洲地区（法兰克福） | 欧洲（法兰克福）、欧洲（斯德哥尔摩）、欧洲（米兰）、欧洲（西班牙）、欧洲（爱尔兰）、欧洲（巴黎） | 
| 欧洲 | 欧洲地区（爱尔兰） | 欧洲（法兰克福）、欧洲（斯德哥尔摩）、欧洲（米兰）、欧洲（西班牙）、欧洲（爱尔兰）、欧洲（巴黎） | 
| 欧洲 | 欧洲地区（伦敦） | 欧洲（法兰克福）、欧洲（斯德哥尔摩）、欧洲（米兰）、欧洲（西班牙）、欧洲（爱尔兰）、欧洲（伦敦）、欧洲（巴黎） | 
| 欧洲 | 欧洲地区（巴黎） | 欧洲（法兰克福）、欧洲（斯德哥尔摩）、欧洲（米兰）、欧洲（西班牙）、欧洲（爱尔兰）、欧洲（巴黎） | 
| 欧洲 | 欧洲地区（斯德哥尔摩） | 欧洲（法兰克福）、欧洲（斯德哥尔摩）、欧洲（米兰）、欧洲（西班牙）、欧洲（爱尔兰）、欧洲（巴黎） | 
| 日本 | 亚太地区（东京） | 亚太地区（东京）、亚太地区（大阪） | 

## 先决条件
<a name="guardduty-investigation-prerequisites"></a>

在使用 GuardDuty 调查之前，请确保满足以下先决条件：
+ 要创建调查的 AWS 区域 位置必须有活动 GuardDuty 探测器。有关启用的更多信息 GuardDuty，请参阅[入门 GuardDuty](guardduty_settingup.md)。
+ 您必须在探测器上启用 GuardDuty 调查功能。

------
#### [ Console ]

  1. 打开控制 GuardDuty 台。

  1. 在导航窗格中，选择**设置**。

  1. 在 **AI 支持的调查-预览**下，选择**启用**。

------
#### [ API/CLI ]

  调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)API 并在探测器上启用该`AI_ANALYST`功能。

  ```
  aws guardduty update-detector \
      --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
      --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  ```

------
+ 您的 IAM 身份必须具有执行调查操作所需的权限。需要执行以下 IAM 操作：
  + `guardduty:CreateInvestigation`— 创建新调查所必需的。
  + `guardduty:GetInvestigation`— 需要检索调查结果。
  + `guardduty:ListInvestigations`— 需要列出探测器的调查结果。

以下示例 IAM 策略授予使用所有 GuardDuty 调查操作的权限：

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:CreateInvestigation",
                "guardduty:GetInvestigation",
                "guardduty:ListInvestigations"
            ],
            "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7"
        }
    ]
}
```

### 管理员和成员账户的访问模式
<a name="guardduty-investigation-access-model"></a>

以下访问规则适用于 GuardDuty 调查，具体取决于您使用的是管理员帐户还是成员帐户：
+ **管理员帐户**-可以为自己及其成员帐户创建、获取和列出调查。
+ **成员账户** — 只能获取和列出他们自己账户的调查结果。成员账户无法创建调查，也无法访问属于其他账户或管理员账户的调查。

## 创建调查
<a name="guardduty-investigation-create"></a>

您可以创建调查来分析您 AWS 环境中的 GuardDuty 调查结果和账目。调查在后台异步进行。创建调查后，使用调查 ID 检查其状态并检索结果。

**重要**  
在预览期间，您每天可以为每个账户发起最多 10 次调查，每个账户的总调查上限为 100 次。调查失败不计入这些配额。如果您使用的是 API/CLI，则触发提示符最多可包含 2,048 个字符。

选择您的首选访问方法来创建调查。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，在左侧导航栏中导航至 “**调查**”。

1. 选择 “**启动调查**”。

1. 选择调查范围：
   + **特定发现**-输入要分析的发现 ID。
   + **我的账户**（仅限独立账户）— 无需额外输入。 GuardDuty 将分析您的账户。
   + **特定账户**（仅限管理员）-输入 12 位数的 AWS 账户 ID。
   + **组织中的所有帐户**（仅限管理员）-无需其他输入。

1. 选择**启动调查**以开始分析。

------
#### [ API/CLI ]

运行 CreateInvestigation API 操作开始新的调查。您必须提供探测器 ID 和描述要调查的内容的触发器提示。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "{{Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012}}"
```

在前面的命令中，将{{detector-id}}替换为您自己的探测器 ID 和{{trigger-prompt}}您要调查的内容的描述。

您可以选择为等性添加`--client-token`参数。如果您使用相同的客户端令牌重试请求，则 GuardDuty 返回现有调查，而不是创建重复的调查。

输出示例：

```
{
    "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890"
}
```

**触发器提示要求**

触发提示必须描述要调查的内容。 GuardDuty 根据提示内容确定分析类型：
+ **查找结果分析**-在提示中仅包含一个查找 ID（32 个字符的十六进制字符串）。调查结果必须存在且属于来电者的账户或成员账户。您不能在单个提示中包含多个查找 ID。
+ **账户分析**-在提示中恰好包含一个 12 位数的 AWS 账户 ID。来电者必须是该账户的管理员。您不能在单个提示中包含多个账户 ID。
+ **组织分析**-在提示中描述整个组织的安全问题。该调查分析了整个组织（最多 100 个账户）的信号。

GuardDuty 使用 AI 来解释您的自由格式提示并确定适当的分析范围。如果包含查找 ID，则它会执行查找结果分析。如果您包含账户 ID，则它会执行账户分析。如果您的提示描述了整个组织的问题，则它会执行组织分析。如果提示与特定的分析类型不匹配，则调查默认为分析来电者自己的账户。

以下是每种分析类型的触发提示示例：
+ **发现分析** — `"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"`
+ **账户分析** — `"Analyze findings in account with id 123456789012"`
+ **组织分析** — `"Analyze findings in my organization"`

**为成员账户创建调查**

如果您是管理员帐户，则可以通过在触发提示中包含成员账户 ID 来创建对成员账户的调查。在命令中使用管理员帐户的探测器 ID。调查结果将包含来自指定成员账户的调查结果。

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "Analyze findings in account with id 111122223333"
```

在前面的命令中，将{{detector-id}}替换为管理员帐户的检测器 ID。触发提示中的 12 位数账户 ID 用于标识要调查的成员账户。

------

## 查看调查结果
<a name="guardduty-investigation-get"></a>

创建调查后，您可以检索结果，包括摘要、调查详情、置信水平和建议。调查可以具有以下状态之一：
+ **运行**中 — 调查仍在进行中。
+ **已完成**-调查成功完成，结果已出炉。
+ **失败**-调查遇到错误。有关详细信息，请查看错误字段。

选择您的首选访问方式以查看调查结果。

*AI-generated 分析和建议可能包含错误或不完整的评估。建议进行人工审查。*

------
#### [ Console ]

1. 打开 GuardDuty 控制台，在左侧导航栏中导航至 “**调查**”。

1. 在调查表中，找到您要查看的已完成调查。

1. 选择调查标题链接以打开详细信息页面。

**注意**  
只有当状态为 “**已完成**” 时，调查标题才可点击。

------
#### [ API/CLI ]

运行 GetInvestigation API 操作以检索已完成调查的完整详细信息。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty get-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --investigation-id {{a1b2c3d4-5678-90ab-cdef-ef1234567890}}
```

已完成调查的输出示例：

```
{
    "Investigation": {
        "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
        "Status": "COMPLETED",
        "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
        "TriggeredBy": "123456789012",
        "RiskLevel": "Critical",
        "Risk": "Detection logic is valid but no live resources are compromised.",
        "Confidence": "High",
        "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}",
        "Cloud": {
            "Provider": "AWS",
            "Region": "us-east-1",
            "Account": "123456789012"
        },
        "Metadata": {
            "Product": {
                "Name": "Amazon GuardDuty AI Analyst",
                "Feature": "Investigation"
            },
            "Version": "1.0.0"
        },
        "StartTime": 1705319400.0,
        "EndTime": 1705319700.0
    }
}
```

该`Summary`字段包含包含完整调查结果的 JSON 字符串，包括关键观察结果、使用 CLI 命令的对策以及 MITRE ATT&CK® 威胁评估。

------

### 解释调查结果
<a name="guardduty-investigation-interpret-results"></a>

下表描述了调查可能返回的风险级别：


**调查风险等级**  

| 风险等级 | 说明 | 
| --- | --- | 
| 信息 | 信息性发现，不会对环境造成直接风险。 | 
| 低 | 风险较小，不太可能需要立即采取行动。 | 
| 中 | 中等风险，您必须进行审查，可能需要补救。 | 
| 高 | 需要立即进行调查和补救的重大风险。 | 
| 重大 | 需要立即采取行动以防止进一步损害的严重风险。 | 

下表描述了置信水平：


**调查可信度**  

| 信心等级 | 说明 | 
| --- | --- | 
| 未知 | 数据不足，无法确定对评估的可信度。 | 
| 低 | 支持这一评估的证据有限。 | 
| 中 | 适度的证据支持这一评估。 | 
| 高 | 有力的证据支持这一评估。 | 

## 上市调查
<a name="guardduty-investigation-list"></a>

您可以列出探测器的所有调查结果，并可选择排序和分页。这可以帮助您查看和跟踪多项调查的状态。

选择您首选的访问方式来列出调查结果。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，在左侧导航栏中导航至 “**调查**”。

1. 调查表显示当前探测器的所有调查及其状态、风险级别和时间戳。

------
#### [ API/CLI ]

运行 ListInvestigations API 操作以列出探测器的调查摘要。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --max-results 10
```

您可以通过指定`--sort-criteria`参数对结果进行排序。以下示例列出了按开始时间降序排序的调查：

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \
    --max-results 10
```

可用的排序属性有`START_TIME``END_TIME`、`STATUS`、`RISK_LEVEL`、和`CONFIDENCE`。您可以按`ASC`（升序）或`DESC`（降序）顺序排序。

输出示例：

```
{
    "Investigations": [
        {
            "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
            "Status": "COMPLETED",
            "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
            "RiskLevel": "Critical",
            "Confidence": "High",
            "StartTime": 1705319400.0,
            "EndTime": 1705319700.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in account with id 123456789012",
            "RiskLevel": "High",
            "Confidence": "High",
            "StartTime": 1705315800.0,
            "EndTime": 1705316100.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in my organization",
            "RiskLevel": "Medium",
            "Confidence": "Medium",
            "StartTime": 1705312200.0,
            "EndTime": 1705312500.0,
            "AccountId": "123456789012"
        }
    ]
}
```

如果响应中包含一个`NextToken`值，则在后续请求中传递该值以检索下一页的结果。每页最多可以检索 50 个结果。

------