本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Detective 如何用於調查
Amazon Detective 會簡化分析、調查並快速識別安全調查結果或可疑活動的根本原因。Detective 提供支援整體調查程序的工具。Detective 中的調查能夠以調查結果、調查結果群組或實體作為起點。
## Detective 中的調查階段
任何 Detective 調查程序都涉及下列階段:
****分類****
當您收到有關可疑惡意或高風險活動執行個體的通知時,調查程序便會啟動。例如,您會被分配到查看透過 Amazon GuardDuty 和 Amazon Inspector 等服務所發現的調查結果或警報。
在分類階段,您可以判斷您是否認為該活動是真陽性 (真正的惡意活動) 還是偽陽性 (非惡意或高風險活動)。Detective 設定檔透過為涉及的實體提供活動的見解來支援分類程序。
針對真陽性執行個體,您將繼續下一個階段。
****範圍設定****
在範圍設定階段,分析師會判斷惡意或高風險活動的程度以及根本原因。
範圍設定可回答以下類型的問題:
+ 哪些系統和使用者遭到入侵?
+ 攻擊起源於何處?
+ 攻擊的持續時間?
+ 是否還存在其他待發現的相關活動? 例如,如果攻擊者從您的系統中擷取資料,他們會如何取得?
Detective 視覺化可協助您識別所涉或受影響的其他實體。
**回應**
最後一步是對攻擊做出回應,以阻止攻擊,最大程度地減少傷害,並防止類似的攻擊再次發生。
## Detective 調查的起點
每次 Detective 調查都有重要的起點。例如,您可能會獲指派要調查的 Amazon GuardDuty 或 AWS Security Hub CSPM 調查結果。或者,您可能會擔心特定 IP 地址的異常活動。
調查的常用起點包括 GuardDuty 偵測到的調查結果,以及從 Detective 來源資料擷取的實體。
### GuardDuty 偵測到的調查結果
GuardDuty 使用您的日誌資料來發現惡意或高風險活動的可疑執行個體。Detective 會提供資源以幫助您調查此類調查結果。
Detective 會針對各調查結果提供相關的調查結果詳細資訊。Detective 也會顯示連線至調查結果的實體,例如 IP 地址和 AWS 帳戶。
然後,您可以探索涉及的實體的活動,以確定從調查結果中偵測到的活動是否為真正引起關注的原因。
如需詳細資訊,請參閱[分析 Detective 中的調查結果概觀](finding-overview.md)。
### AWS Security Hub CSPM 彙總的安全性調查結果
AWS Security Hub CSPM 會在單一位置彙總來自各種問題清單提供者的安全性問題清單,並為您提供安全狀態的完整檢視 AWS。Security Hub CSPM 消除了處理來自多個供應商的大量調查結果的複雜性。它減少了管理和改善所有 AWS 帳戶、資源和工作負載安全性所需的工作量。Detective 會提供資源以幫助您調查此類調查結果。
Detective 會針對各調查結果提供相關的調查結果詳細資訊。Detective 也會顯示連線至調查結果的實體,例如 IP 地址和 AWS 帳戶。
如需詳細資訊,請參閱[分析 Detective 中的調查結果概觀](finding-overview.md)。
### 從 Detective 來源資料擷取的實體
Detective 會從擷取的 Detective 來源資料擷取實體,例如 IP 地址和 AWS 使用者。您可以使用其中一個作為調查起點。
Detective 提供有關實體的一般詳細資訊,例如 IP 地址或使用者名稱。它還提供活動歷史記錄的詳細資訊。例如,Detective 可以報告實體已連線、曾連線或使用的其他 IP 地址。
如需詳細資訊,請參閱[分析 Amazon Detective 中的實體](entity-profiles.md)。
## Detective 調查流程
您可以使用 Amazon Detective 調查實體,例如 EC2 執行個體或 AWS 使用者。您也可以調查安全調查結果。
在高階,下圖顯示 Detective 調查的程序。
![\[顯示 Detective 調查程序的圖表。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/diagram_investigation_flow_entity.png)
**步驟 1:選取要調查的實體**
在查看 GuardDuty 中的調查結果時,分析師可以選擇在 Detective 中調查相關實體。請參閱 [從 Amazon GuardDuty 或 樞紐至實體設定檔或調查結果概觀 AWS Security Hub CSPM](navigate-to-profile.md#profile-pivot-from-service)。
選取實體後,系統將帶您前往 Detective 中的實體設定檔。
**步驟 2:分析設定檔的視覺化**
每個實體設定檔都包含一組從行為圖表產生的視覺化。行為圖表根據輸入至 Detective 的日誌檔案和其他資料建立。
視覺化會顯示與實體相關的活動。您可以使用此類視覺化來回答問題,以判斷實體活動是否存在異常。請參閱 [分析 Amazon Detective 中的實體](entity-profiles.md)。
為了幫助指導調查,您可以使用為每個視覺化提供的 Detective 指南。該指南概述了顯示的資訊,建議您要提出的問題,並根據答案提出後續步驟。請參閱 [在調查期間使用設定檔面板指引](profile-panel-drilldown-kubernetes-api-volume.md#profile-panel-guidance)。
每個設定檔都包含相關聯調查結果的清單。您可以檢視調查結果的詳細資訊,以及檢視調查結果概觀。請參閱 [在 Detective 中檢視相關調查結果的詳細資訊](entity-finding-list.md)。
從實體設定檔中,您可以錨定至其他實體和調查結果設定檔,以進一步調查相關資產的活動。
**步驟 3:採取動作**
根據調查的結果,採取適當動作。
若調查結果為假陽性,則可將該調查結果封存。在 Detective 中,您可以存檔 GuardDuty 的調查結果。如需詳細資訊,請參閱[封存 Amazon GuardDuty 調查結果](https://docs.aws.amazon.com//detective/latest/userguide/finding-update-status.html)。
否則,您應採取適當動作來解決漏洞並減輕損害。例如,您可能需要更新資源的配置。
# Detective 調查
您可以使用 Amazon Detective Investigation,使用入侵指標調查 IAM 使用者和 IAM 角色,這可協助您判斷資源是否涉及安全事件。入侵指標 (IOC) 指在網路、系統或環境中或在網路、系統或環境上觀察到的成品,可以 (具有高可信度) 識別惡意活動或安全事件。透過 Detective Investigations,您可以最大化效率、專注於安全威脅,並強化事件回應功能。
Detective Investigation 使用機器學習模型和威脅情報自動分析 AWS 環境中的資源,以識別潛在的安全事件。透過該調查,您可主動有效且高效地使用以 Detective 行為圖表為基礎的自動化功能來改善安全操作。使用 Detective Investigation,您可以調查攻擊策略、不可能的旅程、標記的 IP 地址和調查結果群組。它會執行初步的安全調查步驟,並產生一份報告,反白顯示 Detective 所識別的風險,協助您瞭解安全事件並回應潛在事件。
**Topics**
+ [執行 Detective 調查](run-investigations.md)
+ [檢閱 Detective Investigations 報告](investigations-report.md)
+ [了解 Detective Investigations 報告](investigations-report-understand.md)
+ [Detective Investigations 報告摘要](investigations-summary.md)
+ [下載 Detective Investigations 報告](download-investigation.md)
+ [封存 Detective Investigations 報告](archive-investigation.md)
# 執行 Detective 調查
使用**執行調查**來分析 IAM 使用者和 IAM 角色等資源,並產生調查報告。產生的報告詳細說明指出潛在入侵的異常行為。
------
#### [ Console ]
請依照下列步驟,使用 Amazon Detective 主控台從調查**頁面執行 Detective 調查**。
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在導覽窗格中,選擇**調查**。
1. 在**調查**頁面中,選擇右上角的**執行調查**。
1. 在**選取資源**區段中,您有三種方式可執行調查。您可以選擇對 Detective 建議的資源執行調查。您可以針對特定資源執行調查。您也可以從 Detective 搜尋頁面調查資源。
1. `Choose a recommended resource` – Detective 會根據其在問題清單和問題清單群組中的活動來建議資源。若要對 Detective 建議的資源執行調查,請在**建議資源**資料表中選取要調查的資源。
建議的資源表提供了下列詳細資訊:
+ **資源 ARN** – AWS 資源的 Amazon Resource Name (ARN)。
+ **調查原因**:顯示調查資源的主要原因。Detective 建議調查資源的原因如下:
+ 如果資源在過去 24 小時內涉及「高嚴重性」調查結果。
+ 如果資源在過去 7 天內涉及所觀察的調查結果群組。Detective 調查結果群組可讓您檢查與潛在安全事件相關的多項活動。如需詳細資訊,請參閱[分析調查結果群組](groups-about.md)。
+ 如果資源在過去 7 天內涉及調查結果。
+ **最新調查結果**:最新調查結果為最高優先順序,會列在清單頂端。
+ **資源類型**:識別資源的類型。例如, AWS 使用者或 AWS 角色。
1. `Specify an AWS role or user with an ARN` – 您可以選取 AWS 角色或 AWS 使用者,並針對特定資源執行調查。
請依照下列步驟調查特定資源類型。
1. 從**選取資源類型**下拉式清單中,選擇 AWS 角色或 AWS 使用者。
1. 輸入 IAM 資源的資源 **ARN**。如需資源 ARNs 的詳細資訊,請參閱《IAM 使用者指南》中的 [Amazon Resource Name (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html)。
1. `Find a resource to investigate from the Search page` – 您可以從 Detective 搜尋頁面**搜尋**所有 IAM 資源。
請依照下列步驟,從搜尋頁面調查資源。
1. 在導覽窗格中,選擇**搜尋**。
1. 在搜尋頁面中,搜尋 IAM 資源。
1. 導覽至資源的設定檔頁面,然後從該處執行調查。
1. 在**調查範圍時間**區段中,選擇調查**的範圍時間**,以評估所選資源的活動。您可以選取**開始日期**和**開始時間**,以及**結束日期**和**結束時間** (UTC 格式)。已選取範圍時間範圍最少可介於 3 小時至最多 30 天之間。
1. 選擇**執行調查**。
------
#### [ API ]
若要以程式設計方式執行調查,請使用 Detective API 的 [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html) 操作。若要使用 AWS Command Line Interface (AWS CLI) 執行調查,請執行 [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html) 命令。
在您的請求中,使用這些參數在 Detective 中執行調查:
+ `GraphArn`:指定行為圖形的 Amazon Resource Name (ARN)。
+ `EntityArn`:指定 IAM 使用者和 IAM 角色的唯一 Amazon Resource Name (ARN)。
+ `ScopeStartTime`:(選用) 指定應開始調查的資料和時間。此值為 UTC ISO8601 格式的字串。例如,` 2021-08-18T16:35:56.284Z`。
+ `ScopeEndTime`:(選用) 指定應結束調查的資料和時間。此值為 UTC ISO8601 格式的字串。例如,` 2021-08-18T16:35:56.284Z`。
此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
--entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z
--scope-end-time 2023-09-28T22:00:00.00Z
```
------
您也可以從 Detective 的下列頁面執行調查:
+ Detective 中的 IAM 使用者或 IAM 角色設定檔頁面。
+ 調查結果群組的圖形視覺化窗格。
+ 所涉及資源的動作欄。
+ 調查結果頁面上的 IAM 使用者或 IAM 角色。
Detective 執行資源的調查之後,就會產生調查報告。若要存取報告,請從導覽窗格前往**調查**。
# 檢閱 Detective Investigations 報告
透過調查報告,您可針對先前在 Detective 中執行的調查,檢閱產生的**報告**。
若要檢閱調查報告
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在導覽窗格中,選擇**調查**。
注意調查報告中的以下屬性。
+ **ID**:產生的調查報告識別符。您可以選擇此 **ID** 來讀取調查報告的摘要,其中包含調查的詳細資訊。
+ **狀態**:每項調查都會根據調查的完成狀態與**狀態**相關聯。狀態值可以為**進行中**、**成功**或**失敗**。
+ **嚴重性**:每項調查都會指派**嚴重性**。Detective 會自動指派調查結果的嚴重性。
嚴重性代表在指定範圍時間內對單一資源的調查所分析的處理方式。調查報告的嚴重性並不暗示或以其他方式表示受影響資源對您的組織可能具有的嚴重性或重要性。
調查嚴重性數值為**嚴重**、**高**、**中**、**低**或**資訊** (嚴重性從高到低排序)。
指派為嚴重或高嚴重性值的調查應優先進行進一步檢查,因為此類調查更有可能代表 Detective 所發現的高影響安全問題。
+ **實體**:**實體**欄位包含調查中偵測到的特定實體的詳細資訊。有些實體是 AWS 帳戶,例如使用者和角色。
+ **狀態**:**建立**日期欄位包含有關首次建立調查報告日期和時間的詳細資訊。
# 了解 Detective Investigations 報告
Detective Investigations 報告會列出指出入侵的不常見行為或惡意活動的摘要。它還會列出 Detective 建議減輕安全風險的建議。
若要檢視特定調查 ID 的調查報告。
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在導覽窗格中,選擇**調查**。
1. 在**報告**資料表中,選取調查 **ID**。
![\[透過調查報告,您可針對先前在 Detective 中執行的調查,檢閱產生的報告。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/detective-investigations-report.png)
Detective 會針對已選取**範圍**時間和**使用者**產生報告。此報告包含**入侵指標**區段,其中包含有關以下一或多個入侵指標的詳細資訊。當您檢閱每個入侵指標時,可以選擇要深入檢視的項目,並檢閲其詳細資訊。
+ **政策。技術和程序**:識別潛在安全事件中使用的政策、技術和程序 (TTP)。MITRE ATT&CK 框架用於理解 TTP。政策以[適用於企業的 ATT&CK 矩陣](https://attack.mitre.org/matrices/enterprise/)為基礎。
+ **威脅情報已標記的 IP 地址**:可疑 IP 地址會根據 Detective 威脅情報標記和識別為嚴重或嚴重威脅。
+ **不現實的歷程**:檢測並識別帳戶中異常和不現實的使用者活動。例如,該指標列出了短時間跨度內使用者從源到目的地位置之間的劇烈變化。
+ **相關調查結果群組**:顯示與潛在安全事件相關的多個活動。Detective 使用圖表分析技術,可推斷調查結果與實體之間的關係,並將它們合併分組為調查結果群組。
+ **相關調查結果**:與潛在安全事件相關聯的相關活動。列出連線至資源或調查結果群組的所有不同類別證據。
+ **新地理位置**:在資源或帳戶層級識別使用的新地理位置。例如,此指標會根據先前的使用者活動列出觀察到的地理位置,該地理位置為罕見或未使用的位置。
+ **新增使用者代理程式**:在資源或帳戶層級識別使用的新使用者代理程式。
+ **新增 ASO**:在資源或帳戶層級識別使用的新自治系統組織 (ASO)。例如,該指標會列出指派為 ASO 的新組織。
# Detective Investigations 報告摘要
調查摘要突出反白顯示已選取範圍時間內需要注意的異常指標。使用摘要,您可以更快速地識別潛在安全問題的根本原因,識別模式,並了解受安全事件影響的資源。
您可以在詳細調查報告摘要中檢視以下詳細資訊。
**調查概觀**
在**概觀**面板中,您可以查看具有高嚴重性活動的 IP 視覺化,這可以為攻擊者的途徑提供更多內容。
Detective 反白顯示調查中的**異常活動**,例如 IAM 使用者從來源到遠方目的地不可能的行程。
Detective 將調查映射到潛在安全事件中使用的政策、技術和程序 (TTP)。MITRE ATT&CK 框架用於理解 TTP。政策以[適用於企業的 ATT&CK 矩陣](https://attack.mitre.org/matrices/enterprise/)為基礎。
**調查指標**
您可以使用**指標**窗格中的資訊,判斷 AWS 資源是否涉及可能指出惡意行為及其影響的異常活動。入侵指標 (IOC) 指在網路、系統或環境中或在網路、系統或環境上觀察到的成品,可以 (具有高可信度) 識別惡意活動或安全事件。
# 下載 Detective Investigations 報告
您可以下載 JSON 格式的 Detective Investigations 報告,進一步分析報告,或將其存放在您偏好的儲存解決方案,例如 Amazon S3 儲存貯體。
**若要從報告資料表中下載調查報告。**
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在導覽窗格中,選擇**調查**。
1. 從**報告**資料表中選取調查,然後選擇**下載**。
**若要從摘要頁面下載調查報告。**
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在導覽窗格中,選擇**調查**。
1. 從**報告**資料表中選取調查。
1. 在調查摘要頁面中,選擇**下載**。
# 封存 Detective Investigations 報告
當您在 Amazon Detective 中完成調查後,您可以**存檔**調查報告。已封存的調查表示您已完成檢閱調查。
只有當您是 Detective 管理員時,才能封存或取消封存調查。Detective 會為您的已封存調查提供 90 天的儲存期間。
**若要封存報告資料表中的調查報告。**
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在導覽窗格中,選擇**調查**。
1. 從**報告**資料表中選取調查,然後選擇**封存**。
**若要從摘要頁面封存調查報告。**
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 在導覽窗格中,選擇**調查**。
1. 從**報告**資料表中選取調查。
1. 在調查摘要頁面中,選擇**封存**。