本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Detective 入門
本教學課程提供 Amazon Detective 的簡介。您將了解如何為 AWS 您的帳戶啟用 Detective。您也將了解如何驗證 Detective 是否已開始將資料從 AWS 您的帳戶擷取並擷取至您的行為圖表。
當您啟用 Amazon Detective 時,Detective 會建立區域特定行為圖表,該圖表將您的帳戶作為其管理員帳戶。初始情況下,該帳戶是行為圖表中的唯一帳戶。然後,管理員帳戶可以邀請其他 AWS 帳戶將其資料貢獻至行為圖表。請參閱 [在 Detective 中管理帳戶](accounts.md)。
首次在區域中啟用 Detective 也會開始為行為圖表提供 30 天的免費試用。如果該帳戶停用了 Detective,然後再次啟用時,則不提供免費試用。請參閱 [關於行為圖表的免費試用](free-trial-overview.md)。
免費試用之後,會根據行為圖表中各個帳戶所提供的資料,向帳戶進行收費。管理員帳戶可以追蹤用量,並查看其整個行為圖表常規 30 天期間的總預計成本。如需詳細資訊,請參閱 [監控 Detective 管理員帳戶的使用情況](usage-tracking-admin.md)。成員帳戶可以追蹤其所屬行為圖表的用量和預計成本。如需詳細資訊,請參閱[監控 Detective 會員帳戶的使用情況](member-usage-tracking.md)。
**Topics**
+ [設定 AWS 您的帳戶](detective-before-you-begin.md)
+ [啟用 Detective 的先決條件](detective-prerequisites.md)
+ [啟用 Detective 的建議](detective-recommendations.md)
+ [啟用 Detective](detective-enabling.md)
# 設定 AWS 您的帳戶
在啟用 Amazon Detective 之前,您必須具備 AWS 帳戶. 如果您沒有 AWS 帳戶,請完成下列步驟來建立帳戶。
## 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
## 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
# 啟用 Detective 的先決條件
在啟用 Detective 之前,請確定符合下列要求。
## 授予必要的 Detective 許可
啟用 Detective 之前,您必須確定 IAM 主體擁有必要的 Detective 許可。主體可以是您正在使用的現有使用者或角色,也可以建立新使用者或角色以用於 Detective。
當您註冊 Amazon Web Services (AWS) 時,您的帳戶會自動註冊所有 AWS 服務服務,包括 Amazon Detective。但若要啟用和使用 Detective,您首先必須設定許可來允許存取 Amazon Detective 主控台和 API 操作。您或您的管理員可以使用 AWS Identity and Access Management (IAM) 將[`AmazonDetectiveFullAccess`受管政策](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectivefullaccess)連接至您的 IAM 主體,以授予所有 Detective 動作的存取權。如果沒有這些 IAM 許可,您可以在 AWS 主控台中檢視 **Detective 入門**頁面。因此,在新增這些許可之前,主控台不會顯示任何作用中圖形,即使服務已啟用。
## 支援的 AWS Command Line Interface 版本
若要使用 AWS CLI 執行 Detective 任務,最低必要版本為 1.16.303。
# 啟用 Detective 的建議
在啟用 Detective 之前,請考慮遵循這些建議
## 建議與 GuardDuty 和 對齊 AWS Security Hub CSPM
如果您已註冊 GuardDuty AWS Security Hub CSPM,我們建議您的帳戶是這些服務的管理員帳戶。如果這三項服務的管理員帳戶都相同,則以下整合點可順暢運作。
+ 在 GuardDuty 或 Security Hub CSPM 中,檢視 GuardDuty 調查結果的詳細資訊時,您可以從調查結果詳細資訊轉向 Detective 調查結果設定檔。
+ 在 Detective 中,調查 GuardDuty 調查結果時,您可以選擇封存該調查結果的選項。
如果您的 GuardDuty 和 Security Hub CSPM 有不同的管理員帳戶,我們建議您根據您更頻繁使用的服務來調整管理員帳戶。
+ 如果您更頻繁地使用 GuardDuty,請使用 GuardDuty 管理員帳戶啟用 Detective。
如果您使用 AWS Organizations 管理帳戶,請將 GuardDuty 管理員帳戶指定為組織的 Detective 管理員帳戶。
+ 如果您更頻繁地使用 Security Hub CSPM,請使用 Security Hub CSPM 管理員帳戶啟用 Detective。
如果您使用 Organizations 管理帳戶,請將 Security Hub CSPM 管理員帳戶指定為組織的 Detective 管理員帳戶。
如果您無法在所有服務中使用相同的管理員帳戶,則在啟用 Detective 之後,您可以選擇建立跨帳戶角色。此角色會授權管理員帳戶存取其他帳戶。
如需有關 IAM 如何支援此類角色的資訊,請參閱《[IAM 使用者指南》中的提供存取權給您擁有的另一個 AWS 帳戶中](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)的 *IAM* 使用者。
## 建議更新 GuardDuty CloudWatch 的通知頻率
在 GuardDuty 中,偵測器會以 Amazon CloudWatch 通知頻率進行設定,以便報告後續發生的調查結果。這包括發送通知給 Detective。
根據預設,頻率為六小時。這意味著即使調查結果重複出現多次,直到六個小時後,新事件才會反映在 Detective 中。
為了減少 Detective 接收此類更新所需的時間,我們建議 GuardDuty 管理員帳戶將其偵測器上的設定變更為 15 分鐘。請注意,變更組態並不會影響使用 GuardDuty 的成本。
如需設定通知頻率的相關資訊,請參閱《Amazon GuardDuty 使用者指南**》中的[使用 Amazon CloudWatch Events 監控 GuardDuty 調查結果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html)。
# 啟用 Detective
您可以從 Detective 主控台、Detective API 或 AWS Command Line Interface啟用 Detective。
每個區域中只能啟用一次 Detective。如果您已經是區域中行為圖表的管理員帳戶,則無法再次在該區域中啟用 Detective。
------
#### [ Console ]
**若要啟用 Detective (主控台)**
1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。
1. 選擇**開始使用**。
1. 在**啟用 Amazon Detective **頁面上,**對齊管理員帳戶 (建議使用)** 說明在 Detective 和 Amazon GuardDuty 和 AWS Security Hub CSPM之間對齊管理員帳戶的建議。請參閱 [建議與 GuardDuty 和 對齊 AWS Security Hub CSPM](detective-recommendations.md#recommended-service-alignment)。
1. **連接 IAM 政策**按鈕會將您直接導向 IAM 主控台,並開啟建議的政策。您可以選擇將建議的政策連接至您用於 Detective 的主體。如果您沒有在 IAM 主控台中操作的許可,您可以在**必要許可**內複製 Amazon Resource Name (ARN),將其提供給 IAM 管理員。他們可以代表您附加政策。
確認所需的 IAM 政策已就位。
1. 透過**新增標籤**區段,您可將標籤新增至行為圖表。
若要新增標籤,請執行以下操作:
1. 選擇 **Add new tag (新增標籤)**。
1. 針對**金鑰**,輸入標籤的名稱。
1. 針對**值**,輸入標籤值。
若要移除標籤,選擇該標籤的**移除**選項。
1. 選擇**啟用 Amazon Detective**。
1. 啟用 Detective 後,您可以邀請成員帳戶加入您的行為圖表。
若要導覽至**帳戶管理**頁面,選擇**立即新增成員**。如需邀請成員帳戶的相關資訊,請參閱 [在 Detective 中管理受邀成員帳戶](accounts-invited-members.md)。
------
#### [ Detective API, AWS CLI ]
您可以透過 Detective API 或 AWS Command Line Interface啟用 Amazon Detective。
**啟用 Detective (Detective API AWS CLI)**
+ **Detective API:**使用 [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateGraph.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateGraph.html) 操作。
+ **AWS CLI:**在命令列中執行 [https://docs.aws.amazon.com/cli/latest/reference/detective/create-graph.html](https://docs.aws.amazon.com/cli/latest/reference/detective/create-graph.html) 命令。
```
aws detective create-graph --tags '{"tagName": "tagValue"}'
```
以下指令會啟用 Detective,並將 `Department` 標籤值設定為 `Security`。
```
aws detective create-graph --tags '{"Department": "Security"}'
```
------
#### [ Python script on GitHub ]
您可以在 GitHub.Detective 在 GitHub 中提供開放原始碼指令碼,執行下列動作:
+ 為指定的區域清單中的管理員帳戶啟用 Detective
+ 將提供的成員帳戶清單新增至每個產生的行為圖表
+ 向成員帳戶發送邀請電子郵件
+ 自動接受成員帳戶的邀請
如需如何設定和使用 GitHub 指令碼的相關資訊,請參閱 [使用 Detective Python 指令碼來管理帳戶](detective-github-scripts.md)。
------
## 檢查 Detective 正在從 AWS 您的帳戶擷取資料
啟用 Detective 之後,它會開始從 AWS 您的帳戶擷取資料並擷取到您的行為圖表。
對於初始擷取,資料通常會在 2 小時內出現在行為圖表中。
檢查 Detective 是否擷取資料的一種方法是在 Detective **搜尋**頁面上尋找範例值。
**若要檢查搜尋頁面上的範例值**
1. 前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Amazon Detective 主控台。
1. 在導覽窗格中,選擇**搜尋**。
1. 從**選取類型**功能表中,選擇項目類型。
**資料中的範例**包含行為圖表資料中已選取類型的識別符範例集。
如果您可以看到範例值,則您知道系統正在提取資料並擷取到您的行為圖表中。