本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Detective 調查
<a name="investigations-about"></a>

您可以使用 Amazon Detective Investigation，使用入侵指標調查 IAM 使用者和 IAM 角色，這可協助您判斷資源是否涉及安全事件。入侵指標 (IOC) 指在網路、系統或環境中或在網路、系統或環境上觀察到的成品，可以 (具有高可信度) 識別惡意活動或安全事件。透過 Detective Investigations，您可以最大化效率、專注於安全威脅，並強化事件回應功能。

Detective Investigation 使用機器學習模型和威脅情報自動分析 AWS 環境中的資源，以識別潛在的安全事件。透過該調查，您可主動有效且高效地使用以 Detective 行為圖表為基礎的自動化功能來改善安全操作。使用 Detective Investigation，您可以調查攻擊策略、不可能的旅程、標記的 IP 地址和調查結果群組。它會執行初步的安全調查步驟，並產生一份報告，反白顯示 Detective 所識別的風險，協助您瞭解安全事件並回應潛在事件。

**Topics**
+ [執行 Detective 調查](run-investigations.md)
+ [檢閱 Detective Investigations 報告](investigations-report.md)
+ [了解 Detective Investigations 報告](investigations-report-understand.md)
+ [Detective Investigations 報告摘要](investigations-summary.md)
+ [下載 Detective Investigations 報告](download-investigation.md)
+ [封存 Detective Investigations 報告](archive-investigation.md)

# 執行 Detective 調查
<a name="run-investigations"></a>

使用**執行調查**來分析 IAM 使用者和 IAM 角色等資源，並產生調查報告。產生的報告詳細說明指出潛在入侵的異常行為。

------
#### [ Console ]

請依照下列步驟，使用 Amazon Detective 主控台從調查**頁面執行 Detective 調查**。

1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。

1. 在導覽窗格中，選擇**調查**。

1. 在**調查**頁面中，選擇右上角的**執行調查**。

1. 在**選取資源**區段中，您有三種方式可執行調查。您可以選擇對 Detective 建議的資源執行調查。您可以針對特定資源執行調查。您也可以從 Detective 搜尋頁面調查資源。

   1. `Choose a recommended resource` – Detective 會根據其在問題清單和問題清單群組中的活動來建議資源。若要對 Detective 建議的資源執行調查，請在**建議資源**資料表中選取要調查的資源。

      建議的資源表提供了下列詳細資訊：
      + **資源 ARN** – AWS 資源的 Amazon Resource Name (ARN)。
      + **調查原因**：顯示調查資源的主要原因。Detective 建議調查資源的原因如下：
        + 如果資源在過去 24 小時內涉及「高嚴重性」調查結果。
        + 如果資源在過去 7 天內涉及所觀察的調查結果群組。Detective 調查結果群組可讓您檢查與潛在安全事件相關的多項活動。如需詳細資訊，請參閱[分析調查結果群組](groups-about.md)。
        + 如果資源在過去 7 天內涉及調查結果。
      + **最新調查結果**：最新調查結果為最高優先順序，會列在清單頂端。
      + **資源類型**：識別資源的類型。例如， AWS 使用者或 AWS 角色。

   1. `Specify an AWS role or user with an ARN` – 您可以選取 AWS 角色或 AWS 使用者，並針對特定資源執行調查。

      請依照下列步驟調查特定資源類型。

      1. 從**選取資源類型**下拉式清單中，選擇 AWS 角色或 AWS 使用者。

      1. 輸入 IAM 資源的資源 **ARN**。如需資源 ARNs 的詳細資訊，請參閱《IAM 使用者指南》中的 [Amazon Resource Name (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html)。

   1. `Find a resource to investigate from the Search page` – 您可以從 Detective 搜尋頁面**搜尋**所有 IAM 資源。

      請依照下列步驟，從搜尋頁面調查資源。

      1. 在導覽窗格中，選擇**搜尋**。

      1. 在搜尋頁面中，搜尋 IAM 資源。

      1. 導覽至資源的設定檔頁面，然後從該處執行調查。

1. 在**調查範圍時間**區段中，選擇調查**的範圍時間**，以評估所選資源的活動。您可以選取**開始日期**和**開始時間**，以及**結束日期**和**結束時間** (UTC 格式)。已選取範圍時間範圍最少可介於 3 小時至最多 30 天之間。

1. 選擇**執行調查**。

------
#### [ API ]

若要以程式設計方式執行調查，請使用 Detective API 的 [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html) 操作。若要使用 AWS Command Line Interface (AWS CLI) 執行調查，請執行 [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html) 命令。

在您的請求中，使用這些參數在 Detective 中執行調查：
+ `GraphArn`：指定行為圖形的 Amazon Resource Name (ARN)。
+ `EntityArn`：指定 IAM 使用者和 IAM 角色的唯一 Amazon Resource Name (ARN)。
+ `ScopeStartTime`：(選用) 指定應開始調查的資料和時間。此值為 UTC ISO8601 格式的字串。例如，` 2021-08-18T16:35:56.284Z`。
+ `ScopeEndTime`：(選用) 指定應結束調查的資料和時間。此值為 UTC ISO8601 格式的字串。例如，` 2021-08-18T16:35:56.284Z`。

此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z
```

------

您也可以從 Detective 的下列頁面執行調查：
+ Detective 中的 IAM 使用者或 IAM 角色設定檔頁面。
+ 調查結果群組的圖形視覺化窗格。
+ 所涉及資源的動作欄。
+ 調查結果頁面上的 IAM 使用者或 IAM 角色。

Detective 執行資源的調查之後，就會產生調查報告。若要存取報告，請從導覽窗格前往**調查**。

# 檢閱 Detective Investigations 報告
<a name="investigations-report"></a>

透過調查報告，您可針對先前在 Detective 中執行的調查，檢閱產生的**報告**。

若要檢閱調查報告

1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。

1. 在導覽窗格中，選擇**調查**。

注意調查報告中的以下屬性。
+ **ID**：產生的調查報告識別符。您可以選擇此 **ID** 來讀取調查報告的摘要，其中包含調查的詳細資訊。
+ **狀態**：每項調查都會根據調查的完成狀態與**狀態**相關聯。狀態值可以為**進行中**、**成功**或**失敗**。
+ **嚴重性**：每項調查都會指派**嚴重性**。Detective 會自動指派調查結果的嚴重性。

  嚴重性代表在指定範圍時間內對單一資源的調查所分析的處理方式。調查報告的嚴重性並不暗示或以其他方式表示受影響資源對您的組織可能具有的嚴重性或重要性。

  調查嚴重性數值為**嚴重**、**高**、**中**、**低**或**資訊** (嚴重性從高到低排序)。

  指派為嚴重或高嚴重性值的調查應優先進行進一步檢查，因為此類調查更有可能代表 Detective 所發現的高影響安全問題。
+ **實體**：**實體**欄位包含調查中偵測到的特定實體的詳細資訊。有些實體是 AWS 帳戶，例如使用者和角色。
+ **狀態**：**建立**日期欄位包含有關首次建立調查報告日期和時間的詳細資訊。

# 了解 Detective Investigations 報告
<a name="investigations-report-understand"></a>

Detective Investigations 報告會列出指出入侵的不常見行為或惡意活動的摘要。它還會列出 Detective 建議減輕安全風險的建議。

若要檢視特定調查 ID 的調查報告。

1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。

1. 在導覽窗格中，選擇**調查**。

1. 在**報告**資料表中，選取調查 **ID**。

![\[透過調查報告，您可針對先前在 Detective 中執行的調查，檢閱產生的報告。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/detective-investigations-report.png)


Detective 會針對已選取**範圍**時間和**使用者**產生報告。此報告包含**入侵指標**區段，其中包含有關以下一或多個入侵指標的詳細資訊。當您檢閱每個入侵指標時，可以選擇要深入檢視的項目，並檢閲其詳細資訊。
+ **政策。技術和程序**：識別潛在安全事件中使用的政策、技術和程序 (TTP)。MITRE ATT&CK 框架用於理解 TTP。政策以[適用於企業的 ATT&CK 矩陣](https://attack.mitre.org/matrices/enterprise/)為基礎。
+ **威脅情報已標記的 IP 地址**：可疑 IP 地址會根據 Detective 威脅情報標記和識別為嚴重或嚴重威脅。
+ **不現實的歷程**：檢測並識別帳戶中異常和不現實的使用者活動。例如，該指標列出了短時間跨度內使用者從源到目的地位置之間的劇烈變化。
+ **相關調查結果群組**：顯示與潛在安全事件相關的多個活動。Detective 使用圖表分析技術，可推斷調查結果與實體之間的關係，並將它們合併分組為調查結果群組。
+ **相關調查結果**：與潛在安全事件相關聯的相關活動。列出連線至資源或調查結果群組的所有不同類別證據。
+ **新地理位置**：在資源或帳戶層級識別使用的新地理位置。例如，此指標會根據先前的使用者活動列出觀察到的地理位置，該地理位置為罕見或未使用的位置。
+ **新增使用者代理程式**：在資源或帳戶層級識別使用的新使用者代理程式。
+ **新增 ASO**：在資源或帳戶層級識別使用的新自治系統組織 (ASO)。例如，該指標會列出指派為 ASO 的新組織。

# Detective Investigations 報告摘要
<a name="investigations-summary"></a>

調查摘要突出反白顯示已選取範圍時間內需要注意的異常指標。使用摘要，您可以更快速地識別潛在安全問題的根本原因，識別模式，並了解受安全事件影響的資源。

您可以在詳細調查報告摘要中檢視以下詳細資訊。

**調查概觀**

在**概觀**面板中，您可以查看具有高嚴重性活動的 IP 視覺化，這可以為攻擊者的途徑提供更多內容。

Detective 反白顯示調查中的**異常活動**，例如 IAM 使用者從來源到遠方目的地不可能的行程。

Detective 將調查映射到潛在安全事件中使用的政策、技術和程序 (TTP)。MITRE ATT&CK 框架用於理解 TTP。政策以[適用於企業的 ATT&CK 矩陣](https://attack.mitre.org/matrices/enterprise/)為基礎。

**調查指標**

您可以使用**指標**窗格中的資訊，判斷 AWS 資源是否涉及可能指出惡意行為及其影響的異常活動。入侵指標 (IOC) 指在網路、系統或環境中或在網路、系統或環境上觀察到的成品，可以 (具有高可信度) 識別惡意活動或安全事件。

# 下載 Detective Investigations 報告
<a name="download-investigation"></a>

您可以下載 JSON 格式的 Detective Investigations 報告，進一步分析報告，或將其存放在您偏好的儲存解決方案，例如 Amazon S3 儲存貯體。

**若要從報告資料表中下載調查報告。**

1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。

1. 在導覽窗格中，選擇**調查**。

1. 從**報告**資料表中選取調查，然後選擇**下載**。

**若要從摘要頁面下載調查報告。**

1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。

1. 在導覽窗格中，選擇**調查**。

1. 從**報告**資料表中選取調查。

1. 在調查摘要頁面中，選擇**下載**。

# 封存 Detective Investigations 報告
<a name="archive-investigation"></a>

當您在 Amazon Detective 中完成調查後，您可以**存檔**調查報告。已封存的調查表示您已完成檢閱調查。

只有當您是 Detective 管理員時，才能封存或取消封存調查。Detective 會為您的已封存調查提供 90 天的儲存期間。

**若要封存報告資料表中的調查報告。**

1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。

1. 在導覽窗格中，選擇**調查**。

1. 從**報告**資料表中選取調查，然後選擇**封存**。

**若要從摘要頁面封存調查報告。**

1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。

1. 在導覽窗格中，選擇**調查**。

1. 從**報告**資料表中選取調查。

1. 在調查摘要頁面中，選擇**封存**。