本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 了解 Detective Investigations 報告 Detective Investigations 報告會列出指出入侵的不常見行為或惡意活動的摘要。它還會列出 Detective 建議減輕安全風險的建議。 若要檢視特定調查 ID 的調查報告。 1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。 1. 在導覽窗格中,選擇**調查**。 1. 在**報告**資料表中,選取調查 **ID**。 ![\[透過調查報告,您可針對先前在 Detective 中執行的調查,檢閱產生的報告。\]](http://docs.aws.amazon.com/zh_tw/detective/latest/userguide/images/detective-investigations-report.png) Detective 會針對已選取**範圍**時間和**使用者**產生報告。此報告包含**入侵指標**區段,其中包含有關以下一或多個入侵指標的詳細資訊。當您檢閱每個入侵指標時,可以選擇要深入檢視的項目,並檢閲其詳細資訊。 + **政策。技術和程序**:識別潛在安全事件中使用的政策、技術和程序 (TTP)。MITRE ATT&CK 框架用於理解 TTP。政策以[適用於企業的 ATT&CK 矩陣](https://attack.mitre.org/matrices/enterprise/)為基礎。 + **威脅情報已標記的 IP 地址**:可疑 IP 地址會根據 Detective 威脅情報標記和識別為嚴重或嚴重威脅。 + **不現實的歷程**:檢測並識別帳戶中異常和不現實的使用者活動。例如,該指標列出了短時間跨度內使用者從源到目的地位置之間的劇烈變化。 + **相關調查結果群組**:顯示與潛在安全事件相關的多個活動。Detective 使用圖表分析技術,可推斷調查結果與實體之間的關係,並將它們合併分組為調查結果群組。 + **相關調查結果**:與潛在安全事件相關聯的相關活動。列出連線至資源或調查結果群組的所有不同類別證據。 + **新地理位置**:在資源或帳戶層級識別使用的新地理位置。例如,此指標會根據先前的使用者活動列出觀察到的地理位置,該地理位置為罕見或未使用的位置。 + **新增使用者代理程式**:在資源或帳戶層級識別使用的新使用者代理程式。 + **新增 ASO**:在資源或帳戶層級識別使用的新自治系統組織 (ASO)。例如,該指標會列出指派為 ASO 的新組織。