本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 直接導覽至實體設定檔或調查結果概觀
若要直接導覽至實體設定檔或 Amazon Detective 中的調查結果概觀,您可以使用以下其中一個選項。
+ 從 Amazon GuardDuty 或 中 AWS Security Hub CSPM,您可以從 GuardDuty 調查結果轉向對應的 Detective 調查結果設定檔。
+ 您可以組合識別調查結果或實體的 Detective URL,並設定要使用的範圍時間。
## 從 Amazon GuardDuty 或 樞紐至實體設定檔或調查結果概觀 AWS Security Hub CSPM
您可以從 Amazon GuardDuty 主控台導覽至與調查結果相關實體的實體設定檔。
從 GuardDuty 和 AWS Security Hub CSPM 主控台,您也可以導覽至調查結果概觀。這也提供了相關實體的實體設定檔連結。
此類連結有助於簡化調查程序。您可以快速使用 Detective 來查看關聯的實體活動並決定後續步驟。然後,您可以將調查結果封存為誤判,或進一步探索以判斷問題範圍。
### 如何錨定至 Amazon Detective 主控台
所有 GuardDuty 調查結果均可使用調查連結。透過 GuardDuty,您可以選擇是否導覽至實體設定檔或調查結果概觀。
**從 GuardDuty 主控台錨定至 Detective**
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
1. 如有必要,請在左側導覽窗格中選擇**調查結果**。
1. 在 GuardDuty **調查結果**頁面上,選擇調查結果。
調查結果詳細資訊窗格會顯示在調查結果清單的右側。
1. 從調查結果詳細資訊窗格中,選擇**在 Detective 中調查**。
GuardDuty 會顯示 Detective 中可用待調查項目清單。
此清單包含相關實體,例如 IP 地址或 EC2 執行個體以及調查結果。
1. 選擇實體或調查結果。
Detective 主控台會在新標籤中開啟。主控台會向實體或調查結果設定檔開啟。
如果您尚未啟用 Detective,則主控台會開啟提供 Detective 概觀的登陸頁面。您可以在此選擇啟用 Detective。
**從 Security Hub CSPM 主控台轉向 Detective**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 如有必要,請在左側導覽窗格中選擇**調查結果**。
1. 在 Security Hub CSPM **調查結果**頁面上,選擇 GuardDuty 調查結果。
1. 在詳細資訊窗格中,選擇**在 Detective 中調查**,然後選擇**調查結果**。
當您選擇**對調查結果進行調查**時,Detective 主控台會在新標籤中開啟。主控台會開啟並顯示調查結果概觀。
Detective 主控台一律會開啟至調查結果來源的區域,即使您從彙總區域進行錨定。如需調查結果彙總的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的[跨區域彙總調查結果](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。**
如果您尚未啟用 Detective,則主控台會開啟 Detective 登陸頁面。您可以在此啟用 Detective。
### 對錨定進行疑難排解。
若要使用錨定,必須符合以下條件:
+ 您的帳戶必須是 Detective 和您要從中錨定的服務的管理員帳戶。
+ 您已擔任跨帳戶角色,可授予您管理員帳戶對行為圖表的存取權。
如需有關建議對齊管理員帳戶的詳細資訊,請參閱[與 Amazon GuardDuty 和 的建議對齊 AWS Security Hub CSPM](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html#detective-recommendations)。
如果錨定不起作用,請檢查以下內容。
+ **調查結果是否屬於行為圖表中已啟用的成員帳戶?** 如果關聯帳戶未以成員帳戶的身份邀請加入行為圖表,則行為圖表不會包含該帳戶的資料。
如果受邀成員帳戶不接受邀請,則行為圖表不會包含該帳戶的資料。
+ **調查結果是否已封存?** Detective 未收到來自 GuardDuty 的封存調查結果。
+ **在 Detective 開始將資料擷取至行為圖表之前,該調查結果是否已出现?** 如果 Detective 所擷取的資料中無調查結果,則行為圖表不會包含該調查結果的資料。
+ **調查結果是否來自正確區域?** 每個行為圖表都針對一個區域。行為圖表不包含來自其他區域的資料。
## 透過 URL 導覽至實體設定檔或調查結果概觀
若要導覽至實體設定檔或在 Amazon Detective 中的調查結果概觀,您可以使用提供直接連結的 URL。URL 可識別調查結果或實體。它也可以指定要在設定檔上使用的範圍時間。Detective 可保存長達一年的歷史事件資料。
### 設定檔 URL 的格式
**注意**
如果您使用舊版 URL 格式,Detective 會自動重新導向至新 URL。舊版 URL 格式為:
https://console.aws.amazon.com/detective/home?region=*Region*\$1*type*/*namespace*/*instanceID*?*parameters*
設定檔 URL 的新版格式如下:
+ 針對實體:https://console.aws.amazon.com/detective/home?region=*Region*\$1*entities*/*namespace*/*instanceID*?*parameters*
+ 針對調查結果:https://console.aws.amazon.com/detective/home?region=*Region*\$1*findings*/*instanceID*?*parameters*
URL 需要以下值。
***區域***
您希望使用的區域。
***type***
您要導覽設定檔的項目類型。
+ `entities`:表示您正在瀏覽至實體設定檔
+ `findings`:表示您正在瀏覽至調查結果概觀
***命名空間***
針對實體,命名空間是實體類型的名稱。
+ `AwsAccount`
+ `AwsRole`
+ `AwsRoleSession`
+ `AwsUser`
+ `Ec2Instance`
+ `FederatedUser`
+ `IpAddress`
+ `S3Bucket`
+ `UserAgent`
+ `FindingGroup`
+ `KubernetesSubject`
+ `ContainerPod`
+ `ContainerCluster`
+ `ContainerImage`
***instanceID***
調查結果或實體的執行個體識別符。
+ 針對 GuardDuty 調查結果,則為 GuardDuty 調查結果識別符。
+ 若為 AWS 帳戶,則為 帳戶 ID。
+ 對於 AWS 角色和使用者,則為角色或使用者的主要 ID。
+ 若為聯合身分使用者,則為聯合身分使用者的主體 ID。主體 ID 為 `:` 或 `::`。
+ 針對 IP 地址,則為 IP 地址。
+ 針對使用者代理程式,則為使用者代理程式名稱。
+ 針對 EC2 執行個體,則為執行個體 ID。
+ 針對角色工作階段,則為角色工作階段識別符。工作階段識別符使用格式 ` :`。
+ 針對 S3 儲存貯體,則為儲存貯體名稱。
+ 針對調查項目群組,則為 UUID。例如:`ca6104bc-a315-4b15-bf88-1c1e60998f83`
+ 針對 EKS 資源,使用以下格式:
+ EKS 叢集:*\$1\$1EKS*
+ Kubernetes Pod:*\$1\$1\$1EKS*
+ Kubernetes 主體:*\$1\$1*
+ 容器映像:*/:@*
調查結果或實體必須與行為圖表中已啟用的帳戶相關聯。
URL 也可以包含以下選用參數,用於設定範圍時間。如需範圍時間及其在設定檔上使用方式的詳細資訊,請參閱 [管理範圍時間](scope-time-managing.md)。
**`scopeStart`**
在設定檔上使用的範圍時間的開始時間。開始時間必須在過去 365 天內。
該值是紀元時間戳記。
如果您提供了開始時間,但未提供結束時間,則範圍時間會在目前時間結束。
**`scopeEnd`**
在設定檔上使用的範圍時間的結束時間。
該值是紀元時間戳記。
如果您提供了結束時間,但未提供開始時間,則範圍時間會包含結束時間之前的所有時間。
如果您未指定範圍時間,則系統會使用預設的範圍時間。
+ 針對調查結果,預設範圍時間會使用觀察到調查結果活動的首次和末次時間。
+ 針對實體,預設範圍時間為前 24 小時。
以下是 Detective URL 的範例:
`https://console.aws.amazon.com/detective/home?region=us-east-1#entities/IpAddress/192.168.1.1?scopeStart=1552867200&scopeEnd=1552910400`
該範例 URL 提供以下指示。
+ 顯示 IP 地址 192.168.1 的實體設定檔。
+ 使用 2019 年 3 月 18 日星期一上午 12:00:00 GMT 開始至 2019 年 3 月 18 日星期一下午 12:00:00 GMT 結束的範圍時間。
### URL 疑難排解
如果 URL 未顯示預期的設定檔,請先檢查 URL 是否使用了正確的格式,以及您是否提供了正確的值。
+ 您是否使用了正確的 URL (`findings` 或 `entities`)?
+ 您是否指定了正確的命名空間?
+ 您是否提供了正確的識別符?
如果值正確,則還可以檢查以下內容。
+ **調查結果或實體是否屬於行為圖表中已啟用的成員帳戶?** 如果關聯帳戶未以成員帳戶的身份邀請加入行為圖表,則行為圖表不會包含該帳戶的資料。
如果受邀成員帳戶不接受邀請,則行為圖表不會包含該帳戶的資料。
+ **針對某一調查結果,是否對其封存?** Detective 未收到來自 Amazon GuardDuty 的封存調查結果。
+ **在 Detective 開始將資料擷取至行為圖表之前,該调查結果或實體是否已出现?** 如果 Detective 所擷取的資料中無調查結果或實體,則行為圖表不會包含該調查結果的資料。
+ **調查結果或實體是否來自正確區域?** 每個行為圖表都針對一個區域。行為圖表不包含來自其他區域的資料。
## 向 Splunk 新增 Detective 調查結果的 URL
Splunk Trumpet 專案可讓您將資料從 AWS 服務傳送至 Splunk。
您可以設定 Trumpet 專案,以產生 Amazon GuardDuty 調查結果的 Detective URL。然後,您可以使用此類 URL 直接從 Splunk 轉換到相應的 Detective 調查結果設定檔。
Trumpet 專案可以從 GitHub 上透過以下網址找到:[https://github.com/splunk/splunk-aws-project-trumpet](https://github.com/splunk/splunk-aws-project-trumpet)。
在 Trumpet 專案的設定頁面上,從 **AWS CloudWatch 事件**中,選擇 **Detective GuardDuty URL**。