本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 執行 Detective 調查 使用**執行調查**來分析 IAM 使用者和 IAM 角色等資源,並產生調查報告。產生的報告詳細說明指出潛在入侵的異常行為。 ------ #### [ Console ] 請依照下列步驟,使用 Amazon Detective 主控台從調查**頁面執行 Detective 調查**。 1. 登入 AWS 管理主控台。然後前往 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/) 開啟 Detective 主控台。 1. 在導覽窗格中,選擇**調查**。 1. 在**調查**頁面中,選擇右上角的**執行調查**。 1. 在**選取資源**區段中,您有三種方式可執行調查。您可以選擇對 Detective 建議的資源執行調查。您可以針對特定資源執行調查。您也可以從 Detective 搜尋頁面調查資源。 1. `Choose a recommended resource` – Detective 會根據其在問題清單和問題清單群組中的活動來建議資源。若要對 Detective 建議的資源執行調查,請在**建議資源**資料表中選取要調查的資源。 建議的資源表提供了下列詳細資訊: + **資源 ARN** – AWS 資源的 Amazon Resource Name (ARN)。 + **調查原因**:顯示調查資源的主要原因。Detective 建議調查資源的原因如下: + 如果資源在過去 24 小時內涉及「高嚴重性」調查結果。 + 如果資源在過去 7 天內涉及所觀察的調查結果群組。Detective 調查結果群組可讓您檢查與潛在安全事件相關的多項活動。如需詳細資訊,請參閱[分析調查結果群組](groups-about.md)。 + 如果資源在過去 7 天內涉及調查結果。 + **最新調查結果**:最新調查結果為最高優先順序,會列在清單頂端。 + **資源類型**:識別資源的類型。例如, AWS 使用者或 AWS 角色。 1. `Specify an AWS role or user with an ARN` – 您可以選取 AWS 角色或 AWS 使用者,並針對特定資源執行調查。 請依照下列步驟調查特定資源類型。 1. 從**選取資源類型**下拉式清單中,選擇 AWS 角色或 AWS 使用者。 1. 輸入 IAM 資源的資源 **ARN**。如需資源 ARNs 的詳細資訊,請參閱《IAM 使用者指南》中的 [Amazon Resource Name (ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html)。 1. `Find a resource to investigate from the Search page` – 您可以從 Detective 搜尋頁面**搜尋**所有 IAM 資源。 請依照下列步驟,從搜尋頁面調查資源。 1. 在導覽窗格中,選擇**搜尋**。 1. 在搜尋頁面中,搜尋 IAM 資源。 1. 導覽至資源的設定檔頁面,然後從該處執行調查。 1. 在**調查範圍時間**區段中,選擇調查**的範圍時間**,以評估所選資源的活動。您可以選取**開始日期**和**開始時間**,以及**結束日期**和**結束時間** (UTC 格式)。已選取範圍時間範圍最少可介於 3 小時至最多 30 天之間。 1. 選擇**執行調查**。 ------ #### [ API ] 若要以程式設計方式執行調查,請使用 Detective API 的 [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html) 操作。若要使用 AWS Command Line Interface (AWS CLI) 執行調查,請執行 [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html) 命令。 在您的請求中,使用這些參數在 Detective 中執行調查: + `GraphArn`:指定行為圖形的 Amazon Resource Name (ARN)。 + `EntityArn`:指定 IAM 使用者和 IAM 角色的唯一 Amazon Resource Name (ARN)。 + `ScopeStartTime`:(選用) 指定應開始調查的資料和時間。此值為 UTC ISO8601 格式的字串。例如,` 2021-08-18T16:35:56.284Z`。 + `ScopeEndTime`:(選用) 指定應結束調查的資料和時間。此值為 UTC ISO8601 格式的字串。例如,` 2021-08-18T16:35:56.284Z`。 此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。 ``` aws detective start-investigation \ --graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z --scope-end-time 2023-09-28T22:00:00.00Z ``` ------ 您也可以從 Detective 的下列頁面執行調查: + Detective 中的 IAM 使用者或 IAM 角色設定檔頁面。 + 調查結果群組的圖形視覺化窗格。 + 所涉及資源的動作欄。 + 調查結果頁面上的 IAM 使用者或 IAM 角色。 Detective 執行資源的調查之後,就會產生調查報告。若要存取報告,請從導覽窗格前往**調查**。