本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 什麼是 Amazon Detective？
<a name="what-is-detective"></a>

Amazon Detective 會協助您分析、調查並快速識別安全調查結果或可疑活動的根本原因。Detective 會自動從您的AWS資源收集日誌資料。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化內容，協助您更快地進行有效率的安全調查。Detective 提供預先建置的資料彙總、摘要和內容，可協助您快速分析並判斷潛在安全問題的本質和範圍。

使用 Detective，您可以訪問長達一年的歷史事件資料。此資料可透過一組視覺化取得，視覺化可顯示已選取時間範圍內活動類型和數目的變化。Detective 將此類變更連結至 GuardDuty 調查結果。如需 Detective 中來源資料的詳細資訊，請參閱 [Detective 行為圖表中使用的來源資料](detective-source-data-about.md)。

透過自動彙總資料並提供視覺化工具，Amazon Detective 可讓您更快、更有效率地進行安全調查。您可以快速分析潛在問題，並判斷安全威脅的範圍。

**Topics**
+ [Amazon Detective 的功能](#detective-features)
+ [存取 Amazon Detective](#accessing-detective)
+ [Amazon Detective 定價](#detective-pricing)
+ [Detective 如何運作？](#detective-how-works)
+ [誰在使用 Detective？](#detective-who-uses)
+ [相關服務](#detective-related-services)

## Amazon Detective 的功能
<a name="detective-features"></a>

以下是 Amazon Detective 有助於調查AWS環境中可疑活動和分析資源以識別安全問題根本原因的一些重要方式。

**Detective 調查結果群組**  
[Detective 調查結果群組](https://docs.aws.amazon.com//detective/latest/userguide/groups-about.html)可讓您檢查與潛在安全事件相關的多個活動。您可以使用調查結果群組來分析高嚴重性 GuardDuty 調查結果的根本原因。如果威脅行為者嘗試入侵您的AWS環境，他們通常會執行一系列動作，產生多個安全調查結果和異常行為。  
Detective 中的調查結果群組頁面會顯示從您的行為圖表擷取的所有相關調查結果群組。如需如何利用調查結果群組來分析安全調查結果根本原因的詳細資訊，請參閱 [Detective 中的分析調查結果群組](https://docs.aws.amazon.com//detective/latest/userguide/understanding-groups.html)。  
Detective 提供每個調查結果群組的互動式視覺化，協助您更快速且更徹底地調查安全問題。視覺化旨在顯示與安全事件相關的實體和調查結果，讓您更輕鬆地了解連線和根本原因。 可協助您更快速、更徹底地調查問題，而不需費力。[問題清單群組視覺化](https://docs.aws.amazon.com//detective/latest/userguide/group-visual-finding-group.html)面板會顯示問題清單群組中涉及的問題清單和實體。

**分類問題清單的偵測調查**  
透過 [Detective 調查](https://docs.aws.amazon.com//detective/latest/userguide/investigations-about.html)，您可以使用入侵指標調查 IAM 使用者和 IAM 角色，這可協助您判斷資源是否涉及安全事件。入侵指標 (IOC) 指在網路、系統或環境中或在網路、系統或環境上觀察到的成品，可以 (具有高可信度) 識別惡意活動或安全事件。透過 Detective 調查，您可以最大化效率、專注於安全威脅，並強化事件回應功能。  
Detective Investigation 使用機器學習模型和威脅情報，僅顯示最關鍵、可疑的問題，讓您專注於高階調查。它會自動分析您AWS環境中的資源，以識別入侵或可疑活動的潛在指標。這可讓您識別模式，並了解哪些資源受到安全事件的影響，提供主動的威脅識別和緩解方法。  
您可以透過執行 Detective 調查，從 Detective 主控台啟動 [Detective 調查](https://docs.aws.amazon.com/)。若要以程式設計方式執行調查，請使用 Detective API 的 [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html) 操作。若要使用AWS Command Line Interface(AWS CLI) 執行調查，請執行 [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html) 命令。

**Detective 與 Amazon Security Lake 整合**  
[Detective 與 Amazon Security Lake 整合](https://docs.aws.amazon.com//detective/latest/userguide/securitylake-integration.html)，這表示您可以查詢和擷取 Security Lake 存放的原始日誌資料。透過此整合，您可以從 Security Lake 原生支援的下列來源收集日誌和事件。  
+ AWS CloudTrail管理事件 1.0 版及更新版本
+ Amazon Virtual Private Cloud (Amazon VPC) 流程日誌 1.0 版及更新版本
+ Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌 2.0 版
將 Detective 與 Security Lake 整合之後，Detective 會開始從 Security Lake 提取與AWS CloudTrail管理事件和 Amazon VPC 流程日誌相關的原始日誌。您可以[查詢原始日誌](https://docs.aws.amazon.com//detective/latest/userguide/securitylake-integration.html#query-raw-logs-detective)以檢視 Detective 中的日誌和事件。

**調查 VPC 流量**  
透過 Detective，您可以互動方式檢查 Amazon Elastic Compute Cloud [(Amazon EC2) 執行個體和 Kubernetes Pod 的虛擬私有雲端 (VPC) 網路流程的活動詳細資訊](https://docs.aws.amazon.com//detective/latest/userguide/profile-panel-drilldown-overall-vpc-volume.html)。Amazon EC2 Detective 會自動從您的受監控帳戶收集 VPC 流程日誌、依 EC2 執行個體彙總它們，並呈現這些網路流程的視覺化摘要和分析。  
針對 EC2 執行個體，整體 VPC 流量的活動詳細資訊會顯示所選時間範圍內 EC2 執行個體和 IP 地址之間的互動。  
 針對 Kubernetes Pod，整體 VPC 流量會針對所有目的地 IP 地址，顯示 Kubernetes Pod 指派之 IP 地址的進出整體位元組量。

## 存取 Amazon Detective
<a name="accessing-detective"></a>

Amazon Detective 適用於大多數AWS 區域。如需目前可使用 Detective 的區域清單，請參閱《》中的 [Amazon Detective 端點和配額](https://docs.aws.amazon.com/general/latest/gr/detective.html)*AWS 一般參考*。如需有關管理AWS 區域的資訊AWS 帳戶，請參閱《 *AWS 帳戶管理參考指南*》中的[指定AWS 區域您的帳戶可以使用哪些](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) 。

在每個區域中，您可以透過下列任何方式使用 Detective。

**AWS 管理主控台**  
AWS 管理主控台是以瀏覽器為基礎的界面，可用來建立和管理AWS資源。作為該主控台的一部分，Amazon Detective 主控台可讓您存取 Detective 帳戶、資料和資源。您可以使用 Detective 主控台來執行任何 Detective 任務：檢閱潛在的安全威脅，並分析、調查和識別安全調查結果的根本原因。

**AWS命令列工具**  
使用AWS命令列工具，您可以在系統的命令列發出命令，以執行 Detective 任務和AWS任務。使用命令列比使用主控台更快、更方便。若您想要建構執行 任務的指令碼，命令列工具也非常實用。  
AWS提供兩組命令列工具：AWS Command Line Interface(AWS CLI) 和AWS Tools for PowerShell。如需安裝和使用 的詳細資訊AWS CLI，請參閱[AWS Command Line Interface《 使用者指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。如需安裝和使用 Tools for PowerShell 的相關資訊，請參閱 [AWS Tools for PowerShell使用者指南](https://docs.aws.amazon.com//powershell/latest/userguide/pstools-welcome.html)。

**AWS SDKs**  
AWS提供 SDKs，其中包含適用於各種程式設計語言和平台的程式庫和範本程式碼，例如 Java、Go、Python、C\+\+ 和 .NET。SDKs提供 Detective 和其他 的便利、程式設計存取AWS 服務。它們也會處理諸如密碼編譯簽署請求、管理錯誤以及自動重試請求等任務。如需有關安裝和使用AWS SDKs的資訊，請參閱[要建置的工具AWS](https://aws.amazon.com//developer/tools/)。

**Amazon Detective REST API**  
Amazon Detective REST API 可讓您以程式設計方式存取 Detective 帳戶、資料和資源。使用此 API，您可以將 HTTPS 請求直接傳送至 Detective。不過，與AWS命令列工具和SDKs不同，使用此 API 需要您的應用程式處理低階詳細資訊，例如產生雜湊來簽署請求。如需此 API 的相關資訊，請參閱 [Detective API 參考](https://docs.aws.amazon.com/detective/latest/APIReference/welcome.html)。

## Amazon Detective 定價
<a name="detective-pricing"></a>

如同其他AWS產品，使用 Amazon Detective 沒有合約或最低承諾。

Detective 定價基於多個維度 - 並針對所有資料收取每 GB 的分層固定費率，無論來源為何。如需詳細資訊，請參閱 [Amazon Detective 定價](https://aws.amazon.com/detective/pricing/)。

為了協助您了解和預測使用 Detective 的成本，Detective 為您的 帳戶提供預估的使用成本。您可以在 Amazon Detective 主控台上[檢閱這些預估值，並使用 Amazon Detective API 存取這些預估](tracking-usage-logging.md)值。視您使用服務的方式而定，使用其他AWS 服務搭配某些 Detective 功能可能會產生額外費用，例如 Security Lake 整合和 Detective Investigations。

當您第一次啟用 Detective 時，您的AWS 帳戶會自動註冊 Detective 的 30 天免費試用。這包括在 中啟用做為組織一部分的個別帳戶AWS Organizations。在免費試用期間，在適用的 中使用 Detective 無需付費AWS 區域。

為了協助您了解和預測免費試用結束後使用 Detective 的成本，Detective 會根據您在試用期間使用 Detective 的情況，為您提供預估的使用成本。您的用量資料也會指出免費試用結束前剩餘的時間量。您可以在 [Amazon Detective 主控台上檢閱 Detective 帳戶的用量相關資料](https://docs.aws.amazon.com//detective/latest/userguide/tracking-usage-logging.html)，並使用 Amazon Detective API 存取資料。

## Detective 如何運作？
<a name="detective-how-works"></a>

Detective 會自動從 和 Amazon VPC 流程日誌擷取以時間為基礎的事件，例如登入嘗試、API 呼叫AWS CloudTrail和網路流量。它還會擷取 GuardDuty 偵測到的調查結果。

透過此類事件，Detective 使用機器學習和視覺化來建立資源行為的統一互動式檢視，以及它們之間在一段時間後的互動。您可以探索此行為圖表，以檢查潛在的惡意動作，例如失敗的登入嘗試或可疑的 API 呼叫。您也可以查看這些動作如何影響AWS帳戶和 Amazon EC2 執行個體等資源。您可以針對各種任務調整行為圖表的範圍和時間軸：
+ 快速調查任何超出規範的活動。
+ 識別可能表示安全問題的模式。
+ 了解所有受調查結果影響的資源。

Detective 量身訂做的視覺化可為帳戶資訊提供基準並進行摘要。此類調查結果可以幫助回答「這是否為對此角色的異常 API 呼叫」等問題嗎？ 或「這是預期來自此執行個體的流量激增嗎」？

透過 Detective，您就無需再整理任何資料，也無需再開發、設定或調整自己的查詢和演算法。沒有前期成本，您僅需為分析的事件付費，不再需要部署其他軟體或訂閱其他摘要。

## 誰在使用 Detective？
<a name="detective-who-uses"></a>

當帳戶啟用 Detective 後，它會成為行為圖表的管理員帳戶。行為圖表是從一或多個AWS帳戶擷取和分析資料的一組連結。管理員帳戶邀請成員帳戶將其資料提供至管理員帳戶的行為圖表。

Detective 也與 整合AWS Organizations。組織管理帳戶會指定組織的 Detective 管理員帳戶。Detective 管理員帳戶會在組織行為圖表中啟用組織帳戶作為成員帳戶。

如需 Detective 如何使用行為圖表帳戶中來源資料的相關資訊，請參閱 [Detective 行為圖表中使用的來源資料](detective-source-data-about.md)。

如需管理員帳戶如何管理行為圖表的相關資訊，請參閱 [在 Detective 中管理帳戶](accounts.md)。如需成員帳戶如何管理其行為圖表邀請和成員資格的相關資訊，請參閱 [針對成員帳戶：管理行為圖表邀請和成員資格](member-account-graph-management.md)。

管理員帳戶使用行為圖表產生的分析和視覺化來調查AWS資源和 GuardDuty 調查結果。使用 Detective 與 GuardDuty 整合AWS Security Hub CSPM，您可以將這些服務中的 GuardDuty 調查結果直接轉向 Detective 主控台。

Detective 調查著重於與所涉AWS資源相關的活動。有關 Detective 中調查過程的概觀，請參閱《Detective 使用者指南》中的 [Amazon Detective 如何用於調查](https://docs.aws.amazon.com/detective/latest/userguide/detective-investigation-about.html)。**

## 相關服務
<a name="detective-related-services"></a>

若要進一步保護 中的資料、工作負載和應用程式AWS，請考慮使用下列AWS 服務搭配 Amazon Detective。

**AWS Security Hub CSPM**  
AWS Security Hub CSPM可讓您全面檢視AWS資源的安全狀態，並協助您根據安全產業標準和最佳實務檢查AWS環境。這部分是透過取用、彙總、組織和排定來自多個AWS 服務（包括 Detective) 和支援AWS合作夥伴網路 (APN) 產品的安全性調查結果優先順序來執行。Security Hub CSPM 可協助您分析安全趨勢，並識別整個AWS環境中最優先的安全問題。  
若要進一步了解 Security Hub CSPM，請參閱 [AWS Security Hub CSPM使用者指南](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。

**Amazon GuardDuty**  
Amazon GuardDuty 是一種安全監控服務，可分析和處理特定類型的AWS日誌，例如 Amazon S3 和 CloudTrail 管理事件日誌AWS CloudTrail的資料事件日誌。它使用威脅情報摘要，例如惡意 IP 地址和網域的清單，以及機器學習，來識別AWS環境中非預期和可能未經授權的惡意活動。  
若要進一步了解 GuardDuty，請參閱 [Amazon GuardDuty 使用者指南](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)。

**Amazon Security Lake**  
Amazon Security Lake 是完全受管的安全資料湖服務。您可以使用 Security Lake，將來自AWS環境、SaaS 提供者、內部部署來源、雲端來源和第三方來源的安全資料，自動集中到存放在您AWS帳戶中的專用資料湖。Security Lake 可協助您分析安全資料，讓您更全面地了解整個組織的安全狀態。透過 Security Lake，您還可以改善工作負載、應用程式和資料的保護。  
若要進一步了解 Security Lake，請參閱 [Amazon Security Lake 使用者指南](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)。若要進一步了解如何同時使用 Detective 和 Security Lake，請參閱 [Amazon Detective 與 Amazon Security Lake 整合](securitylake-integration.md)。

若要了解其他AWS安全服務，請參閱 [上的安全、身分和合規AWS](https://aws.amazon.com//products/security/)。