

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# GuardDuty 調查 （預覽）
<a name="guardduty-investigation"></a>

GuardDuty Investigation 為您的 GuardDuty 調查結果和帳戶提供 AI 驅動的安全分析。當您建立調查時，GuardDuty 會使用知識圖表檢查調查結果內容、過去 90 天內的相關活動、受影響的資源、威脅情報和威脅指標。每項調查都會提供具有可信度評分、MITRE ATT&CK® 技術分類、支援證據和可行建議的威脅處置評估。

每次調查都會產生下列洞見：
+ **風險等級** – 整體風險的評估：Info、Low、Medic、High 或 Critical。
+ **可信度** – 評估的可信度：未知、低、中或高。
+ **摘要** – 調查結果和關鍵觀察的描述。
+ **調查詳細資訊** – 與調查相關的其他資訊和內容。
+ **建議的動作** – 您可以採取的詳細動作，包括 CLI 命令，以解決已識別的問題。

**注意**  
GuardDuty 調查僅適用於下列 10 個商業 AWS 區域：美國東部 （維吉尼亞北部）、美國東部 （俄亥俄）、美國西部 （奧勒岡）、加拿大 （中部）、歐洲 （法蘭克福）、歐洲 （愛爾蘭）、歐洲 （倫敦）、歐洲 （巴黎）、歐洲 （斯德哥爾摩） 和亞太區域 （東京）。

## 分析類型
<a name="guardduty-investigation-analysis-types"></a>

GuardDuty Investigation 支援下列三種類型的分析：
+ **調查結果分析** – 當您指定調查結果 ID (32 個字元的十六進位） 時，分析特定 GuardDuty 調查結果。針對預覽，GuardDuty Investigation 支援所有延伸威脅偵測 (XTD) 調查結果，並從基礎、S3 和執行期計劃中選取調查結果。
+ **帳戶分析** – 當您提供 12 位數 AWS 帳戶 ID 時，分析 AWS 帳戶的威脅狀態。
+ **組織分析** – 分析組織的威脅狀態。對於預覽，它分析最多 100 個帳戶。

## 跨區域推論
<a name="guardduty-investigation-cross-region-inference"></a>

GuardDuty Investigation 利用跨區域推論服務 (CRIS)，自動選取您地理位置 AWS 區域 內的最佳 來處理調查分析並產生調查報告。這可將可用的運算資源、模型可用性最大化，並提供最佳客戶體驗。

您的資料只會存放在調查請求產生的區域中。不過，調查資料和摘要結果可能會在該區域之外處理。所有資料都會透過 Amazon 的安全網路進行加密傳輸。

GuardDuty Investigation 會將您的推論請求安全地路由到發出請求的地理區域內的可用運算資源，如下表所示。


**跨區域推論路由**  

| 支援的 地理位置 | GuardDuty 區域 | 推論區域 | 
| --- | --- | --- | 
| 美國 | 美國東部 (維吉尼亞北部) | 美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡) | 
| 美國 | 美國東部 (俄亥俄) | 美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡) | 
| 美國 | 美國西部 (奧勒岡) | 美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡) | 
| 美國 | 加拿大 (中部) | 加拿大 （中部）、美國東部 （維吉尼亞北部）、美國東部 （俄亥俄）、美國西部 （奧勒岡） | 
| 歐洲 | 歐洲 (法蘭克福) | 歐洲 （法蘭克福）、歐洲 （斯德哥爾摩）、歐洲 （米蘭）、歐洲 （西班牙）、歐洲 （愛爾蘭）、歐洲 （巴黎） | 
| 歐洲 | 歐洲 (愛爾蘭) | 歐洲 （法蘭克福）、歐洲 （斯德哥爾摩）、歐洲 （米蘭）、歐洲 （西班牙）、歐洲 （愛爾蘭）、歐洲 （巴黎） | 
| 歐洲 | 歐洲 (倫敦) | 歐洲 （法蘭克福）、歐洲 （斯德哥爾摩）、歐洲 （米蘭）、歐洲 （西班牙）、歐洲 （愛爾蘭）、歐洲 （倫敦）、歐洲 （巴黎） | 
| 歐洲 | Europe (Paris) | 歐洲 （法蘭克福）、歐洲 （斯德哥爾摩）、歐洲 （米蘭）、歐洲 （西班牙）、歐洲 （愛爾蘭）、歐洲 （巴黎） | 
| 歐洲 | 歐洲 (斯德哥爾摩) | 歐洲 （法蘭克福）、歐洲 （斯德哥爾摩）、歐洲 （米蘭）、歐洲 （西班牙）、歐洲 （愛爾蘭）、歐洲 （巴黎） | 
| 日本 | 亞太地區 (東京) | 亞太區域 （東京）、亞太區域 （大阪） | 

## 先決條件
<a name="guardduty-investigation-prerequisites"></a>

在使用 GuardDuty Investigation 之前，請確定符合下列先決條件：
+ 您必須在要建立調查 AWS 區域 的 中擁有作用中的 GuardDuty 偵測器。如需有關啟用 GuardDuty 的詳細資訊，請參閱[開始使用 GuardDuty](guardduty_settingup.md)。
+ 您必須在偵測器上啟用 GuardDuty 調查功能。

------
#### [ Console ]

  1. 開啟 GuardDuty 主控台。

  1. 在導覽窗格中，選擇**設定**。

  1. 在 **AI 支援的調查 - 預覽**版下，選擇**啟用**。

------
#### [ API/CLI ]

  呼叫 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 並在偵測器上啟用 `AI_ANALYST`功能。

  ```
  aws guardduty update-detector \
      --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
      --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  ```

------
+ 您的 IAM 身分必須具有執行調查動作所需的許可。需要下列 IAM 動作：
  + `guardduty:CreateInvestigation` – 建立新調查時需要。
  + `guardduty:GetInvestigation` – 擷取調查結果時需要。
  + `guardduty:ListInvestigations` – 列出偵測器的調查時需要。

下列範例 IAM 政策授予使用所有 GuardDuty 調查動作的許可：

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:CreateInvestigation",
                "guardduty:GetInvestigation",
                "guardduty:ListInvestigations"
            ],
            "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7"
        }
    ]
}
```

### 管理員和成員帳戶的存取模型
<a name="guardduty-investigation-access-model"></a>

視您使用的是管理員帳戶或成員帳戶而定，下列存取規則適用於 GuardDuty 調查：
+ **管理員帳戶** – 可以為自己及其成員帳戶建立、取得和列出調查。
+ **成員帳戶** – 只能取得和列出自己帳戶的調查。成員帳戶無法建立調查，也無法存取屬於其他帳戶或管理員帳戶的調查。

## 建立調查
<a name="guardduty-investigation-create"></a>

您可以建立調查來分析環境中 AWS 的 GuardDuty 調查結果和帳戶。調查會在背景中以非同步方式執行。建立調查之後，請使用調查 ID 來檢查其狀態並擷取結果。

**重要**  
在預覽期間，您每天每個帳戶最多可以啟動 10 次調查，每個帳戶總共限制 100 次調查。失敗的調查不會計入這些配額。如果您使用 API/CLI，則觸發提示最多可達 2，048 個字元。

選擇您偏好的存取方法以建立調查。

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，並導覽至左側導覽中的**調查**。

1. 選擇**啟動調查**。

1. 選取調查範圍：
   + **特定問題**清單 – 輸入您要分析的問題清單 ID。
   + **我的帳戶** （僅限獨立） – 不需要額外的輸入。GuardDuty 會分析您的帳戶。
   + **特定帳戶 **（僅限管理員） – 輸入 12 位數 AWS 帳戶 ID。
   + **組織中的所有帳戶** （僅限管理員） – 不需要額外的輸入。

1. 選擇**啟動調查**以開始分析。

------
#### [ API/CLI ]

執行 CreateInvestigation API 操作以開始新的調查。您必須提供偵測器 ID 和觸發提示，說明要調查的內容。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "{{Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012}}"
```

在上述命令中，將 {{detector-id}} 取代為您自己的偵測器 ID，並將 {{trigger-prompt}} 取代為您要調查的內容描述。

您可以選擇性地包含冪等性的`--client-token`參數。如果您使用相同的用戶端字符重試請求，GuardDuty 會傳回現有的調查，而不是建立重複的調查。

輸出範例：

```
{
    "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890"
}
```

**觸發提示要求**

觸發條件提示必須描述要調查的內容。GuardDuty 會根據您的提示內容來決定分析類型：
+ **調查結果分析** – 在提示中僅包含一個調查結果 ID (32 個字元的十六進位字串）。問題清單必須存在，並屬於發起人的 帳戶或成員帳戶。您無法在單一提示中包含多個問題清單 IDs。
+ **帳戶分析** – 在提示中僅包含一個 12 位數 AWS 的帳戶 ID。發起人必須是該帳戶的管理員。您無法在單一提示中包含多個帳戶 IDs。
+ **組織分析** – 在提示中描述整個組織的安全問題。調查會分析整個組織的訊號 （最多 100 個帳戶）。

GuardDuty 使用 AI 解譯您的自由格式提示，並判斷適當的分析範圍。如果您包含問題清單 ID，則會執行問題清單分析。如果您包含帳戶 ID，則會執行帳戶分析。如果您的提示說明整個組織的考量，則會執行組織分析。如果提示不符合特定分析類型，調查會預設為分析發起人自己的帳戶。

以下是每個分析類型的觸發提示範例：
+ **調查結果分析** – `"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"`
+ **帳戶分析** – `"Analyze findings in account with id 123456789012"`
+ **組織分析** – `"Analyze findings in my organization"`

**為成員帳戶建立調查**

如果您是管理員帳戶，您可以在觸發提示中包含成員帳戶 ID，為成員帳戶建立調查。在 命令中使用管理員帳戶的偵測器 ID。調查結果將包含來自指定成員帳戶的調查結果。

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "Analyze findings in account with id 111122223333"
```

在上述命令中，將 {{detector-id}} 取代為您的管理員帳戶的偵測器 ID。觸發提示中的 12 位數帳戶 ID 會識別要調查的成員帳戶。

------

## 檢視調查結果
<a name="guardduty-investigation-get"></a>

建立調查之後，您可以擷取結果，包括摘要、調查詳細資訊、可信度和建議。調查可以有下列其中一種狀態：
+ **執行中** – 調查仍在進行中。
+ **已完成** – 調查成功完成，且結果可用。
+ **失敗** – 調查發生錯誤。如需詳細資訊，請檢查錯誤欄位。

選擇您偏好的存取方法，以檢視調查結果。

*AI 產生的分析和建議可能包含錯誤或不完整的評估。建議進行人工審核。*

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，並導覽至左側導覽中的**調查**。

1. 在調查表格中，尋找您要檢閱的完整調查。

1. 選擇調查標題連結以開啟詳細資訊頁面。

**注意**  
只有在狀態為**已完成**時，才能按一下調查標題。

------
#### [ API/CLI ]

執行 GetInvestigation API 操作以擷取已完成調查的完整詳細資訊。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 https：//[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty get-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --investigation-id {{a1b2c3d4-5678-90ab-cdef-ef1234567890}}
```

已完成調查的範例輸出：

```
{
    "Investigation": {
        "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
        "Status": "COMPLETED",
        "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
        "TriggeredBy": "123456789012",
        "RiskLevel": "Critical",
        "Risk": "Detection logic is valid but no live resources are compromised.",
        "Confidence": "High",
        "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}",
        "Cloud": {
            "Provider": "AWS",
            "Region": "us-east-1",
            "Account": "123456789012"
        },
        "Metadata": {
            "Product": {
                "Name": "Amazon GuardDuty AI Analyst",
                "Feature": "Investigation"
            },
            "Version": "1.0.0"
        },
        "StartTime": 1705319400.0,
        "EndTime": 1705319700.0
    }
}
```

`Summary` 欄位包含具有完整調查結果的 JSON 字串，包括金鑰觀察、使用 CLI 命令的對策，以及 MITRE ATT&CK® 威脅評估。

------

### 解譯調查結果
<a name="guardduty-investigation-interpret-results"></a>

下表說明調查可以傳回的風險層級：


**調查風險層級**  

| 風險層級 | 說明 | 
| --- | --- | 
| 資訊 | 資訊調查結果不會對環境造成立即風險。 | 
| 低 | 不太可能需要立即採取行動的次要風險。 | 
| 中 | 您必須檢閱且可能需要修復的中等風險。 | 
| 高 | 需要立即調查和修復的重大風險。 | 
| 嚴重 | 需要立即採取行動以避免進一步入侵的嚴重風險。 | 

下表說明可信度等級：


**調查可信度層級**  

| 可信度層級 | 說明 | 
| --- | --- | 
| 不明 | 資料不足，無法判斷評估的可信度。 | 
| 低 | 有限證據支援評估。 | 
| 中 | 中等證據支援評估。 | 
| 高 | 強有力的證據支援評估。 | 

## 列出調查
<a name="guardduty-investigation-list"></a>

您可以列出偵測器的所有調查，以及選用的排序和分頁。這可協助您檢閱和追蹤多個調查的狀態。

選擇您偏好的存取方法，以列出調查。

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，並導覽至左側導覽中的**調查**。

1. 調查表會顯示目前偵測器的所有調查及其狀態、風險層級和時間戳記。

------
#### [ API/CLI ]

執行 ListInvestigations API 操作以列出偵測器的調查摘要。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --max-results 10
```

您可以透過指定`--sort-criteria`參數來排序結果。下列範例列出依開始時間以遞減順序排序的調查：

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \
    --max-results 10
```

可用的排序屬性為 `START_TIME`、`END_TIME`、`RISK_LEVEL`、 `STATUS`和 `CONFIDENCE`。您可以依 `ASC`（遞增） 或 `DESC`（遞減） 順序排序。

輸出範例：

```
{
    "Investigations": [
        {
            "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
            "Status": "COMPLETED",
            "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
            "RiskLevel": "Critical",
            "Confidence": "High",
            "StartTime": 1705319400.0,
            "EndTime": 1705319700.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in account with id 123456789012",
            "RiskLevel": "High",
            "Confidence": "High",
            "StartTime": 1705315800.0,
            "EndTime": 1705316100.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in my organization",
            "RiskLevel": "Medium",
            "Confidence": "Medium",
            "StartTime": 1705312200.0,
            "EndTime": 1705312500.0,
            "AccountId": "123456789012"
        }
    ]
}
```

如果回應包含值，請在後續請求中傳遞該`NextToken`值，以擷取結果的下一頁。每個頁面最多可以擷取 50 個結果。

------