Wie Detective für Ermittlungen eingesetzt wird - Amazon Detective
Phasen der UntersuchungAusgangspunkte für eine Detective UntersuchungAblauf der detektivischen Ermittlungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie Detective für Ermittlungen eingesetzt wird

Amazon Detective macht es Ihnen leicht, die Ursache von Sicherheitserkenntnissen oder verdächtigen Aktivitäten zu analysieren, zu untersuchen und schnell zu identifizieren. Detective bietet Tools zur Unterstützung des gesamten Ermittlungsprozesses. Eine Untersuchung in Detective kann mit einer Erkenntnis, einer Erkenntnisgruppe oder einer Entität beginnen.

Ermittlungsphasen in Detective

Jeder detektivische Ermittlungsprozess umfasst die folgenden Phasen:

Triage

Der Untersuchungsprozess beginnt, wenn Sie über einen Verdacht auf böswillige Aktivitäten oder Aktivitäten mit hohem Risiko informiert werden. Sie sind beispielsweise damit beauftragt, Ergebnisse oder Warnungen zu untersuchen, die von Diensten wie Amazon GuardDuty und Amazon Inspector aufgedeckt wurden.

In der Triage-Phase stellen Sie fest, ob es sich bei der Aktivität Ihrer Meinung nach um eine echt positive Aktivität (echte böswillige Aktivität) oder um eine falsch positive Aktivität (keine böswillige oder risikoreiche Aktivität) handelt. Detective-Profile unterstützen den Triage-Prozess, indem sie Einblicke in die Aktivitäten der beteiligten Entität bieten.

In wirklich positiven Fällen fahren Sie mit der nächsten Phase fort.

Umfang

Während der Scoping-Phase ermitteln Analysten das Ausmaß der böswilligen oder risikoreichen Aktivität und die zugrunde liegende Ursache.

Beim Scoping werden die folgenden Arten von Fragen beantwortet:

  • Welche Systeme und Benutzer wurden kompromittiert?

  • Wo hat der Angriff seinen Ursprung?

  • Wie lange dauert der Angriff schon an?

  • Gibt es noch andere verwandte Aktivitäten, die aufgedeckt werden müssen? Wenn ein Angreifer beispielsweise Daten aus Ihrem System extrahiert, wie hat er diese erhalten?

Detective-Visualisierungen können Ihnen helfen, andere beteiligte oder betroffene Entitäten zu identifizieren.

Antwort

Der letzte Schritt besteht darin, auf den Angriff zu reagieren, um ihn zu stoppen, den Schaden zu minimieren und zu verhindern, dass ein ähnlicher Angriff erneut stattfindet.

Ausgangspunkte für eine Detective Untersuchung

Jede Untersuchung in Detective hat einen wesentlichen Ausgangspunkt. Möglicherweise wird Ihnen ein Amazon GuardDuty oder AWS Security Hub ein Fundstück zugewiesen, das Sie untersuchen möchten. Oder Sie haben Bedenken wegen ungewöhnlicher Aktivitäten für eine bestimmte IP-Adresse.

Zu den typischen Ausgangspunkten für eine Untersuchung gehören Ergebnisse, die von Detective-Quelldaten entdeckt wurden, GuardDuty und Entitäten, die aus diesen extrahiert wurden.

Festgestellte Ergebnisse von GuardDuty

GuardDuty verwendet Ihre Protokolldaten, um vermutete böswillige oder risikoreiche Aktivitäten aufzudecken. Detective stellt Ressourcen zur Verfügung, mit denen Sie diese Erkenntnisse untersuchen können.

Für jede Erkenntnis stellt Detective die zugehörigen Erkenntnisdetails zur Verfügung. Detective zeigt auch die Entitäten, wie IP-Adressen und AWS Konten, die mit dem Ergebnis verbunden sind.

Anschließend können Sie die Aktivitäten der beteiligten Entitäten untersuchen, um festzustellen, ob die anhand der Erkenntnis festgestellte Aktivität tatsächlich Anlass zur Sorge gibt.

Weitere Informationen finden Sie unter Analysieren einer Befundübersicht in Detective.

AWS Von Security Hub aggregierte Sicherheitsergebnisse

AWS Security Hub fasst die Sicherheitsergebnisse verschiedener Anbieter von Erkenntnissen an einem einzigen Ort zusammen und bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in. AWS Security Hub eliminiert die Komplexität der Bewältigung großer Mengen an Erkenntnissen von mehreren Anbietern. Dadurch wird der Aufwand für die Verwaltung und Verbesserung der Sicherheit all Ihrer AWS Konten, Ressourcen und Workloads reduziert. Detective stellt Ressourcen zur Verfügung, mit denen Sie diese Erkenntnisse untersuchen können.

Für jede Erkenntnis stellt Detective die zugehörigen Erkenntnisdetails zur Verfügung. Detective zeigt auch die Entitäten, wie IP-Adressen und AWS Konten, die mit dem Ergebnis verbunden sind.

Weitere Informationen finden Sie unter Analysieren einer Befundübersicht in Detective.

Aus Detective-Quelldaten extrahierte Entitäten

Aus den aufgenommenen Detective-Quelldaten extrahiert Detective Entitäten wie IP-Adressen und AWS -Benutzer. Sie können eine davon als Ausgangspunkt für Ermittlungen verwenden.

Detective stellt allgemeine Informationen über die Entität bereit, z. B. die IP-Adresse oder den Benutzernamen. Es enthält auch Details zum Aktivitätsverlauf. Detective kann beispielsweise melden, mit welchen anderen IP-Adressen eine Entität eine Verbindung hergestellt hat, mit welchen eine Verbindung hergestellt wurde oder welche sie verwendet hat.

Weitere Informationen finden Sie unter Analysieren von Entitäten in Amazon Detective.

Ablauf der detektivischen Ermittlungen

Sie können Amazon Detective verwenden, um eine Entität wie eine EC2 Instance oder einen AWS Benutzer zu untersuchen. Sie können auch Sicherheitserkenntnisse untersuchen.

Auf einer höheren Ebene zeigt das folgende Bild den Ablauf einer Detective Untersuchung.

Diagramm, das den Detective Investigation-Prozess zeigt.
Schritt 1: Wählen Sie die zu untersuchende Entität

Bei der Analyse eines Ergebnisses in können sich Analysten dafür entscheiden GuardDuty, eine zugehörige Entität in Detective zu untersuchen. Siehe Zu einem Entitätsprofil wechseln oder eine Übersicht von Amazon GuardDuty suchen oder AWS Security Hub.

Wenn Sie die Entität auswählen, gelangen Sie zum Entitätsprofil in Detective.

Schritt 2: Analysieren von Visualisierungen auf Profilen

Jedes Entitätsprofil enthält eine Reihe von Visualisierungen, die aus dem Verhaltensdiagramm generiert werden. Das Verhaltensdiagramm wird aus den Protokolldateien und anderen Daten erstellt, die in Detective eingespeist werden.

Die Visualisierungen zeigen Aktivitäten, die sich auf eine Entität beziehen. Sie verwenden diese Visualisierungen, um Fragen zu beantworten und festzustellen, ob die Entitätsaktivität ungewöhnlich ist. Siehe Analysieren von Entitäten in Amazon Detective.

Als Hilfestellung bei der Untersuchung können Sie die Detective-Anleitungen verwenden, die für jede Visualisierung bereitgestellt werden. Die Anleitung beschreibt die angezeigten Informationen, schlägt Fragen vor, die Sie stellen können, und schlägt auf der Grundlage der Antworten die nächsten Schritte vor. Siehe Verwendung von Anleitungen durch den Profilbereich während einer Untersuchung.

Jedes Profil enthält eine Liste der zugehörigen Erkenntnisse. Sie können die Details zu einer Erkenntnis und die Erkenntnisübersicht anzeigen. Siehe Details zu zugehörigen Ergebnissen in Detective anzeigen.

Von einem Entitätsprofil aus können Sie zu anderen Entitäten und Suchprofilen wechseln, um die Aktivitäten in Bezug auf verwandte Ressourcen genauer zu untersuchen.

Schritt 3: Maßnahmen ergreifen

Ergreifen Sie auf der Grundlage der Erkenntnisse Ihrer Untersuchung die entsprechenden Maßnahmen.

Bei einer falsch-positiven Erkenntnis können Sie diese archivieren. Von Detective aus können Sie GuardDuty Ergebnisse archivieren. Weitere Informationen finden Sie unter Archivierung eines GuardDuty Amazon-Ergebnisses.

Andernfalls ergreifen Sie die entsprechenden Maßnahmen, um die Sicherheitsanfälligkeit zu beheben und den Schaden zu minimieren. Beispielsweise müssen Sie möglicherweise die Konfiguration einer Ressource aktualisieren.