Empfehlungen zur Aktivierung von Detective - Amazon Detective
Empfohlene Ausrichtung mit GuardDuty und AWS Security HubEs wird empfohlen, die GuardDuty CloudWatch Benachrichtigungshäufigkeit zu aktualisieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Empfehlungen zur Aktivierung von Detective

Beachten Sie diese Empfehlungen, bevor Sie Detective aktivieren

Wenn Sie bei GuardDuty und registriert sind AWS Security Hub, empfehlen wir, dass Ihr Konto ein Administratorkonto für diese Dienste ist. Wenn die Administratorkonten für alle drei Dienste identisch sind, funktionieren die folgenden Integrationspunkte problemlos.

  • In GuardDuty unserem Security Hub können Sie beim Anzeigen von Details zu einem GuardDuty Befund von den Befunddetails zum Detective-Findungsprofil wechseln.

  • In Detective können Sie bei der Untersuchung eines GuardDuty Befundes die Option wählen, dieses Ergebnis zu archivieren.

Wenn Sie unterschiedliche Administratorkonten für GuardDuty und Security Hub haben, empfehlen wir Ihnen, die Administratorkonten auf den Dienst abzustimmen, den Sie häufiger verwenden.

  • Wenn Sie GuardDuty häufiger verwenden, aktivieren Sie Detective über das GuardDuty Administratorkonto.

    Wenn Sie Konten verwalten AWS Organizations , legen Sie das GuardDuty Administratorkonto als Detective-Administratorkonto für die Organisation fest.

  • Wenn Sie Security Hub häufiger verwenden, aktivieren Sie Detective über das Security Hub-Administratorkonto.

    Wenn Sie Organizations zur Verwaltung von Konten verwenden, legen Sie das Security Hub-Administratorkonto als Detective-Administratorkonto für die Organisation fest.

Wenn Sie nicht dieselben Administratorkonten für alle Dienste verwenden können, können Sie nach der Aktivierung von Detective optional eine kontoübergreifende Rolle erstellen. Diese Rolle gewährt einem Administratorkonto Zugriff auf andere Konten.

Informationen darüber, wie dieser Rollentyp IAM unterstützt wird, finden Sie im Benutzerhandbuch unter Gewähren des Zugriffs für einen IAM Benutzer in einem anderen AWS Konto, das IAM Sie besitzen.

In GuardDuty sind Melder mit einer CloudWatch Amazon-Benachrichtigungshäufigkeit konfiguriert, um nachfolgende Ereignisse eines Fundes zu melden. Dies beinhaltet das Senden von Benachrichtigungen an Detective.

Standardmäßig beträgt die Frequenz sechs Stunden. Das bedeutet, dass selbst wenn sich ein Befund viele Male wiederholt, die neuen Ereignisse erst bis zu sechs Stunden später in Detective widergespiegelt werden.

Um die Zeit zu reduzieren, die Detective benötigt, um diese Updates zu erhalten, empfehlen wir, dass das GuardDuty Administratorkonto die Einstellung seiner Melder auf 15 Minuten ändert. Beachten Sie, dass eine Änderung der Konfiguration keine Auswirkungen auf die Nutzungskosten hat GuardDuty.

Informationen zur Einstellung der Benachrichtigungshäufigkeit finden Sie unter Monitoring GuardDuty Findings with Amazon CloudWatch Events im GuardDuty Amazon-Benutzerhandbuch.