Durchführung einer Detective Untersuchung - Amazon Detective

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Durchführung einer Detective Untersuchung

Verwenden Sie die Option Untersuchung ausführen, um Ressourcen wie IAM Benutzer und IAM Rollen zu analysieren und einen Untersuchungsbericht zu erstellen. In dem generierten Bericht wird das ungewöhnliche Verhalten detailliert beschrieben, das auf eine mögliche Gefährdung hindeutet.

Console

Gehen Sie wie folgt vor, um eine Detective Investigation von der Seite Investigations aus mithilfe der Amazon Detective-Konsole durchzuführen.

  1. Melden Sie sich bei der AWS Management Console an. Öffnen Sie dann die Detective-Konsole unter https://console.aws.amazon.com/detective/.

  2. Wählen Sie im Navigationsbereich die Option Untersuchungen.

  3. Wählen Sie auf der Seite Ermittlungen in der oberen rechten Ecke die Option Untersuchung ausführen aus.

  4. Im Bereich Ressource auswählen haben Sie drei Möglichkeiten, eine Untersuchung durchzuführen. Sie können wählen, ob Sie die Untersuchung für eine von Detective empfohlene Ressource durchführen möchten. Sie können die Untersuchung für eine bestimmte Ressource durchführen. Sie können eine Ressource auch über die Such-Seite in Detective untersuchen.

    1. Choose a recommended resource— Detective empfiehlt Ressourcen auf der Grundlage seiner Aktivitäten in Ermittlungs- und Findungsgruppen. Um die Untersuchung für eine von Detective empfohlene Ressource durchzuführen, wählen Sie in der Tabelle Empfohlene Ressourcen eine zu untersuchende Ressource aus.

      Die Tabelle der empfohlenen Ressourcen bietet die folgenden Informationen:

      • Ressource ARN — Der Amazon-Ressourcenname (ARN) der AWS Ressource.

      • Grund für die Untersuchung: Zeigt die wichtigsten Gründe für die Untersuchung der Ressource an. Mögliche Gründe, aus denen Detective empfiehlt, eine Ressource zu untersuchen, sind:

        • Wenn bei einer Ressource in den letzten 24 Stunden ein schwerwiegender Fehler festgestellt wurde.

        • Wenn eine Ressource Teil einer in den letzten 7 Tagen beobachteten Erkenntnisgruppe war. Mithilfe von Detective-Erkenntnisgruppen können Sie mehrere Aktivitäten untersuchen, da sie sich auf ein potenzielles Sicherheitsereignis beziehen. Weitere Details finden Sie unter Erkenntnisgruppen analysieren.

        • Wenn eine Ressource Gegenstand einer Erkenntnis in den letzten 7 Tagen war.

      • Letzte Erkenntnis: Die aktuellen Erkenntnisse stehen ganz oben auf der Liste.

      • Ressourcentyp: Identifiziert den Ressourcentyp. Zum Beispiel ein AWS Benutzer oder eine AWS Rolle.

    2. Specify an AWS role or user with an ARN— Sie können eine AWS Rolle oder einen AWS Benutzer auswählen und eine Untersuchung für die jeweilige Ressource durchführen.

      Gehen Sie wie folgt vor, um einen bestimmten Ressourcentyp zu untersuchen.

      1. Wählen Sie in der Dropdownliste Ressourcentyp auswählen die AWS Rolle oder den AWS Benutzer aus.

      2. Geben Sie die Ressource ARN der IAM Ressource ein. Weitere Informationen zu Resource ARNs finden Sie unter Amazon Resource Names (ARNs) im IAM Benutzerhandbuch.

    3. Find a resource to investigate from the Search page— Sie können alle Ihre IAM Ressourcen auf der Detective Search-Seite durchsuchen.

      Gehen Sie wie folgt vor, um eine Ressource von der Suchseite aus zu untersuchen.

      1. Klicken Sie im Navigationsbereich auf Suchen.

      2. Suchen Sie auf der Suchseite nach einer IAM Ressource.

      3. Navigieren Sie zur Profilseite der Ressource und führen Sie von dort aus die Untersuchung durch.

  5. Wählen Sie im Abschnitt Dauer des Untersuchungsumfangs den Zeitraum für den Umfang der Untersuchung aus, um die Aktivität der ausgewählten Ressource zu bewerten. Sie können ein Startdatum und eine Startzeit sowie ein Enddatum und eine Endzeit als UTC Format auswählen. Das gewählte Zeitfenster für den Geltungsbereich kann zwischen mindestens 3 Stunden und maximal 30 Tagen liegen.

  6. Wählen Sie Untersuchung ausführen aus.

API

Verwenden Sie den Detective, um eine Untersuchung programmgesteuert durchzuführen. StartInvestigationAPI Um eine Untersuchung mit dem Befehl AWS Command Line Interface (AWS CLI) durchzuführen, führen Sie den Befehl start-investigation aus.

Verwenden Sie in Ihrer Anforderung diese Parameter, um eine Untersuchung in Detective durchzuführen:

  • GraphArn— Geben Sie den Amazon-Ressourcennamen (ARN) des Verhaltensdiagramms an.

  • EntityArn— Geben Sie den eindeutigen Amazon-Ressourcennamen (ARN) des IAM Benutzers und der IAM Rolle an.

  • ScopeStartTime: Geben Sie optional das Datum und die Uhrzeit an, ab dem die Untersuchung beginnen soll. Der Wert ist eine Zeichenfolge im Format UTC ISO86 01. Zum Beispiel. 2021-08-18T16:35:56.284Z

  • ScopeEndTime: Geben Sie optional das Datum und die Uhrzeit an, ab dem die Untersuchung enden soll. Der Wert ist eine Zeichenfolge im Format UTC ISO86 01. Zum Beispiel. 2021-08-18T16:35:56.284Z

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

Sie können eine Untersuchung auch über die folgenden Seiten in Detective durchführen:

  • Eine IAM Benutzer- oder IAM Rollenprofilseite in Detective.

  • Bereich zur grafischen Darstellung einer Erkenntnisgruppe.

  • Spalte „Aktionen“ einer beteiligten Ressource.

  • IAMBenutzer oder IAM Rolle auf einer Suchseite.

Sobald Detective die Untersuchung für eine Ressource durchgeführt hat, wird ein Untersuchungsbericht generiert. Um auf den Bericht zuzugreifen, wechseln Sie im Navigationsbereich zu Untersuchungen.