Das Detective-Übersichts-Dashboard verwenden - Amazon Detective
UntersuchungenNeu beobachtete GeolocationsAktive Erkenntnisgruppen in den letzten 7 Tagen Rollen und Benutzer mit dem höchsten API AnrufvolumenEC2Instanzen mit dem höchsten VerkehrsaufkommenContainer-Cluster mit den meisten Kubernetes-PodsBenachrichtigung über den ungefähren Wert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Das Detective-Übersichts-Dashboard verwenden

Verwenden Sie das Übersichts-Dashboard in Amazon Detective, um Entitäten zu identifizieren, um den Ursprung der Aktivitäten in den letzten 24 Stunden zu untersuchen. Das Amazon Detective Summary Dashboard hilft Ihnen dabei, Entitäten zu identifizieren, die mit bestimmten Arten ungewöhnlicher Aktivitäten in Verbindung stehen. Dies ist einer von mehreren möglichen Ausgangspunkten für eine Untersuchung.

Um das Übersichts-Dashboard anzuzeigen, wählen Sie im Navigationsbereich von Detective die Option Zusammenfassung aus. Das Übersichts-Dashboard wird standardmäßig auch angezeigt, wenn Sie die Detective-Konsole zum ersten Mal öffnen.

Im Übersichts-Dashboard können Sie Entitäten identifizieren, die die folgenden Kriterien erfüllen:

  • Untersuchungen, die auf potenzielle Sicherheitsereignisse hinweisen, die von Detective identifiziert wurden

  • Entitäten, die an Aktivitäten in neu beobachteten Geolokationen beteiligt sind

  • Entitäten, die die meisten API Anrufe getätigt haben

  • EC2Instanzen mit dem größten Verkehrsaufkommen

  • Container-Cluster mit der größten Anzahl von Containern

Von jedem Übersichts-Dashboard aus können Sie zum Profil einer ausgewählten Entität wechseln.

Während Sie sich das Übersichts-Dashboard ansehen, können Sie den Zeitraum für den Umfang anpassen, sodass Sie sich die Aktivität für einen beliebigen 24-Stunden-Zeitraum der letzten 365 Tage ansehen können. Wenn Sie das Startdatum und die Startzeit ändern, werden das Enddatum und die Endzeit automatisch auf 24 Stunden nach der ausgewählten Startzeit aktualisiert.

Mit Detective können Sie auf historische Ereignisdaten von bis zu einem Jahr zugreifen. Diese Daten sind über eine Reihe von Visualisierungen verfügbar, die Veränderungen in Art und Umfang der Aktivitäten in einem ausgewählten Zeitfenster zeigen. Detective verknüpft diese Änderungen mit GuardDuty Ergebnissen.

Weitere Informationen zu Quelldaten in Detective finden Sie unter In einem Verhaltensdiagramm verwendete Quelldaten.

Untersuchungen

Untersuchungen zeigen Ihnen die potenziellen Sicherheitsereignisse, die Detective identifiziert hat. Im Bereich „Untersuchungen“ können Sie sich kritische Untersuchungen und die entsprechenden AWS -Rollen und Benutzer ansehen, die über einen bestimmten Zeitraum von Sicherheitsereignissen betroffen waren. Bei der Untersuchung werden Indikatoren für eine Gefährdung zusammengefasst, um festzustellen, ob eine AWS Ressource an ungewöhnlichen Aktivitäten beteiligt ist, die auf bösartiges Verhalten und dessen Auswirkungen hinweisen könnten.

Wählen Sie Alle Untersuchungen anzeigen aus, um Erkenntnisse, Gruppen und Ressourcendetails zu überprüfen und so Ihre Sicherheitsuntersuchung zu beschleunigen. Untersuchungen werden je nach ausgewähltem Zeitbereich angezeigt. Sie können den Umfang so anpassen, dass die Untersuchungen in den letzten 365 Tagen innerhalb von 24 Stunden angezeigt werden. Sie können direkt zu Kritische Untersuchungen wechseln, um einen detaillierten Untersuchungsbericht zu sehen.

Wenn Sie eine AWS Rolle oder einen Benutzer identifizieren, der verdächtige Aktivitäten zu haben scheint, können Sie direkt vom Bereich Ermittlungen zu der Rolle oder dem Benutzer wechseln, um Ihre Untersuchung fortzusetzen. Wechseln Sie zu einer Rolle oder einem Benutzer und klicken Sie auf Untersuchung ausführen, um einen Untersuchungsbericht zu erstellen. Sobald Sie eine Untersuchung für eine Rolle oder einen Benutzer durchgeführt haben, wird die Rolle oder der Benutzer auf die Registerkarte Untersucht verschoben.

Neu beobachtete Geolocations

Neu beobachtete Geolocations heben geografische Standorte hervor, von denen die Aktivitäten in den letzten 24 Stunden ausgegangen sind, die aber im Bezugszeitraum davor nicht beobachtet wurden.

Der Bereich umfasst bis zu 100 Geolocations. Die Standorte sind auf der Karte markiert und in der Tabelle unter der Karte aufgeführt.

In der Tabelle wird für jeden Standort die Anzahl der fehlgeschlagenen und erfolgreichen API Anrufe angezeigt, die in den letzten 24 Stunden von diesem Standort aus getätigt wurden.

Sie können jede Geolokalisierung erweitern, um die Liste der Benutzer und Rollen anzuzeigen, die von dieser Geolokalisierung aus Anrufe getätigt haben. API In der Tabelle sind für jeden Prinzipal der Typ und die zugehörigen AWS-Konto aufgeführt.

Wenn Sie einen Benutzer oder eine Rolle identifizieren, die Ihnen verdächtig erscheinen, können Sie direkt vom Bereich zum Benutzer- oder Rollenprofil wechseln, um Ihre Untersuchung fortzusetzen. Um zu einem Profil zu wechseln, wählen Sie die Benutzer- oder Rollen-ID aus.

Detective bestimmt den Standort von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art des geistigen Eigentums variiert. Weitere Informationen MaxMind dazu finden Sie unter MaxMind IP-Geolokalisierung. Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, können Sie unter MaxMind Correct Geo IP2 Data eine Korrekturanfrage an Maxmind stellen.

Aktive Erkenntnisgruppen in den letzten 7 Tagen

Aktive Erkenntnisgruppen der letzten 7 Tage zeigt Ihnen korrelierte Gruppierungen von Detective-Erkenntnissen, Entitäten und Beweisen in Ihrer Umgebung, die über einen bestimmten Zeitraum aufgetreten sind. Diese Gruppierungen korrelieren ungewöhnliche Aktivitäten, die auf böswilliges Verhalten hinweisen könnten. Das Übersichts-Dashboard zeigt bis zu fünf Gruppen, sortiert nach den Gruppen mit den wichtigsten Ergebnissen, die in der letzten Woche aktiv waren.

Sie können Werte in den Inhalten Taktik, Konto, Ressource und Erkenntnisse auswählen, um weitere Details zu sehen.

Erkenntnisgruppen werden täglich generiert. Wenn Sie eine interessante Erkenntnisgruppe identifizieren, können Sie den Titel auswählen, um zu einer detaillierten Ansicht eines Gruppenprofils zu gelangen und Ihre Untersuchung fortzusetzen.

Rollen und Benutzer mit dem höchsten API Anrufvolumen

Rollen und Benutzer mit dem höchsten API Anrufvolumen identifiziert die Benutzer und Rollen, die in den letzten 24 Stunden die meisten API Anrufe getätigt haben.

Der Bereich kann bis zu 100 Benutzer und Rollen enthalten. Für jeden Benutzer oder jede Rolle können Sie den Typ (Benutzer oder Rolle) und das zugehörige Konto sehen. Sie können auch die Anzahl der API Anrufe sehen, die von diesem Benutzer oder dieser Rolle in den letzten 24 Stunden getätigt wurden.

Standardmäßig werden dienstbezogene Rollen angezeigt. Rollen, die mit Diensten verknüpft sind, können zu einem großen AWS CloudTrail Aktivitätsvolumen führen, wodurch die Hauptbenutzer, die Sie genauer untersuchen möchten, verdrängt werden. Sie können die Option Serviceverknüpfte Rollen anzeigen deaktivieren, um dienstbezogene Rollen aus der Übersichts-Dashboard-Ansicht herauszufiltern.

Sie können eine Datei mit kommagetrennten Werten (.csv) exportieren, die die Daten in diesem Bereich enthält.

Es gibt auch eine Zeitleiste mit dem API Anrufvolumen der letzten 7 Tage. Anhand des Zeitplans können Sie feststellen, ob die Anzahl der API Anrufe für diesen Schulleiter ungewöhnlich ist.

Wenn Sie einen Benutzer oder eine Rolle identifizieren, für den das API Anrufvolumen verdächtig erscheint, können Sie direkt vom Panel zum Benutzer- oder Rollenprofil wechseln, um Ihre Untersuchung fortzusetzen. Sie können auch das Profil des Kontos einsehen, das dem Benutzer oder der Rolle zugeordnet ist. Um ein Profil anzuzeigen, wählen Sie den Benutzer, die Rolle oder die Konto-ID aus.

EC2Instanzen mit dem höchsten Verkehrsaufkommen

EC2Instances mit dem meisten Verkehrsvolumen identifizieren die EC2 Instances, die in den letzten 24 Stunden das größte Gesamtverkehrsvolumen hatten.

Das Panel kann bis zu 100 EC2 Instanzen enthalten. Für jede EC2 Instanz können Sie das zugehörige Konto und die Anzahl der eingehenden Byte, ausgehenden Byte und die Gesamtzahl der Byte der letzten 24 Stunden sehen.

Sie können eine CSV-Datei (komma-getrennte Werte) exportieren, die die Daten in diesem Bereich enthält.

Sie können auch eine Zeitleiste sehen, in der der eingehende und ausgehende Verkehr der letzten 7 Tage angezeigt wird. Anhand des Zeitplans kann festgestellt werden, ob das Verkehrsaufkommen für diese EC2 Instanz ungewöhnlich ist.

Wenn Sie eine EC2 Instance mit verdächtigem Traffic-Volumen identifizieren, können Sie direkt vom Panel zum EC2 Instanzprofil wechseln, um Ihre Untersuchung fortzusetzen. Sie können sich auch das Profil des Accounts ansehen, dem die EC2 Instanz gehört. Um ein Profil anzuzeigen, wählen Sie die EC2 Instanz- oder Konto-ID aus.

Container-Cluster mit den meisten Kubernetes-Pods

Containercluster mit den meisten erstellten Kubernetes-Pods identifizieren die Cluster, in denen in den letzten 24 Stunden die meisten Container ausgeführt wurden.

Dieser Bereich umfasst bis zu 100 Cluster, die danach geordnet sind, mit welchen Clustern die meisten Erkenntnisse verknüpft wurden. Für jeden Cluster können Sie das zugehörige Konto, die aktuelle Anzahl von Containern in diesem Cluster und die Anzahl der mit diesem Cluster verknüpften Erkenntnisse in den letzten 24 Stunden sehen. Sie können eine CSV-Datei (komma-getrennte Werte) exportieren, die die Daten in diesem Bereich enthält.

Wenn Sie einen Cluster mit aktuellen Erkenntnissen identifizieren, können Sie direkt vom Bereich zum Clusterprofil wechseln, um Ihre Untersuchung fortzusetzen. Sie können auch zum Profil des Accounts wechseln, dem der Cluster gehört. Um zu einem Profil zu wechseln, wählen Sie den Clusternamen oder die Konto-ID aus.

Benachrichtigung über den ungefähren Wert

Wenn bei Rollen und Benutzern mit dem höchsten API Anrufvolumen und bei EC2 Instanzen mit dem höchsten Verkehrsaufkommen auf einen Wert ein Sternchen (*) folgt, bedeutet dies, dass es sich bei dem Wert um einen Näherungswert handelt. Der wahre Wert ist entweder gleich oder größer als der angezeigte Wert.

Dies liegt an der Methode, mit der Detective das Volumen für jedes Zeitintervall berechnet. Auf der Übersichtsseite ist das Zeitintervall eine Stunde.

Für jede Stunde berechnet Detective das Gesamtvolumen für die 1.000 Benutzer, Rollen oder EC2 Instanzen mit dem größten Volumen. Es schließt die Daten für die verbleibenden Benutzer, Rollen oder EC2 Instanzen aus.

Wenn eine Ressource manchmal unter den Top 1.000 war und manchmal nicht, beinhaltet das berechnete Volumen für diese Ressource möglicherweise nicht alle Daten. Die Daten für die Zeitintervalle, in denen sie nicht zu den obersten 1.000 gehörte, werden nicht berücksichtigt.

Beachten Sie, dass dies nur für die Übersichtsseite gilt. Das Profil für den Benutzer, die Rolle oder die EC2 Instanz enthält genaue Details.