Llevar a cabo una investigación de Detectives - Amazon Detective

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Llevar a cabo una investigación de Detectives

Utilice Run investigation para analizar recursos, como IAM los usuarios y las IAM funciones, y para generar un informe de investigación. El informe generado detalla el comportamiento anómalo que indica un posible compromiso.

Console

Sigue estos pasos para ejecutar una investigación detectivesca desde la página de Investigaciones con la consola Amazon Detective.

  1. Inicie sesión en la consola AWS de administración. A continuación, abra la consola de Detectives en https://console.aws.amazon.com/detective/.

  2. En el panel de navegación, elija Investigaciones.

  3. En la página de investigaciones, selecciona Ejecutar una investigación en la esquina superior derecha.

  4. En la sección Seleccionar un recurso, tienes tres formas de llevar a cabo una investigación. Puede optar por llevar a cabo la investigación para obtener un recurso recomendado por el Detective. Puedes ejecutar la investigación para un recurso específico. También puede investigar un recurso desde la página Búsqueda de Detective.

    1. Choose a recommended resource— El Detective recomienda recursos en función de su actividad de búsqueda y búsqueda de grupos. Para ejecutar la investigación de un recurso recomendado por el Detective, en la tabla Recursos recomendados, seleccione el recurso que desee investigar.

      La tabla Recursos recomendados proporciona los siguientes detalles:

      • Recurso ARN: el nombre del recurso de Amazon (ARN) del AWS recurso.

      • Motivo para investigar: muestra los motivos principales para investigar el recurso. Los motivos por los que Detective recomienda investigar un recurso son los siguientes:

        • Si un recurso ha estado implicado en un resultado de gravedad alta en las 24 últimas horas.

        • Si un recurso ha estado implicado en un grupo de resultados observado en los 7 últimos días. Los grupos de resultados de Detective le permiten examinar varias actividades en relación con un posible evento de seguridad. Para obtener más información, consulte Análisis de grupos de resultados.

        • Si un recurso ha estado implicado en un resultado en los 7 últimos días.

      • Resultado más reciente: los resultados más recientes se ordenan por prioridad en la parte superior de la lista.

      • Tipo de recurso: identifica el tipo de recurso. Por ejemplo, un AWS usuario o un AWS rol.

    2. Specify an AWS role or user with an ARN— Puede seleccionar un AWS rol o un AWS usuario y realizar una investigación para el recurso específico.

      Siga estos pasos para investigar un tipo de recurso específico.

      1. En la lista desplegable Seleccione el tipo de recurso, elija el AWS rol o AWS el usuario.

      2. Introduzca el recurso ARN del IAM recurso. Para obtener más información sobre ResourceARNs, consulte Amazon Resource Names (ARNs) en la Guía del IAM usuario.

    3. Find a resource to investigate from the Search page— Puedes buscar todos tus IAM recursos en la página de Búsqueda de Detectives.

      Sigue estos pasos para investigar un recurso desde la página de búsqueda.

      1. En el panel de navegación, elija Buscar.

      2. En la página de búsqueda, busque un IAM recurso.

      3. Ve a la página de perfil del recurso y realiza una investigación desde allí.

  5. En la sección Tiempo del alcance de la investigación, elija el tiempo del alcance de la investigación para evaluar la actividad del recurso seleccionado. Puede seleccionar una fecha de inicio y una hora de inicio, y una fecha de finalización y una hora de finalización en UTC este formato. El intervalo de tiempo del rango seleccionado puede oscilar entre un mínimo de 3 horas y un máximo de 30 días.

  6. Seleccione Ejecutar investigación.

API

Para ejecutar una investigación mediante programación, utilice la StartInvestigationoperación del Detective. API Para ejecutar una investigación con el comando AWS Command Line Interface (AWS CLI) ejecute el comando start-investigation.

En la solicitud, utilice estos parámetros para ejecutar una investigación en Detective:

  • GraphArn— Especifique el nombre del recurso de Amazon (ARN) del gráfico de comportamiento.

  • EntityArn— Especifique el nombre único del recurso de Amazon (ARN) del IAM usuario y el IAM rol.

  • ScopeStartTime: opcionalmente, especifique la fecha y la hora para comenzar la investigación. El valor es una cadena con formato UTC ISO86 01. Por ejemplo, 2021-08-18T16:35:56.284Z.

  • ScopeEndTime: opcionalmente, especifique la fecha y la hora para finalizar la investigación. El valor es una cadena con formato UTC ISO86 01. Por ejemplo, 2021-08-18T16:35:56.284Z.

Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

También puede ejecutar una investigación desde las siguientes páginas de Detective:

  • Una página de perfil de IAM usuario o IAM rol en Detective.

  • Panel de visualización de gráficos de un grupo de resultados.

  • Columna de acciones de un recurso implicado.

  • IAMusuario o IAM rol en una página de búsqueda.

Cuando Detective ejecuta la investigación de un recurso, se genera un informe de investigación. Para acceder al informe, vaya a Investigaciones desde el panel de navegación.