Analyse des groupes de résultats

Les groupes de résultats Amazon Detective vous permettent d’examiner plusieurs activités liées à un événement de sécurité potentiel. Un groupe de recherche dans Amazon Detective est créé lorsque Detective détecte un schéma ou une relation entre plusieurs résultats qui suggèrent qu'ils sont liés au même incident de sécurité potentiel. Ce regroupement permet de gérer et d'étudier les résultats connexes de manière plus efficace.

Vous pouvez analyser la cause première des GuardDuty résultats très graves à l'aide de groupes de recherche. Si un auteur de menaces tente de compromettre votre AWS environnement, il exécute généralement une séquence d'actions qui aboutit à de multiples constatations de sécurité et à des comportements inhabituels. Ces actions sont souvent réparties dans le temps et dans des entités. Lorsque les résultats de sécurité sont étudiés isolément, cela peut mener à une interprétation erronée de leur importance et à la difficulté d’en trouver la cause première. Amazon Detective résout ce problème en appliquant une technique d’analyse graphique qui déduit les relations entre les résultats et les entités, puis les regroupe. Nous recommandons de considérer les groupes de résultats comme point de départ pour étudier les entités impliquées et les résultats.

Detective analyse les données issues des résultats et les regroupe avec d’autres résultats susceptibles d’être liés en fonction des ressources qu’ils partagent. Par exemple, les résultats liés à des actions entreprises par des sessions ayant le même IAM rôle ou provenant de la même adresse IP sont très susceptibles de faire partie de la même activité sous-jacente. Il est utile d’étudier les résultats et les preuves en tant que groupe, même si les associations établies par Detective ne sont pas liées.

Les groupes de recherche sont créés en fonction des critères suivants.

Proximité temporelle — Les constatations survenues dans un laps de temps rapproché sont souvent regroupées, car elles sont probablement liées au même incident.
Entités communes : les résultats impliquant les mêmes entités, telles que les adresses IP, les utilisateurs ou les ressources, sont regroupés. Cela permet de comprendre l'ampleur de l'incident dans les différentes parties de l'environnement.
Modèles et comportements — Detective analyse les modèles et les comportements contenus dans les résultats, tels que des types d'attaques similaires ou des activités suspectes, afin de déterminer les relations et de les regrouper en conséquence.
Tactiques, techniques et procédures (TTPs) — Les résultats présentant des similitudesTTPs, tels que décrits dans des cadres tels que MITRE ATT &CK, sont regroupés pour mettre en évidence les attaques coordonnées potentielles.

Ces critères permettent de rationaliser le processus d'enquête afin que vous puissiez vous concentrer sur les résultats corrélés qui représentent probablement le même incident de sécurité.

Outre les résultats, chaque groupe comprend les entités impliquées dans les résultats. Les entités peuvent inclure des ressources extérieures, AWS telles que des adresses IP ou des agents utilisateurs.

Note

Une fois qu'une première GuardDuty constatation liée à une autre constatation a été effectuée, le groupe de recherche contenant toutes les constatations connexes et toutes les entités impliquées est créé dans les 48 heures.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Vue d’ensemble des résultats

Comprendre la page de groupes de résultats