Mener une enquête Detective - Amazon Detective

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mener une enquête Detective

Utilisez Exécuter une investigation pour analyser les ressources telles que IAM les utilisateurs et IAM les rôles et pour générer un rapport d'enquête. Le rapport généré détaille les comportements anormaux qui indiquent une compromission potentielle.

Console

Suivez ces étapes pour exécuter une enquête Detective depuis la page Investigations à l'aide de la console Amazon Detective.

  1. Connectez-vous à la console AWS de gestion. Ouvrez ensuite la console Detective à l'adresse https://console.aws.amazon.com/detective/.

  2. Dans le volet de navigation, choisissez Enquêtes.

  3. Sur la page Enquêtes, choisissez Exécuter une investigation dans le coin supérieur droit.

  4. Dans la section Sélectionner une ressource, vous pouvez effectuer une enquête de trois manières différentes. Vous pouvez choisir de lancer l'enquête pour une ressource recommandée par Detective. Vous pouvez exécuter l'enquête pour une ressource spécifique. Vous pouvez également enquêter sur une ressource depuis la page Rechercher de Detective.

    1. Choose a recommended resource— Detective recommande des ressources en fonction de son activité en matière de découvertes et de recherche de groupes. Pour exécuter l'enquête sur une ressource recommandée par Detective, dans le tableau des ressources recommandées, sélectionnez une ressource à examiner.

      Le tableau Ressources recommandées fournit les détails suivants :

      • Ressource ARN : nom de la ressource Amazon (ARN) de la AWS ressource.

      • Motif de l’enquête : affiche les principaux motifs menant à enquêter sur la ressource. Les motifs pour lesquels Detective recommande d’enquêter sur une ressource sont les suivants :

        • Si une ressource a été impliquée dans un résultat de haute gravité au cours des dernières 24 heures.

        • Si une ressource a été impliquée dans un groupe de résultats observé au cours des 7 derniers jours. Les groupes de résultats Detective vous permettent d’examiner plusieurs activités liées à un événement de sécurité potentiel. Pour en savoir plus, consultez Analyse des groupes de résultats.

        • Si une ressource a été impliquée dans un résultat observé au cours des 7 derniers jours.

      • Dernier résultat : les résultats les plus récents sont placés en tête de liste.

      • Type de ressource : identifie le type de ressource. Par exemple, un AWS utilisateur ou un AWS rôle.

    2. Specify an AWS role or user with an ARN— Vous pouvez sélectionner un AWS rôle ou un AWS utilisateur et lancer une enquête pour la ressource en question.

      Suivez ces étapes pour étudier un type de ressource spécifique.

      1. Dans la liste déroulante Sélectionner le type de ressource, sélectionnez AWS un rôle ou un AWS utilisateur.

      2. Entrez la ressource ARN de la IAM ressource. Pour plus de détails sur ResourceARNs, consultez Amazon Resource Names (ARNs) dans le guide de IAM l'utilisateur.

    3. Find a resource to investigate from the Search page— Vous pouvez effectuer des recherches dans toutes vos IAM ressources depuis la page Detective Search.

      Procédez comme suit pour rechercher une ressource à partir de la page de recherche.

      1. Dans le volet de navigation, sélectionnez Recherche.

      2. Dans la page de recherche, recherchez une IAM ressource.

      3. Accédez à la page de profil de la ressource et lancez une enquête à partir de là.

  5. Dans la section Durée de l'enquête, choisissez la durée de l'enquête afin d'évaluer l'activité de la ressource sélectionnée. Vous pouvez sélectionner une date de début et une heure de début, ainsi qu'une date de fin et une heure de fin au UTC format. La fenêtre de durée de validité sélectionnée peut être comprise entre un minimum de 3 heures et un maximum de 30 jours.

  6. Choisissez Exécuter une enquête.

API

Pour exécuter une enquête par programmation, utilisez le StartInvestigationDetective. API Pour exécuter une enquête à l'aide de la AWS Command Line Interface (AWS CLI), exécutez la commande start-investigation.

Dans votre demande, utilisez les paramètres suivants pour effectuer une enquête dans Detective :

  • GraphArn— Spécifiez le nom de ressource Amazon (ARN) du graphe de comportement.

  • EntityArn— Spécifiez le nom de ressource Amazon unique (ARN) de l'IAMutilisateur et du IAM rôle.

  • ScopeStartTime : spécifiez éventuellement la date et l’heure à partir desquelles l’enquête doit commencer. La valeur est une chaîne au format UTC ISO86 01. Par exemple, 2021-08-18T16:35:56.284Z.

  • ScopeEndTime : spécifiez éventuellement la date et l’heure auxquelles l’enquête doit se terminer. La valeur est une chaîne au format UTC ISO86 01. Par exemple, 2021-08-18T16:35:56.284Z.

Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

Vous pouvez également exécuter une enquête à partir des pages suivantes de Detective :

  • Une page de profil IAM d'utilisateur ou de IAM rôle dans Detective.

  • Volet de visualisation de graphique d’un groupe de résultats.

  • Colonne Actions d’une ressource impliquée.

  • IAMutilisateur ou IAM rôle sur une page de recherche.

Une fois que Detective a effectué l’enquête pour une ressource, un rapport d’enquête est généré. Pour accéder au rapport, accédez à Investigations dans le volet de navigation.