Comprendre la page de groupes de résultats - Amazon Detective

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre la page de groupes de résultats

La page des groupes de recherche répertorie tous les groupes de recherche collectés par Amazon Detective à partir de votre graphe de comportement. Prenez note des attributs suivants relatifs à la recherche de groupes :

Niveau de gravité d’un groupe

Une gravité est attribuée à chaque groupe de constatations en fonction AWS de la gravité du Security Finding Format (ASFF) des résultats associés. ASFFconstatant que les valeurs de gravité sont critiques, élevées, moyennes, faibles ou indicatives, du plus grave au moins grave. Le niveau de gravité d’un groupe est égal au résultat de gravité le plus élevé parmi les résultats de ce groupe.

Les groupes contenant des résultats critiques ou de niveau de gravité élevé ayant un impact sur un grand nombre d’entités doivent être priorisés pour les enquêtes, car ils sont plus susceptibles de représenter des problèmes de sécurité à fort impact.

Titre du groupe

Dans la colonne Titre, chaque groupe possède un identifiant unique et un titre non unique. Ils sont basés sur le ASFF type d'espace de noms du groupe et sur le nombre de résultats contenus dans cet espace de noms dans le cluster. Par exemple, si un regroupement porte le titre suivant : Groupe avec : TTP(2), Effet (1) et Comportement inhabituel (2), il inclut cinq résultats au total, soit deux résultats dans l'espace de TTPnoms, un résultat dans l'espace de noms Effect et deux résultats dans l'espace de noms Unusual Behavior. Pour une liste complète des espaces de noms, consultez la section Taxonomie des types pour. ASFF

Tactiques d’un groupe

La colonne Tactiques d’un groupe détaille la catégorie de tactiques à laquelle appartient l’activité. Les catégories de tactiques, de techniques et de procédures de la liste suivante s'alignent sur la matrice MITRE ATT &CK.

Vous pouvez sélectionner une tactique sur la chaîne pour en voir la description. Après la chaîne se trouve une liste des tactiques détectées au sein du groupe. Ces catégories et les activités qu’elles représentent généralement sont les suivantes :

  • Accès initial : un adversaire essaie de pénétrer dans le réseau de quelqu’un d’autre.

  • Exécution : un adversaire essaie de pénétrer dans le réseau de quelqu’un d’autre.

  • Persistance : un adversaire essaie de maintenir sa position.

  • Escalade de privilèges : un adversaire essaie d’obtenir des autorisations de niveau supérieur.

  • Évasion défensive : un adversaire essaie d’éviter d’être détecté.

  • Accès aux informations d’identification : un adversaire essaie de voler des noms de compte et des mots de passe.

  • Découverte : un adversaire essaie de comprendre un environnement et d’en apprendre davantage sur celui-ci.

  • Mouvement latéral : un adversaire essaie de se déplacer dans un environnement.

  • Collecte : un adversaire essaie de recueillir des données présentant un intérêt pour son objectif.

  • Commande et contrôle : un adversaire essaie de s’introduire dans le réseau de quelqu’un d’autre.

  • Exfiltration : un adversaire essaie de voler des données.

  • Impact : un adversaire tente de manipuler, d’interrompre ou de détruire vos systèmes et vos données.

  • Autre : indique une activité à partir d’un résultat qui ne correspond pas aux tactiques répertoriées dans la matrice.

Entités au sein d’un groupe

La colonne Entités contient des détails sur les entités spécifiques détectées au sein de ce groupe. Sélectionnez cette valeur pour une ventilation des entités en fonction des catégories : identité, réseau, stockage et calcul. Voici des exemples d’entités dans chaque catégorie :

  • Identité : IAM principes et Comptes AWS, par exemple, utilisateur et rôle

  • Réseau : adresse IP ou autre réseau et VPC entités

  • Stockage : compartiments Amazon S3 ou DDBs

  • EC2Instances de calcul Amazon ou conteneurs Kubernetes

Comptes au sein d’un groupe

La colonne Comptes indique à quels AWS comptes appartiennent les entités impliquées dans les résultats du groupe. Les AWS comptes sont répertoriés par nom et AWS identifiant afin que vous puissiez hiérarchiser les enquêtes sur les activités impliquant des comptes critiques.

Résultats au sein d’un groupe

La colonne Résultats contient une liste des entités d’un groupe par gravité. Les résultats incluent les résultats d'Amazon, GuardDuty les résultats d'Amazon Inspector, les résultats AWS de sécurité et les preuves de Detective. Vous pouvez sélectionner le graphe pour voir le nombre exact de résultats par gravité.

GuardDuty les résultats font partie du package principal de Detective et sont ingérés par défaut. Tous les autres résultats AWS de sécurité agrégés par Security Hub sont ingérés en tant que source de données facultative. Voir Données source utilisées dans un graphe de comportement pour plus de détails.