Bagaimana Detektif digunakan untuk penyelidikan - Amazon Detective
Fase investigasiTitik awal untuk Investigasi DetektifAlur Investigasi Detektif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Detektif digunakan untuk penyelidikan

Amazon Detective memudahkan untuk menganalisis, menyelidiki, dan dengan cepat mengidentifikasi akar penyebab temuan keamanan atau aktivitas yang mencurigakan. Detective menyediakan alat untuk mendukung proses investigasi secara keseluruhan. Investigasi di Detektif dapat dimulai dari temuan, kelompok pencari, atau entitas.

Fase investigasi di Detektif

Setiap proses investigasi Detektif melibatkan tahapan berikut:

Triase

Proses investigasi dimulai ketika Anda diberi tahu tentang dugaan kejadian berbahaya atau berisiko tinggi. Misalnya, Anda ditugaskan untuk melihat temuan atau peringatan yang ditemukan oleh layanan seperti Amazon GuardDuty dan Amazon Inspector.

Pada fase triase, Anda menentukan apakah Anda yakin aktivitas tersebut benar-benar positif (aktivitas jahat asli) atau positif palsu (bukan aktivitas berbahaya atau berisiko tinggi). Profil Detektif mendukung proses triase dengan memberikan wawasan tentang aktivitas untuk entitas yang terlibat.

Untuk contoh positif sejati, Anda melanjutkan ke fase berikutnya.

Pelingkupan

Selama fase pelingkupan, analis menentukan sejauh mana aktivitas berbahaya atau berisiko tinggi dan penyebab yang mendasarinya.

Pelingkupan menjawab jenis pertanyaan berikut:

  • Sistem dan pengguna apa yang dikompromikan?

  • Dari mana serangan itu berasal?

  • Sudah berapa lama serangan itu terjadi?

  • Apakah ada kegiatan terkait lainnya untuk diungkap? Misalnya, jika penyerang mengekstraksi data dari sistem Anda, bagaimana mereka mendapatkannya?

Visualisasi detektif dapat membantu Anda mengidentifikasi entitas lain yang terlibat atau terpengaruh.

Respons

Langkah terakhir adalah menanggapi serangan untuk menghentikan serangan, meminimalkan kerusakan, dan mencegah serangan serupa terjadi lagi.

Titik awal untuk Investigasi Detektif

Setiap investigasi di Detective memiliki titik awal yang penting. Misalnya, Anda mungkin diberi Amazon GuardDuty atau AWS Security Hub temuan untuk diselidiki. Atau Anda mungkin memiliki kekhawatiran tentang aktivitas yang tidak biasa untuk alamat IP tertentu.

Titik awal yang khas untuk penyelidikan termasuk temuan yang terdeteksi oleh GuardDuty dan entitas yang diekstraksi dari data sumber Detektif.

Temuan terdeteksi oleh GuardDuty

GuardDuty menggunakan data log Anda untuk mengungkap dugaan kejadian berbahaya atau berisiko tinggi. Detective menyediakan sumber daya yang membantu Anda menyelidiki temuan ini.

Untuk setiap temuan, Detective memberikan rincian temuan terkait. Detective juga menunjukkan entitas, seperti alamat IP dan AWS akun, yang terhubung ke temuan.

Anda kemudian dapat menjelajahi aktivitas untuk entitas yang terlibat untuk menentukan apakah aktivitas yang terdeteksi dari temuan tersebut merupakan penyebab asli yang perlu dikhawatirkan.

Untuk informasi selengkapnya, lihat Menganalisis ikhtisar temuan di Detektif.

AWS Temuan keamanan dikumpulkan oleh Security Hub

AWS Security Hub mengumpulkan temuan keamanan dari berbagai penyedia temuan di satu tempat, dan memberi Anda pandangan komprehensif tentang status keamanan Anda di AWS. Security Hub menghilangkan kompleksitas dalam menangani sejumlah besar temuan dari beberapa penyedia. Ini mengurangi upaya yang diperlukan untuk mengelola dan meningkatkan keamanan semua AWS akun, sumber daya, dan beban kerja Anda. Detective menyediakan sumber daya yang membantu Anda menyelidiki temuan ini.

Untuk setiap temuan, Detective memberikan rincian temuan terkait. Detective juga menunjukkan entitas, seperti alamat IP dan AWS akun, yang terhubung ke temuan.

Untuk informasi selengkapnya, lihat Menganalisis ikhtisar temuan di Detektif.

Entitas yang diambil dari data sumber Detektif

Dari data sumber Detective yang dicerna, Detective mengekstrak entitas seperti alamat IP dan pengguna. AWS Anda dapat menggunakan salah satunya sebagai titik awal investigasi.

Detective memberikan rincian umum tentang entitas, seperti alamat IP atau nama pengguna. Ini juga memberikan rincian tentang riwayat aktivitas. Misalnya, Detektif dapat melaporkan alamat IP lain yang telah terhubung, terhubung, atau digunakan oleh entitas.

Untuk informasi selengkapnya, lihat Menganalisis entitas di Amazon Detective.

Alur Investigasi Detektif

Anda dapat menggunakan Amazon Detective untuk menyelidiki entitas seperti EC2 instance AWS atau pengguna. Anda juga dapat menyelidiki temuan keamanan.

Pada tingkat tinggi, gambar berikut menunjukkan proses untuk Investigasi Detektif.

Diagram yang menunjukkan proses Investigasi Detektif.
Langkah 1: Pilih entitas yang akan diselidiki

Ketika melihat temuan di GuardDuty, analis dapat memilih untuk menyelidiki entitas terkait di Detective. Lihat Berputar ke profil entitas atau menemukan ikhtisar dari Amazon atau GuardDuty AWS Security Hub.

Memilih entitas akan membawa Anda ke profil entitas di Detektif.

Langkah 2: Analisis visualisasi pada profil

Setiap profil entitas berisi serangkaian visualisasi yang dihasilkan dari grafik perilaku. Grafik perilaku dibuat dari file log dan data lain yang dimasukkan ke Detective.

Visualisasi menunjukkan aktivitas yang terkait dengan suatu entitas. Anda menggunakan visualisasi ini untuk menjawab pertanyaan guna menentukan apakah aktivitas entitas tidak biasa. Lihat Menganalisis entitas di Amazon Detective.

Untuk membantu memandu penyelidikan, Anda dapat menggunakan panduan Detektif yang disediakan untuk setiap visualisasi. Panduan menguraikan informasi yang ditampilkan, menyarankan pertanyaan untuk Anda tanyakan, dan mengusulkan langkah selanjutnya berdasarkan jawaban. Lihat Menggunakan panduan panel profil selama investigasi.

Setiap profil berisi daftar temuan terkait. Anda dapat melihat detail untuk temuan, dan melihat ikhtisar temuan. Lihat Melihat detail untuk temuan terkait di Detektif.

Dari profil entitas, Anda dapat beralih ke entitas lain dan menemukan profil, untuk menyelidiki lebih lanjut aktivitas aset terkait.

Langkah 3: Ambil tindakan

Berdasarkan hasil investigasi Anda, ambil tindakan yang sesuai.

Untuk temuan yang positif palsu, Anda dapat mengarsipkan temuan tersebut. Dari Detektif, Anda dapat mengarsipkan GuardDuty temuan. Untuk detail selengkapnya, lihat Mengarsipkan GuardDuty temuan Amazon.

Jika tidak, Anda mengambil tindakan yang tepat untuk mengatasi kerentanan dan mengurangi kerusakan. Misalnya, Anda mungkin perlu memperbarui konfigurasi sumber daya.