Menjalankan Investigasi Detektif - Amazon Detective

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menjalankan Investigasi Detektif

Gunakan investigasi Jalankan untuk menganalisis sumber daya seperti IAM pengguna dan IAM peran dan untuk menghasilkan laporan investigasi. Laporan yang dihasilkan merinci perilaku anomali yang menunjukkan potensi kompromi.

Console

Ikuti langkah-langkah berikut untuk menjalankan Investigasi Detektif dari halaman Investigasi menggunakan konsol Detektif Amazon.

  1. Masuk ke Konsol AWS Manajemen. Kemudian buka konsol Detektif di. https://console.aws.amazon.com/detective/

  2. Di panel navigasi, pilih Investigasi.

  3. Di halaman Investigasi, pilih Jalankan investigasi di pojok kanan atas.

  4. Di bagian Pilih sumber daya, Anda memiliki tiga cara untuk menjalankan penyelidikan. Anda dapat memilih untuk menjalankan penyelidikan untuk sumber daya yang direkomendasikan oleh Detektif. Anda dapat menjalankan penyelidikan untuk sumber daya tertentu. Anda juga dapat menyelidiki sumber daya dari halaman Pencarian Detektif.

    1. Choose a recommended resourceDetective merekomendasikan sumber daya berdasarkan aktivitasnya dalam temuan dan menemukan kelompok. Untuk menjalankan investigasi sumber daya yang direkomendasikan oleh Detektif, dalam tabel Sumber daya yang direkomendasikan, pilih sumber daya untuk diselidiki.

      Tabel sumber daya yang direkomendasikan memberikan rincian berikut:

      • Sumber Daya ARN — Nama Sumber Daya Amazon (ARN) AWS sumber daya.

      • Alasan untuk menyelidiki - Menampilkan alasan utama untuk menyelidiki sumber daya. Alasan Detective merekomendasikan untuk menyelidiki sumber daya adalah sebagai berikut:

        • Jika sumber daya terlibat dalam temuan Keparahan Tinggi dalam 24 jam terakhir.

        • Jika sumber daya terlibat dalam kelompok temuan yang diamati dalam 7 hari terakhir. Kelompok pencari Detektif memungkinkan Anda memeriksa beberapa aktivitas yang terkait dengan peristiwa keamanan potensial. Untuk detail selengkapnya, lihat Menganalisis kelompok temuan.

        • Jika sumber daya terlibat dalam temuan dalam 7 hari terakhir.

      • Temuan terbaru — Temuan terbaru diprioritaskan di bagian atas daftar.

      • Jenis sumber daya - Mengidentifikasi jenis sumber daya. Misalnya, AWS pengguna atau AWS peran.

    2. Specify an AWS role or user with an ARN— Anda dapat memilih AWS peran atau AWS pengguna dan menjalankan penyelidikan untuk sumber daya tertentu.

      Ikuti langkah-langkah ini untuk menyelidiki jenis sumber daya tertentu.

      1. Dari daftar drop-down Pilih jenis sumber daya, pilih AWS peran atau AWS pengguna.

      2. Masukkan Sumber Daya ARN sumber IAM daya. Untuk detail selengkapnya tentang Sumber DayaARNs, lihat Amazon Resource Names (ARNs) di Panduan IAM Pengguna.

    3. Find a resource to investigate from the Search page— Anda dapat mencari semua sumber IAM daya Anda dari halaman Pencarian Detektif.

      Ikuti langkah-langkah ini untuk menyelidiki sumber daya dari halaman Penelusuran.

      1. Di panel navigasi, pilih Cari.

      2. Di halaman Pencarian, cari sumber IAM daya.

      3. Arahkan ke halaman profil sumber daya dan jalankan penyelidikan dari sana.

  5. Di bagian Waktu lingkup investigasi, pilih Waktu lingkup investigasi untuk menilai aktivitas sumber daya yang dipilih. Anda dapat memilih Tanggal mulai dan waktu mulai; dan Tanggal akhir dan Waktu akhir dalam UTC format. Jendela waktu lingkup yang dipilih dapat antara minimal 3 jam dan maksimal 30 hari.

  6. Pilih Jalankan investigasi.

API

Untuk menjalankan investigasi secara terprogram, gunakan StartInvestigationoperasi Detektif. API Untuk menjalankan investigasi menggunakan AWS Command Line Interface (AWS CLI) jalankan perintah start-investigation.

Dalam permintaan Anda, gunakan parameter ini untuk menjalankan investigasi di Detective:

  • GraphArn— Tentukan Nama Sumber Daya Amazon (ARN) dari grafik perilaku.

  • EntityArn— Tentukan Nama Sumber Daya Amazon yang unik (ARN) dari IAM pengguna dan IAM peran.

  • ScopeStartTime— Secara opsional, tentukan data dan waktu dari mana penyelidikan harus dimulai. Nilainya adalah string yang diformat UTC ISO86 01. Misalnya, 2021-08-18T16:35:56.284Z.

  • ScopeEndTime— Secara opsional, tentukan data dan waktu kapan investigasi harus berakhir. Nilainya adalah string yang diformat UTC ISO86 01. Misalnya, 2021-08-18T16:35:56.284Z.

Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

Anda juga dapat menjalankan investigasi dari halaman-halaman berikut di Detective:

  • Halaman profil IAM pengguna atau IAM peran di Detective.

  • Panel visualisasi grafik dari grup pencari.

  • Kolom tindakan dari sumber daya yang terlibat.

  • IAMpengguna atau IAM peran pada halaman pencarian.

Setelah Detective menjalankan penyelidikan untuk sumber daya, laporan investigasi dihasilkan. Untuk mengakses laporan, buka Investigasi dari panel navigasi.