Menggunakan dasbor ringkasan Detektif - Amazon Detective
InvestigasiGeolokasi yang baru diamatiKelompok pencarian aktif dalam 7 hari terakhir Peran dan pengguna dengan volume API panggilan terbanyakEC2contoh dengan volume lalu lintas terbanyakCluster kontainer dengan pod Kubernetes terbanyakPerkiraan pemberitahuan nilai

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan dasbor ringkasan Detektif

Gunakan dasbor Ringkasan di Detektif Amazon untuk mengidentifikasi entitas guna menyelidiki asal aktivitas selama 24 jam sebelumnya. Dasbor Ringkasan Detektif Amazon membantu Anda mengidentifikasi entitas yang terkait dengan jenis aktivitas tidak biasa tertentu. Ini adalah salah satu dari beberapa titik awal yang mungkin untuk penyelidikan.

Untuk menampilkan dasbor Ringkasan, di panel navigasi Detektif, pilih Ringkasan. Dasbor Ringkasan juga ditampilkan secara default saat Anda pertama kali membuka konsol Detektif.

Dari dasbor Ringkasan, Anda dapat mengidentifikasi entitas yang memenuhi kriteria berikut:

  • Investigasi yang menunjukkan potensi peristiwa keamanan yang diidentifikasi oleh Detektif

  • Entitas yang terlibat dalam aktivitas yang terjadi di geolokasi yang baru diamati

  • Entitas yang melakukan jumlah API panggilan terbesar

  • EC2contoh yang memiliki volume lalu lintas terbesar

  • Cluster kontainer yang memiliki jumlah kontainer terbesar

Dari setiap panel dasbor Ringkasan, Anda dapat berputar ke profil untuk entitas yang dipilih.

Saat Anda meninjau dasbor Ringkasan, Anda dapat menyesuaikan waktu Cakupan untuk melihat aktivitas untuk kerangka waktu 24 jam apa pun dalam 365 hari sebelumnya. Saat Anda mengubah tanggal dan waktu Mulai, tanggal dan waktu Berakhir secara otomatis diperbarui menjadi 24 jam setelah waktu mulai yang Anda pilih.

Dengan Detective, Anda dapat mengakses data peristiwa historis hingga satu tahun. Data ini tersedia melalui serangkaian visualisasi yang menunjukkan perubahan jenis dan volume aktivitas pada jendela waktu yang dipilih. Detektif menghubungkan perubahan ini dengan temuan. GuardDuty

Untuk informasi selengkapnya tentang sumber data di Detektif, lihat Sumber data yang digunakan dalam grafik perilaku.

Investigasi

Investigasi menunjukkan kepada Anda peristiwa keamanan potensial yang diidentifikasi oleh Detektif. Pada panel Investigasi, Anda dapat melihat Investigasi kritis dan AWS peran serta pengguna terkait yang terkena dampak peristiwa keamanan selama periode waktu tertentu. Investigasi mengelompokkan indikator kompromi untuk membantu menentukan apakah AWS sumber daya terlibat dalam aktivitas yang tidak biasa yang dapat menunjukkan perilaku jahat dan dampaknya.

Pilih Lihat semua investigasi untuk meninjau temuan, grup pencarian triase, dan detail sumber daya untuk mempercepat penyelidikan keamanan Anda. Investigasi ditampilkan tergantung pada waktu Lingkup yang dipilih. Anda dapat menyesuaikan waktu lingkup untuk melihat investigasi dalam kerangka waktu 24 jam dalam 365 hari sebelumnya. Anda dapat beralih langsung ke investigasi Kritis untuk melihat laporan investigasi terperinci.

Jika Anda mengidentifikasi AWS peran atau pengguna yang tampaknya memiliki aktivitas mencurigakan, Anda dapat beralih langsung dari panel Investigasi ke peran atau pengguna untuk melanjutkan penyelidikan Anda. Pivot ke peran atau pengguna dan klik Jalankan investigasi untuk menghasilkan laporan investigasi. Setelah Anda menjalankan investigasi terhadap peran atau pengguna, peran atau pengguna akan dipindahkan ke tab Investigasi.

Geolokasi yang baru diamati

Geolokasi yang baru diamati menyoroti lokasi geografis yang merupakan asal aktivitas selama 24 jam sebelumnya, tetapi itu tidak terlihat selama periode waktu awal sebelum itu.

Panel mencakup hingga 100 geolokasi. Lokasi ditandai pada peta dan tercantum dalam tabel di bawah peta.

Untuk setiap geolokasi, tabel menampilkan jumlah API panggilan gagal dan berhasil yang dilakukan dari geolokasi tersebut selama 24 jam sebelumnya.

Anda dapat memperluas setiap geolokasi untuk menampilkan daftar pengguna dan peran yang melakukan API panggilan dari geolokasi tersebut. Untuk setiap prinsipal, tabel mencantumkan jenis dan yang terkait Akun AWS.

Jika Anda mengidentifikasi pengguna atau peran yang tampaknya mencurigakan, maka Anda dapat berputar langsung dari panel ke pengguna atau profil peran untuk melanjutkan penyelidikan Anda. Untuk berputar ke profil, pilih pengguna atau pengenal peran.

Detektif menentukan lokasi permintaan menggunakan database GeoIP MaxMind . MaxMind melaporkan akurasi data mereka yang sangat tinggi di tingkat negara, meskipun akurasi bervariasi sesuai dengan faktor-faktor seperti negara dan jenis IP. Untuk informasi selengkapnya MaxMind, lihat Geolokasi MaxMind IP. Jika menurut Anda salah satu data GeoIP salah, Anda dapat mengirimkan permintaan koreksi ke Maxmind di MaxMind Correct Geo Data. IP2

Kelompok pencarian aktif dalam 7 hari terakhir

Kelompok temuan aktif dalam 7 hari terakhir menunjukkan kepada Anda pengelompokan berkorelasi temuan Detektif, entitas, dan bukti di lingkungan Anda yang terjadi selama periode waktu tertentu. Pengelompokan ini mengkorelasikan aktivitas yang tidak biasa yang dapat menunjukkan perilaku jahat. Dasbor ringkasan menunjukkan hingga lima grup yang diurutkan berdasarkan grup yang berisi temuan paling penting yang telah aktif dalam seminggu terakhir.

Anda dapat memilih nilai dalam konten Taktik, Akun, Sumber Daya, dan Temuan untuk melihat detail selengkapnya.

Kelompok temuan dihasilkan setiap hari. Jika Anda mengidentifikasi kelompok yang menarik, Anda dapat memilih judul untuk dipindahkan ke tampilan detail profil grup untuk melanjutkan penyelidikan Anda.

Peran dan pengguna dengan volume API panggilan terbanyak

Peran dan pengguna dengan volume API panggilan terbanyak mengidentifikasi pengguna dan peran yang telah membuat jumlah API panggilan terbesar selama 24 jam sebelumnya.

Panel dapat mencakup hingga 100 pengguna dan peran. Untuk setiap pengguna atau peran, Anda dapat melihat jenis (pengguna atau peran) dan akun terkait. Anda juga dapat melihat jumlah API panggilan yang dikeluarkan oleh pengguna atau peran tersebut selama 24 jam sebelumnya.

Secara default, peran terkait layanan ditampilkan. Peran terkait layanan dapat menghasilkan volume AWS CloudTrail aktivitas yang besar, yang menggantikan prinsip-prinsip yang ingin Anda selidiki lebih lanjut. Anda dapat memilih untuk menonaktifkan Tampilkan peran terkait layanan, untuk memfilter peran terkait layanan dari tampilan dasbor ringkasan.

Anda dapat mengekspor file nilai dipisahkan koma (.csv) yang berisi data di panel ini.

Ada juga timeline volume API panggilan selama 7 hari sebelumnya. Garis waktu dapat membantu Anda menentukan apakah volume API panggilan tidak biasa untuk prinsipal itu.

Jika Anda mengidentifikasi pengguna atau peran yang volume API panggilannya tampak mencurigakan, maka Anda dapat berputar langsung dari panel ke pengguna atau profil peran untuk melanjutkan penyelidikan Anda. Anda juga dapat melihat profil akun yang terkait dengan pengguna atau peran. Untuk melihat profil, pilih pengguna, peran, atau pengenal akun.

EC2contoh dengan volume lalu lintas terbanyak

EC2Contoh dengan volume lalu lintas terbanyak mengidentifikasi EC2 contoh yang memiliki total volume lalu lintas terbesar selama 24 jam terakhir.

Panel dapat mencakup hingga 100 EC2 instance. Untuk setiap EC2 instance, Anda dapat melihat akun terkait dan jumlah byte masuk, byte keluar, dan total byte dari 24 jam sebelumnya.

Anda dapat mengekspor file nilai yang dipisahkan koma (.csv) yang berisi data di panel ini.

Anda juga dapat melihat garis waktu yang menunjukkan lalu lintas masuk dan keluar selama 7 hari sebelumnya. Garis waktu dapat membantu menentukan apakah volume lalu lintas tidak biasa untuk EC2 contoh itu.

Jika Anda mengidentifikasi EC2 instance yang memiliki volume lalu lintas yang mencurigakan, maka Anda dapat langsung pergi dari panel ke profil EC2 instans untuk melanjutkan penyelidikan Anda. Anda juga dapat melihat profil akun yang memiliki EC2 instance. Untuk melihat profil, pilih EC2 contoh atau pengenal akun.

Cluster kontainer dengan pod Kubernetes terbanyak

Cluster kontainer dengan pod Kubernetes terbanyak yang dibuat mengidentifikasi cluster yang memiliki kontainer paling banyak berjalan selama 24 jam sebelumnya.

Panel ini mencakup hingga 100 cluster yang diatur oleh cluster mana memiliki temuan paling banyak yang terkait dengannya. Untuk setiap cluster, Anda dapat melihat akun terkait, jumlah kontainer saat ini di cluster tersebut, dan jumlah temuan yang terkait dengan cluster tersebut selama 24 jam terakhir. Anda dapat mengekspor file nilai yang dipisahkan koma (.csv) yang berisi data di panel ini.

Jika Anda mengidentifikasi klaster dengan temuan terbaru, Anda dapat berputar langsung dari panel ke profil klaster untuk melanjutkan penyelidikan Anda. Anda juga dapat berputar ke profil akun yang memiliki cluster. Untuk berputar ke profil, pilih nama cluster atau pengenal akun.

Perkiraan pemberitahuan nilai

Pada Peran dan pengguna dengan volume API panggilan terbanyak dan EC2instance dengan volume lalu lintas terbanyak, jika nilai diikuti oleh tanda bintang (*), itu berarti nilainya adalah perkiraan. Nilai sebenarnya sama dengan atau lebih besar dari nilai yang ditampilkan.

Hal ini terjadi karena metode yang digunakan Detective untuk menghitung volume untuk setiap interval waktu. Pada halaman Ringkasan, interval waktu adalah satu jam.

Untuk setiap jam, Detective menghitung total volume untuk 1.000 pengguna, peran, atau EC2 instance dengan volume terbesar. Ini mengecualikan data untuk pengguna, peran, atau EC2 instance yang tersisa.

Jika sumber daya terkadang berada di 1.000 teratas dan terkadang tidak, maka volume yang dihitung untuk sumber daya itu mungkin tidak mencakup semua data. Data untuk interval waktu di mana tidak berada di 1.000 teratas dikecualikan.

Perhatikan bahwa ini hanya berlaku untuk halaman Ringkasan. Profil untuk pengguna, peran, atau EC2 contoh memberikan detail yang tepat.