Memahami halaman grup temuan - Amazon Detective

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami halaman grup temuan

Halaman grup temuan mencantumkan semua grup temuan yang dikumpulkan oleh Amazon Detective dari grafik perilaku Anda. Perhatikan atribut berikut untuk menemukan grup:

Tingkat keparahan suatu kelompok

Setiap kelompok temuan diberi tingkat keparahan berdasarkan tingkat keparahan AWS Security Finding Format (ASFF) dari temuan terkait. ASFFmenemukan nilai keparahan adalah Kritis, Tinggi, Sedang, Rendah, atau Informasi dari yang paling parah hingga yang paling tidak parah. Tingkat keparahan pengelompokan sama dengan temuan tingkat keparahan tertinggi di antara temuan dalam pengelompokan itu.

Kelompok yang terdiri dari temuan kritis atau tingkat keparahan tinggi yang berdampak pada sejumlah besar entitas harus diprioritaskan untuk penyelidikan, karena mereka lebih cenderung mewakili masalah keamanan berdampak tinggi.

Judul grup

Di kolom Judul, setiap grup memiliki ID unik dan judul yang tidak unik. Ini didasarkan pada ASFF jenis namespace untuk grup dan jumlah temuan dalam namespace tersebut di cluster. Misalnya, jika pengelompokan memiliki judul: Kelompokkan dengan: TTP(2), Efek (1), dan Perilaku yang tidak biasa (2) itu mencakup lima temuan total yang terdiri dari dua temuan di TTPnamespace, satu temuan di namespace Efek, dan dua temuan di namespace Perilaku Tidak Biasa. Untuk daftar lengkap ruang nama, lihat Jenis taksonomi untuk. ASFF

Taktik dalam kelompok

Kolom Taktik dalam kelompok merinci kategori taktik mana yang termasuk dalam aktivitas tersebut. Kategori taktik, teknik, dan prosedur dalam daftar berikut selaras dengan matriks MITREATT&CK.

Anda dapat memilih taktik pada rantai untuk melihat deskripsi taktik. Mengikuti rantai adalah daftar taktik yang terdeteksi dalam kelompok. Kategori-kategori ini dan kegiatan yang biasanya mereka wakili adalah sebagai berikut:

  • Akses Awal — Musuh mencoba masuk ke jaringan orang lain.

  • Eksekusi — Musuh mencoba masuk ke jaringan orang lain.

  • Kegigihan — Musuh berusaha mempertahankan pijakan mereka.

  • Eskalasi Hak Istimewa — Musuh mencoba mendapatkan izin tingkat yang lebih tinggi.

  • Penghindaran Pertahanan — Musuh berusaha menghindari terdeteksi.

  • Akses Kredenal — Musuh mencoba mencuri nama akun dan kata sandi.

  • Penemuan — Musuh sedang mencoba memahami dan belajar tentang suatu lingkungan.

  • Gerakan Lateral — Musuh sedang mencoba untuk bergerak melalui lingkungan.

  • Koleksi — Musuh mencoba mengumpulkan data yang menarik untuk tujuan mereka.

  • Command and Control — Musuh sedang mencoba masuk ke jaringan orang lain.

  • Eksfiltrasi — Musuh mencoba mencuri data.

  • Dampak — Musuh mencoba memanipulasi, mengganggu, atau menghancurkan sistem dan data Anda.

  • Lainnya — Menunjukkan aktivitas dari temuan yang tidak selaras dengan taktik yang tercantum dalam matriks.

Entitas dalam grup

Kolom Entitas berisi rincian tentang entitas tertentu yang terdeteksi dalam pengelompokan ini. Pilih nilai ini untuk rincian entitas berdasarkan kategori: Identity, Network, Storage, dan Compute. Contoh entitas dalam setiap kategori adalah:

  • Identitas — IAM prinsipal dan Akun AWS, seperti pengguna dan peran

  • Jaringan — Alamat IP atau jaringan dan VPC entitas lainnya

  • Penyimpanan - ember Amazon S3 atau DDBs

  • Hitung EC2 instans Amazon atau kontainer Kubernetes

Akun dalam grup

Kolom Akun memberi tahu Anda entitas AWS akun yang terlibat dengan temuan dalam grup. AWS Akun dicantumkan berdasarkan nama dan AWS ID sehingga Anda dapat memprioritaskan investigasi aktivitas yang melibatkan akun penting.

Temuan dalam kelompok

Kolom Temuan memiliki daftar entitas dalam grup berdasarkan tingkat keparahan. Temuan ini meliputi GuardDuty temuan Amazon, temuan Amazon Inspector, temuan AWS keamanan, dan bukti dari Detective. Anda dapat memilih grafik untuk melihat jumlah temuan yang tepat berdasarkan tingkat keparahan.

GuardDuty Temuan adalah bagian dari paket inti Detektif dan dicerna secara default. Semua temuan AWS keamanan lainnya yang dikumpulkan oleh Security Hub dicerna sebagai sumber data opsional. Lihat Sumber data yang digunakan dalam grafik perilaku untuk detail selengkapnya.