Come viene utilizzato Detective per le indagini - Amazon Detective
Fasi dell'indaginePunti di partenza per un'indagine investigativaFlusso investigativo investigativo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come viene utilizzato Detective per le indagini

Amazon Detective consente di analizzare, esaminare e identificare rapidamente la causa principale dei risultati di sicurezza o delle attività sospette. Detective fornisce strumenti a supporto dell'intero processo di indagine. Un'indagine in Detective può iniziare da un risultato, un gruppo di risultati o un'entità.

Fasi investigative in Detective

Qualsiasi processo investigativo da Detective prevede le seguenti fasi:

Triage

Il processo di indagine inizia quando si riceve una notifica relativa a un caso sospetto di attività dannosa o ad alto rischio. Ad esempio, ti viene assegnato il compito di esaminare i risultati o gli avvisi rilevati da servizi come Amazon GuardDuty e Amazon Inspector.

Nella fase di triage, stabilisci se ritieni che l'attività sia un vero positivo (una reale attività dannosa) o un falso positivo (attività non dannosa o ad alto rischio). I profili Detective supportano il processo di triage fornendo informazioni sull'attività dell'entità coinvolta.

Per i casi di vero positivo, si passa alla fase successiva.

Analisi dell'ambito

Durante la fase di analisi dell'ambito, gli analisti determinano l'entità dell'attività dannosa o ad alto rischio e la causa sottostante.

L'analisi dell'ambito risponde ai seguenti tipi di domande:

  • Quali sistemi e utenti sono stati compromessi?

  • Da dove ha avuto origine l'attacco?

  • Da quanto tempo è in corso l'attacco?

  • Ci sono altre attività correlate da considerare? Ad esempio, se un utente malintenzionato sta estraendo dati dal sistema, come li ha ottenuti?

Le visualizzazioni di Detective possono aiutarti a identificare altre entità coinvolte o interessate.

Risposta

Il passaggio finale consiste nel rispondere all'attacco per fermarlo, minimizzare i danni ed evitare che un attacco simile si ripeta.

Punti di partenza per un'indagine investigativa

Ogni indagine in Detective ha un punto di partenza essenziale. Ad esempio, ti potrebbe essere assegnato un Amazon GuardDuty o un AWS Security Hub risultato su cui indagare. Oppure potresti essere preoccupato per le attività insolite relative a un indirizzo IP specifico.

I punti di partenza tipici di un'indagine includono i risultati rilevati dai dati di origine del Detective GuardDuty e le entità estratte dai dati di origine.

Risultati rilevati da GuardDuty

GuardDuty utilizza i dati di registro per scoprire casi sospetti di attività dannose o ad alto rischio. Detective fornisce risorse che ti aiutano a indagare su questi risultati.

Per ogni risultato, Detective fornisce i relativi dettagli. Detective mostra anche le entità, come gli indirizzi IP e AWS gli account, collegate alla scoperta.

È quindi possibile esaminare l'attività delle entità coinvolte per determinare se l'attività rilevata dal risultato sia davvero motivo di preoccupazione.

Per ulteriori informazioni, consulta Analisi di una panoramica dei risultati in Detective.

AWS risultati di sicurezza aggregati da Security Hub

AWS Security Hub aggrega i risultati di sicurezza di vari fornitori di risultati in un unico posto e offre una visione completa dello stato di sicurezza in. AWS Centrale di sicurezza elimina la complessità di indirizzare grandi volumi di risultati provenienti da più provider. Riduce lo sforzo richiesto per gestire e migliorare la sicurezza di tutti gli AWS account, le risorse e i carichi di lavoro. Detective fornisce risorse che ti aiutano a indagare su questi risultati.

Per ogni risultato, Detective fornisce i relativi dettagli. Detective mostra anche le entità, come gli indirizzi IP e AWS gli account, collegate alla scoperta.

Per ulteriori informazioni, consulta Analisi di una panoramica dei risultati in Detective.

Entità estratte dai dati di origine di Detective

Dai dati di origine di Detective importati, Detective estrae entità come indirizzi IP e utenti AWS . Puoi usare una di queste entità come punto di partenza per l'indagine.

Detective fornisce dettagli generali sull'entità, come l'indirizzo IP o il nome utente. Fornisce anche i dettagli sulla cronologia delle attività. Ad esempio, Detective può segnalare a quali altri indirizzi IP un'entità si è connessa, è stata connessa o ha utilizzato.

Per ulteriori informazioni, consulta Analisi delle entità in Amazon Detective.

Flusso investigativo investigativo

Puoi usare Amazon Detective per indagare su un'entità come un'EC2istanza o un AWS utente. Puoi anche esaminare i risultati di sicurezza.

A un livello elevato, l'immagine seguente mostra il processo di un'Indagine Detective.

Diagramma che mostra il processo investigativo del Detective.
Fase 1: Selezione dell'entità da esaminare

Quando esaminano un reperto GuardDuty, gli analisti possono scegliere di indagare su un'entità associata in Detective. Per informazioni, consulta Passare a un profilo di entità o cercare una panoramica su Amazon oppure GuardDuty AWS Security Hub.

Selezionando l'entità si accede al profilo dell'entità in Detective.

Fase 2: Analisi delle visualizzazioni sui profili

Ogni profilo di entità contiene una serie di visualizzazioni generate dal grafico di comportamento. Il grafico di comportamento viene creato dai file di log e da altri dati che vengono inseriti in Detective.

Le visualizzazioni mostrano attività correlate a un'entità. Queste visualizzazioni vengono utilizzate per rispondere a domande volte a determinare se l'attività dell'entità è insolita. Per informazioni, consulta Analisi delle entità in Amazon Detective.

Per condurre un'indagine, puoi utilizzare la guida di Detective fornita per ogni visualizzazione. Questa guida delinea le informazioni visualizzate, suggerisce domande da porre e propone i passaggi successivi in base alle risposte. Per informazioni, consulta Utilizzo della guida del pannello del profilo durante un'indagine.

Ogni profilo contiene un elenco di risultati associati. È possibile visualizzare i dettagli di un risultato e visualizzare la panoramica dei risultati. Per informazioni, consulta Visualizzazione dei dettagli dei risultati associati in Detective.

Da un profilo di entità, puoi passare ad altri profili di entità e di risultati per approfondire le attività relative alle risorse correlate.

Fase 3: Operazioni

In base ai risultati dell'indagine, intraprendi le azioni appropriate.

Se il risultato è un falso positivo, puoi archiviarlo. Da Detective, puoi archiviare GuardDuty i risultati. Per maggiori dettagli, consulta Archiviazione di un GuardDuty risultato Amazon.

Altrimenti, intraprendi le azioni appropriate per risolvere la vulnerabilità e mitigare i danni. Ad esempio, potrebbe essere necessario aggiornare la configurazione di una risorsa.