Consigli per abilitare Detective - Amazon Detective
Allineamento consigliato con e GuardDuty AWS Security HubAggiornamento consigliato della frequenza GuardDuty CloudWatch di notifica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consigli per abilitare Detective

Valuta la possibilità di seguire questi consigli prima di abilitare Detective

Se sei registrato GuardDuty e AWS Security Hub, ti consigliamo di utilizzare un account amministratore per tali servizi. Se gli account amministratore sono gli stessi per tutti e tre i servizi, i seguenti punti di integrazione funzionano perfettamente.

  • Nel GuardDuty nostro Security Hub, quando visualizzi i dettagli di una GuardDuty scoperta, puoi passare dai dettagli del ritrovamento al profilo di ricerca del Detective.

  • In Detective, quando indaghi su un GuardDuty ritrovamento, puoi scegliere l'opzione per archiviarlo.

Se disponi di account amministratore diversi per GuardDuty Security Hub, ti consigliamo di allineare gli account amministratore in base al servizio che utilizzi più frequentemente.

  • Se lo usi GuardDuty più frequentemente, abilita Detective utilizzando l'account GuardDuty amministratore.

    Se lo utilizzi AWS Organizations per gestire gli account, designa l'account GuardDuty amministratore come account amministratore Detective per l'organizzazione.

  • Se usi Centrale di sicurezza più frequentemente, abilita Detective utilizzando l'account amministratore di Centrale di sicurezza.

    Se utilizzi Organizations per gestire gli account, designa l'account amministratore di Centrale di sicurezza come account amministratore di Detective per l'organizzazione.

Se non puoi utilizzare gli stessi account amministratore in tutti i servizi, dopo aver abilitato Detective, puoi facoltativamente creare un ruolo per più account. Questo ruolo consente a un account amministratore di accedere ad altri account.

Per informazioni su come IAM supporta questo tipo di ruolo, consulta Fornire l'accesso a un IAM utente in un altro AWS account di tua proprietà nella Guida per l'IAMutente.

Nel GuardDuty, i rilevatori sono configurati con una frequenza di CloudWatch notifica Amazon per segnalare le occorrenze successive di un risultato. Ciò include l'invio di notifiche a Detective.

Per impostazione predefinita, la frequenza è di sei ore. Ciò significa che anche se un risultato si ripete più volte, le nuove ricorrenze non si rifletteranno in Detective se non sei ore dopo.

Per ridurre il tempo necessario a Detective per ricevere questi aggiornamenti, consigliamo GuardDuty all'account amministratore di modificare l'impostazione dei rilevatori a 15 minuti. Tieni presente che la modifica della configurazione non ha alcun effetto sul costo di utilizzo GuardDuty.

Per informazioni sull'impostazione della frequenza di notifica, consulta Monitoring GuardDuty Findings with Amazon CloudWatch Events nella Amazon GuardDuty User Guide.