Analisi dei gruppi di risultati

I gruppi di risultati di Amazon Detective ti consentono di esaminare più attività in relazione a un potenziale evento di sicurezza. Un gruppo di ricerca in Amazon Detective viene creato quando Detective rileva uno schema o una relazione tra più risultati che suggerisce che siano correlati allo stesso potenziale incidente di sicurezza. Questo raggruppamento aiuta a gestire e analizzare i risultati correlati in modo più efficiente.

È possibile analizzare la causa principale dei GuardDuty risultati di elevata gravità utilizzando i gruppi di ricerca. Se un autore della minaccia sta tentando di compromettere l' AWS ambiente, in genere esegue una sequenza di azioni che portano a molteplici risultati di sicurezza e a comportamenti insoliti. Queste operazioni sono spesso distribuite nel tempo e nelle entità. L'indagine isolata dei risultati relativi alla sicurezza può portare a un'interpretazione errata del loro significato e alla difficoltà di individuarne la causa principale. Amazon Detective risolve questo problema applicando una tecnica di analisi dei grafici che deduce le relazioni tra risultati ed entità e li raggruppa in un gruppo di risultati. Consigliamo di trattare i gruppi di risultati come punto di partenza per indagare sulle entità e sui risultati coinvolti.

Detective analizza i dati dei risultati e li raggruppa con altri risultati che potrebbero essere correlati in base alle risorse che condividono. Ad esempio, è molto probabile che i risultati relativi alle azioni intraprese dalle stesse sessioni di IAM ruolo o provenienti dallo stesso indirizzo IP facciano parte della stessa attività sottostante. È utile indagare sui risultati e sulle prove in gruppo, anche se le associazioni fatte da Detective non sono correlate.

I gruppi di ricerca vengono creati in base ai seguenti criteri.

Prossimità temporale: i risultati che si verificano in un periodo di tempo ristretto vengono spesso raggruppati, poiché probabilmente sono correlati allo stesso incidente.
Entità comuni: i risultati che coinvolgono le stesse entità, come indirizzi IP, utenti o risorse, vengono raggruppati. Questo aiuta a comprendere la portata dell'incidente in diverse parti dell'ambiente.
Modelli e comportamenti - Il Detective analizza i modelli e i comportamenti presenti nei risultati, come tipi simili di attacchi o attività sospette, per determinare le relazioni e raggrupparle di conseguenza.
Tattiche, tecniche e procedure (TTPs): i risultati che hanno caratteristiche similiTTPs, come descritto in framework come MITRE ATT &CK, vengono raggruppati per evidenziare potenziali attacchi coordinati.

Questi criteri aiutano a semplificare il processo di indagine in modo da poterti concentrare su risultati correlati che probabilmente rappresentano lo stesso incidente di sicurezza.

Oltre ai risultati, ogni gruppo include le entità coinvolte nei risultati. Le entità possono includere risorse esterne, AWS ad esempio indirizzi IP o agenti utente.

Nota

Dopo un GuardDuty risultato iniziale correlato a un altro risultato, il gruppo di ricerca con tutti i risultati correlati e tutte le entità coinvolte viene creato entro 48 ore.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Panoramica degli esiti

Comprendere la pagina dei gruppi di risultati