Esecuzione di un'indagine investigativa - Amazon Detective

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esecuzione di un'indagine investigativa

Usa Esegui indagine per analizzare risorse come IAM utenti e IAM ruoli e per generare un rapporto di indagine. Il rapporto generato descrive in dettaglio il comportamento anomalo che indica un potenziale compromesso.

Console

Segui questi passaggi per eseguire un'indagine investigativa dalla pagina Investigazioni utilizzando la console Amazon Detective.

  1. Accedi alla console di AWS gestione. Quindi apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

  2. Nel riquadro di navigazione scegli Indagini

  3. Nella pagina Investigazioni, scegli Esegui indagine nell'angolo in alto a destra.

  4. Nella sezione Seleziona risorsa, hai tre modi per condurre un'indagine. Puoi scegliere di condurre l'indagine su una risorsa consigliata dal Detective. Puoi eseguire l'indagine per una risorsa specifica. Puoi anche esaminare una risorsa dalla pagina Ricerca di Detective.

    1. Choose a recommended resource— Detective consiglia le risorse in base alla sua attività nei risultati e nei gruppi di ricerca. Per eseguire l'indagine su una risorsa consigliata dal Detective, nella tabella Risorse consigliate, selezionare una risorsa da esaminare.

      La tabella Risorse consigliate fornisce i seguenti dettagli:

      • Risorsa ARN: il nome della risorsa Amazon (ARN) della AWS risorsa.

      • Motivo dell'indagine: visualizza i motivi principali per esaminare la risorsa. I motivi per cui Detective suggerisce di esaminare una risorsa sono i seguenti:

        • Se una risorsa è stata coinvolta in un esito di elevata gravità nelle ultime 24 ore.

        • Se una risorsa è stata coinvolta in un gruppo di risultati osservati negli ultimi sette giorni. I gruppi di risultati di Detective ti consentono di esaminare più attività in relazione a un potenziale evento di sicurezza. Per ulteriori dettagli, consulta Analisi dei gruppi di risultati.

        • Se una risorsa è stata coinvolta in un esito negli ultimi sette giorni.

      • Risultati più recenti: i risultati più recenti hanno la priorità all'inizio dell'elenco.

      • Tipo di risorsa: identifica il tipo di risorsa. Ad esempio, un AWS utente o un AWS ruolo.

    2. Specify an AWS role or user with an ARN— È possibile selezionare un AWS ruolo o un AWS utente ed eseguire un'indagine per la risorsa specifica.

      Segui questi passaggi per esaminare un tipo di risorsa specifico.

      1. Dall'elenco a discesa Seleziona il tipo di risorsa, scegli AWS ruolo o AWS utente.

      2. Inserisci la risorsa ARN della risorsa. IAM Per maggiori dettagli su ResourceARNs, consulta Amazon Resource Names (ARNs) nella Guida IAM per l'utente.

    3. Find a resource to investigate from the Search page— Puoi cercare tutte le tue IAM risorse dalla pagina Detective Search.

      Segui questi passaggi per esaminare una risorsa dalla pagina di ricerca.

      1. Nel riquadro di navigazione selezionare Search (Cerca).

      2. Nella pagina di ricerca, cerca una IAM risorsa.

      3. Vai alla pagina del profilo della risorsa ed esegui l'indagine da lì.

  5. Nella sezione Ambito temporale dell'indagine, scegli l'intervallo temporale dell'indagine per valutare l'attività della risorsa selezionata. Puoi selezionare una data di inizio e un'ora di inizio; e data di fine e ora di fine nel UTC formato. Il periodo di validità selezionato può essere compreso tra un minimo di 3 ore e un massimo di 30 giorni.

  6. Scegli Esegui indagine.

API

Per condurre un'indagine in modo programmatico, usa l'StartInvestigationoperazione del Detective. API Per eseguire un'indagine utilizzando AWS Command Line Interface (AWS CLI), esegui il comando start-investigation.

Nella richiesta, utilizza questi parametri per eseguire un'indagine in Detective:

  • GraphArn— Specificare l'Amazon Resource Name (ARN) del grafico comportamentale.

  • EntityArn— Specificare l'unico Amazon Resource Name (ARN) dell'IAMutente e del IAM ruolo.

  • ScopeStartTime: facoltativamente, specifica la data e l'ora a partire dalle quali deve iniziare l'indagine. Il valore è una stringa in formato UTC ISO86 01. Ad esempio, 2021-08-18T16:35:56.284Z.

  • ScopeEndTime: facoltativamente, specifica la data e l'ora in cui deve terminare l'indagine. Il valore è una stringa in formato UTC ISO86 01. Ad esempio, 2021-08-18T16:35:56.284Z.

Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

Puoi anche eseguire un'indagine dalle seguenti pagine di Detective:

  • Una pagina del profilo IAM utente o del IAM ruolo in Detective.

  • Il pannello di visualizzazione grafica di un gruppo di ricerca.

  • La colonna Operazioni di una risorsa coinvolta.

  • IAMutente o IAM ruolo in una pagina di ricerca.

Dopo che Detective ha eseguito l'indagine su una risorsa, viene generato un report di indagini. Per accedere al rapporto, vai a Indagini dal riquadro di navigazione.