Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprendere la pagina dei gruppi di risultati
La pagina dei gruppi di risultati elenca tutti i gruppi di risultati raccolti da Amazon Detective dal tuo grafico comportamentale. Prendi nota dei seguenti attributi dei gruppi di ricerca:
- Gravità di un gruppo
A ciascun gruppo di risultati viene assegnata una gravità in base alla gravità dei risultati associati al AWS Security Finding Format (ASFF). ASFFi valori di gravità dei risultati sono Critico, Alto, Medio, Basso o Informativo, dal più elevato al meno grave. La gravità di un raggruppamento è uguale al risultato con gravità più elevata tra tutti i risultati del gruppo.
Ai gruppi costituiti da risultati con gravità Critica o Elevata che hanno un impatto su un gran numero di entità dovrebbe essere data priorità ai fini delle indagini, poiché è più probabile che rappresentino problemi di sicurezza ad alto impatto.
- Titolo del gruppo
Nella colonna Titolo, ogni gruppo ha un ID univoco e un titolo non univoco. Questi si basano sul ASFF tipo di namespace del gruppo e sul numero di risultati all'interno di tale namespace nel cluster. Ad esempio, se un raggruppamento ha il titolo: Group with: TTP(2), Effect (1) e Unusual behavior (2), include cinque risultati totali costituiti da due risultati nello spazio dei nomi, un risultato nello spazio dei TTPnomi Effect e due risultati nello spazio dei nomi Unusual Behavior. Per un elenco completo dei namespace, consulta la tassonomia dei tipi per. ASFF
- Tattiche in un gruppo
La colonna Tattiche di un gruppo indica in quale categoria di tattiche rientra l'attività. Le categorie di tattiche, tecniche e procedure nell'elenco seguente sono allineate alla matrice &CK. MITRE ATT
Puoi selezionare una tattica sulla catena per vedere una descrizione della tattica. Successivamente nella catena c'è un elenco delle tattiche rilevate all'interno del gruppo. Queste categorie e le attività che in genere rappresentano sono le seguenti:
Accesso iniziale: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
Esecuzione: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
Persistenza: un malintenzionato sta cercando di mantenere il proprio punto d'appoggio.
Aumento dei privilegi: un malintenzionato sta cercando di ottenere autorizzazioni di livello superiore.
Evasione della difesa: un malintenzionato sta cercando di evitare di essere scoperto.
Accesso alle credenziali: un malintenzionato sta cercando di rubare nomi di account e password.
Rilevamento: un malintenzionato sta cercando di comprendere e conoscere un ambiente.
Movimento laterale: un malintenzionato sta cercando di muoversi in un ambiente.
Collezione: un malintenzionato sta cercando di raccogliere dati utili al suo obiettivo.
Comando e controllo: un malintenzionato sta cercando di entrare nella rete di qualcun altro.
Esfiltrazione: un malintenzionato sta cercando di rubare dati.
Impatto: un malintenzionato sta cercando di manipolare, interrompere o distruggere i tuoi sistemi e i tuoi dati.
Altro: indica un'attività derivante da un risultato che non è in linea con le tattiche elencate nella matrice.
- Entità all'interno di un gruppo
La colonna Entità contiene dettagli sulle entità specifiche rilevate all'interno di questo raggruppamento. Seleziona questo valore per una suddivisione delle entità in base alle categorie Identità, Rete, Archiviazione ed Elaborazione. Esempi di entità in ogni categoria sono:
Identità: IAM principi e Account AWS, ad esempio, utente e ruolo
Rete: indirizzo IP o altre reti ed entità VPC
Storage: bucket Amazon S3 o DDBs
Calcola EC2 istanze Amazon o contenitori Kubernetes
- Account all'interno di un gruppo
La colonna Account indica quali AWS account possiedono le entità coinvolte nei risultati del gruppo. Gli AWS account sono elencati per nome e AWS ID in modo da poter dare priorità alle indagini sulle attività che coinvolgono account critici.
- Risultati all'interno di un gruppo
La colonna Risultati contiene un elenco delle entità all'interno di un gruppo per gravità. I risultati includono i risultati di Amazon, GuardDuty i risultati di Amazon Inspector, i risultati AWS sulla sicurezza e le prove di Detective. Puoi selezionare il grafico per visualizzare un conteggio esatto dei risultati in base alla gravità.
GuardDuty i risultati fanno parte del pacchetto principale di Detective e vengono inseriti di default. Tutti gli altri risultati AWS di sicurezza aggregati da Security Hub vengono inseriti come fonte di dati opzionale. Per maggiori dettagli, consulta Dati di origine utilizzati in un grafico di comportamento.
