Executando uma investigação de Detective - Amazon Detective

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Executando uma investigação de Detective

Use Executar investigação para analisar recursos, como IAM usuários e IAM funções, e para gerar um relatório de investigação. O relatório gerado detalha o comportamento anômalo que indica um possível comprometimento.

Console

Siga estas etapas para executar uma investigação de detetive na página Investigações usando o console Amazon Detective.

  1. Faça login no AWS Management Console. Em seguida, abra o console do Detective em. https://console.aws.amazon.com/detective/

  2. No painel de navegação, selecione Investigações.

  3. Na página Investigações, escolha Executar investigação no canto superior direito.

  4. Na seção Selecionar recurso, você tem três maneiras de realizar uma investigação. Você pode optar por realizar a investigação de um recurso recomendado pelo Detective. Você pode executar a investigação de um recurso específico. Você também pode investigar um recurso na página Pesquisar do Detective.

    1. Choose a recommended resource— Detective recomenda recursos com base em sua atividade em descobertas e grupos de localização. Para executar a investigação de um recurso recomendado pelo Detective, na tabela Recursos recomendados, selecione um recurso para investigar.

      A tabela de Recursos recomendados fornece os seguintes detalhes:

      • Recurso ARN — O nome do recurso da Amazon (ARN) do AWS recurso.

      • Motivo de investigação: exibe os principais motivos para investigar o recurso. Os motivos pelos quais o Detective recomenda investigar um recurso são os seguintes:

        • Se um recurso esteve envolvido em uma descoberta de alta gravidade nas últimas 24 horas.

        • Se um recurso esteve envolvido em um grupo de descobertas observado nos últimos sete dias. Os grupos de descobertas do Detective permitem que você examine várias atividades relacionadas a um possível evento de segurança. Para obter mais detalhes, consulte Analisar grupos de descobertas.

        • Se um recurso esteve envolvido em uma descoberta nos últimos sete dias.

      • Última descoberta: as descobertas mais recentes são priorizadas no topo da lista.

      • Tipo de recurso: identifica o tipo de recurso. Por exemplo, um AWS usuário ou uma AWS função.

    2. Specify an AWS role or user with an ARN— Você pode selecionar uma AWS função ou AWS usuário e executar uma investigação para o recurso específico.

      Siga estas etapas para investigar um tipo específico de recurso.

      1. Na lista suspensa Selecionar tipo de recurso, escolha AWS função ou AWS usuário.

      2. Insira o recurso ARN do IAM recurso. Para obter mais detalhes sobre o recursoARNs, consulte Amazon Resource Names (ARNs) no Guia IAM do usuário.

    3. Find a resource to investigate from the Search page— Você pode pesquisar todos os seus IAM recursos na página Detective Search.

      Siga estas etapas para investigar um recurso na página de pesquisa.

      1. No painel de navegação, selecione Pesquisar.

      2. Na página Pesquisar, pesquise um IAM recurso.

      3. Navegue até a página de perfil do recurso e execute a investigação a partir daí.

  5. Na seção Tempo do escopo da investigação, escolha o Tempo do escopo da investigação para avaliar a atividade do recurso selecionado. Você pode selecionar uma data de início e hora de início e uma data de término e hora de término no UTC formato. A janela do tempo de escopo vai de no mínimo de 3 horas e no máximo de 30 dias.

  6. Selecione Executar investigação.

API

Para executar uma investigação programaticamente, use a StartInvestigationoperação do Detetive. API Para executar uma investigação usando o AWS Command Line Interface (AWS CLI), execute o comando start-investigation.

Em sua solicitação, use os seguintes parâmetros para executar uma investigação no Detective:

  • GraphArn— Especifique o Amazon Resource Name (ARN) do gráfico de comportamento.

  • EntityArn— Especifique o nome de recurso exclusivo da Amazon (ARN) do IAM usuário e da IAM função.

  • ScopeStartTime: opcionalmente, especifique os dados e a hora em que a investigação deve começar. O valor é uma string formatada UTC ISO86 01. Por exemplo, 2021-08-18T16:35:56.284Z.

  • ScopeEndTime: opcionalmente, especifique os dados e a hora em que a investigação deve terminar. O valor é uma string formatada UTC ISO86 01. Por exemplo, 2021-08-18T16:35:56.284Z.

Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

Você também pode realizar uma investigação nas seguintes páginas no Detective:

  • Uma página de perfil de IAM usuário ou IAM função no Detective.

  • Painel de visualização gráfica de um grupo de descobertas.

  • Coluna de ações de um recurso envolvido.

  • IAMusuário ou IAM função em uma página de busca.

Depois que o Detective executa a investigação de um recurso, um relatório de investigação é gerado. Para acessar o relatório, acesse Investigações no painel de navegação.