Usando o painel de resumo do Detective - Amazon Detective
InvestigaçõesGeolocalizações recém-observadasGrupos de descobertas ativos nos últimos 7 dias Funções e usuários com o maior volume de API chamadasEC2instâncias com o maior volume de tráfegoClusters de contêiner com o maior número de pods do KubernetesNotificação de valor aproximado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o painel de resumo do Detective

Use o painel Summary no Amazon Detective para identificar entidades para investigar a origem da atividade nas últimas 24 horas. O painel Amazon Detective Summary ajuda você a identificar entidades associadas a tipos específicos de atividades incomuns. É um dos vários pontos de partida possíveis para uma investigação.

Para exibir o painel Resumo, no painel de navegação Detective, escolha Resumo. O painel Resumo também é exibido por padrão quando você abre o console do Detective pela primeira vez.

No painel Resumo, você pode identificar entidades que atendem aos seguintes critérios:

  • Investigações que revelam possíveis eventos de segurança identificados pelo Detective

  • Entidades envolvidas em atividades que ocorreram em geolocalizações recém-observadas

  • Entidades que fizeram o maior número de API chamadas

  • EC2instâncias que tiveram o maior volume de tráfego

  • Clusters de contêiner que tiveram o maior número de contêineres

Em cada painel do painel de resumo, você pode ir para o perfil de uma entidade selecionada.

Ao revisar o painel de resumo, você pode ajustar o tempo do escopo para visualizar a atividade em qualquer período de 24 horas nos últimos 365 dias. Ao alterar a Data e hora de início, a Data e hora de término é atualizada automaticamente para 24 horas após a hora de início escolhida.

Com o Detective, você pode acessar até um ano de dados do histórico de eventos. Esses dados estão disponíveis por meio de um conjunto de visualizações que mostram mudanças no tipo e volume de atividade em uma janela de tempo selecionada. Detective vincula essas mudanças às GuardDuty descobertas.

Para obter mais informações sobre os dados de origem no Detective, consulte Dados de origem usados em um gráfico de comportamento.

Investigações

O painel Investigações revela os possíveis eventos de segurança identificados pelo Detective. No painel Investigações, você pode ver investigações Críticas e os perfis e usuários da AWS correspondentes que foram afetados por eventos de segurança em um determinado período. As investigações agrupam indicadores de comprometimento para ajudar a determinar se um AWS recurso está envolvido em atividades incomuns que podem indicar comportamento malicioso e seu impacto.

Selecione Veja todas as investigações para analisar as descobertas, os grupos de descobertas de triagem e os detalhes dos recursos para acelerar a investigação de segurança. As investigações são exibidas com base no Tempo de escopo selecionado. Você pode ajustar o tempo de escopo para visualizar as investigações de um período de 24 horas dos últimos 365 dias. Acesse Investigações críticas diretamente para ver um relatório detalhado de investigação.

Se você identificar uma AWS função ou usuário que parece ter atividade suspeita, você pode ir diretamente do painel Investigações para a função ou usuário para continuar sua investigação. Vá para um perfil ou usuário e clique em Executar investigação para gerar um relatório de investigação. Depois de realizar uma investigação sobre um perfil ou usuário, ele é movido para a guia Investigado.

Geolocalizações recém-observadas

Geolocalizações recém-observadas destacam as localizações geográficas que originaram a atividade nas 24 horas anteriores, mas que não foram vistas durante o período básico anterior.

O painel inclui até 100 geolocalizações. As localizações estão marcadas no mapa e listadas na tabela abaixo do mapa.

Para cada geolocalização, a tabela exibe o número de API chamadas malsucedidas e malsucedidas feitas a partir dessa geolocalização durante as 24 horas anteriores.

Você pode expandir cada geolocalização para exibir a lista de usuários e funções que fizeram API chamadas a partir dessa geolocalização. Para cada entidade principal, a tabela lista o tipo e a Conta da AWS associada.

Se você identificar um usuário ou função que pareça suspeito, poderá ir diretamente do painel para o perfil do usuário ou da função para continuar sua investigação. Para ir até um perfil, escolha o identificador do usuário ou da função.

Detective determina a localização das solicitações usando bancos de dados GeoIP MaxMind . MaxMind relata uma precisão muito alta de seus dados em nível de país, embora a precisão varie de acordo com fatores como país e tipo de IP. Para obter mais informações sobre MaxMind, consulte Geolocalização MaxMind IP. Se você achar que algum dado do GeoIP está incorreto, você pode enviar uma solicitação de correção para a Maxmind em MaxMind Correct Geo Data. IP2

Grupos de descobertas ativos nos últimos 7 dias

Grupos de descobertas ativos nos últimos 7 dias mostra grupos correlacionados de descobertas do Detective, entidades e evidências em seu ambiente que ocorreram em um determinado período. Esses grupos correlacionam atividades incomuns que podem indicar comportamento malicioso. O painel de resumo mostra até cinco grupos classificados pelos grupos que contêm as descobertas mais importantes que estiveram ativas na última semana.

Você pode selecionar valores no conteúdo Tática, Conta, Recurso e Descobertas para ver mais detalhes.

Grupos de descobertas são gerados diariamente. Se você identificar um grupo de descobertas interessante, poderá selecionar o título para acessar uma visualização detalhada do perfil de um grupo e continuar sua investigação.

Funções e usuários com o maior volume de API chamadas

As funções e os usuários com o maior volume de API chamadas identificam os usuários e as funções que fizeram o maior número de API chamadas nas últimas 24 horas.

O painel pode incluir até 100 usuários e funções. Para cada usuário ou função, você pode ver o tipo (usuário ou função) e a conta associada. Você também pode ver o número de API chamadas emitidas por esse usuário ou função nas últimas 24 horas.

Por padrão, as funções vinculadas a serviços são exibidas. As funções vinculadas a serviços podem produzir grandes volumes de AWS CloudTrail atividade, o que substitui os principais que você deseja investigar mais detalhadamente. Você pode optar por desativar Mostrar funções vinculadas ao serviço para filtrar as funções vinculadas ao serviço na exibição resumida do painel.

Você pode exportar um arquivo de valores separados por vírgula (.csv) que contém os dados desse painel.

Também há um cronograma do volume de API chamadas dos 7 dias anteriores. O cronograma pode ajudá-lo a determinar se o volume de API chamadas é incomum para esse diretor.

Se você identificar um usuário ou função para o qual o volume de API chamadas pareça suspeito, poderá passar diretamente do painel para o perfil do usuário ou da função para continuar sua investigação. Você também pode visualizar o perfil da conta associada ao usuário ou à função. Para visualizar um perfil, escolha o identificador do usuário, da função ou da conta.

EC2instâncias com o maior volume de tráfego

EC2instâncias com o maior volume de tráfego identificam as EC2 instâncias que tiveram o maior volume total de tráfego nas últimas 24 horas.

O painel pode incluir até 100 EC2 instâncias. Para cada EC2 instância, você pode ver a conta associada e o número de bytes de entrada, bytes de saída e total de bytes das últimas 24 horas.

É possível exportar um arquivo .csv (valores separados por vírgula) contendo os dados nesse painel.

Você também pode ver um cronograma mostrando o tráfego de entrada e saída nos últimos 7 dias. A linha do tempo pode ajudar a determinar se o volume de tráfego é incomum nesse EC2 caso.

Se você identificar uma EC2 instância com volume de tráfego suspeito, poderá ir diretamente do painel para o perfil da EC2 instância para continuar sua investigação. Você também pode ver o perfil da conta proprietária da EC2 instância. Para ver um perfil, escolha o identificador da EC2 instância ou da conta.

Clusters de contêiner com o maior número de pods do Kubernetes

Clusters de contêiner com o maior número de pods do Kubernetes criados identifica os clusters que tiveram mais contêineres em execução nas últimas 24 horas.

Esse painel inclui até 100 clusters organizados por quais clusters tiveram mais descobertas associadas a eles. Para cada cluster, você pode ver a conta associada, o número atual de contêineres nesse cluster e o número de descobertas associadas a esse cluster nas últimas 24 horas. É possível exportar um arquivo .csv (valores separados por vírgula) contendo os dados nesse painel.

Se você identificar um cluster com descobertas recentes, poderá ir diretamente do painel para o perfil do cluster para continuar sua investigação. Você também pode ir até o perfil da conta proprietária do cluster. Para ir até um perfil, escolha o nome do cluster ou o identificador da conta.

Notificação de valor aproximado

Em funções e usuários com o maior volume de API chamadas e EC2instâncias com o maior volume de tráfego, se um valor for seguido por um asterisco (*), isso significa que o valor é uma aproximação. O valor verdadeiro é igual ou maior que o valor exibido.

Isso ocorre devido ao método que o Detective usa para calcular o volume para cada intervalo de tempo. Na página Resumo, o intervalo de tempo é de uma hora.

Para cada hora, o Detective calcula o volume total para os 1.000 usuários, funções ou EC2 instâncias com o maior volume. Ela exclui os dados dos demais usuários, funções ou EC2 instâncias.

Se um recurso às vezes estava entre os 1.000 primeiros e às vezes não, o volume calculado para esse recurso pode não incluir todos os dados. Os dados dos intervalos de tempo em que não estava entre os 1.000 primeiros são excluídos.

Observe que isso se aplica apenas à página Resumo. O perfil do usuário, função ou EC2 instância fornece detalhes precisos.