As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Entender a página de grupos de descobertas
A página de busca de grupos lista todos os grupos de busca coletados pelo Amazon Detective a partir do seu gráfico de comportamento. Anote os seguintes atributos de encontrar grupos:
- Gravidade de um grupo
Cada grupo de descoberta recebe uma severidade com base na severidade do Formato de Descoberta de AWS Segurança (ASFF) das descobertas associadas. ASFFdescobrindo que os valores de severidade são Críticos, Altos, Médios, Baixos ou Informativos, dos mais graves para os menos graves. A severidade de um agrupamento é igual à da descoberta de maior severidade entre as descobertas desse agrupamento.
Grupos que consistem em descobertas de severidade Crítica ou Alta que afetam um grande número de entidades devem ser priorizados nas investigações, pois têm maior probabilidade de representar problemas de segurança de alto impacto.
- Título do grupo
Na coluna Título, cada grupo tem um ID exclusivo e um título não exclusivo. Eles se baseiam no ASFF tipo de namespace do grupo e no número de descobertas dentro desse namespace no cluster. Por exemplo, se um agrupamento tiver o título: Grupo com: TTP(2), Efeito (1) e Comportamento incomum (2), ele incluirá cinco descobertas no total, consistindo em duas descobertas no TTPnamespace, uma descoberta no namespace Effect e duas descobertas no namespace Unusual Behavior. Para obter uma lista completa de namespaces, consulte Taxonomia de tipos para. ASFF
- Táticas em um grupo
A coluna Táticas em um grupo detalha em qual categoria de táticas a atividade se enquadra. As categorias de táticas, técnicas e procedimentos na lista a seguir se alinham à matriz do MITREATT&CK
. Você pode selecionar uma tática na cadeia para ver uma descrição da tática. Seguindo a cadeia, há uma lista das táticas detectadas no grupo. Essas categorias e as atividades que elas normalmente representam são as seguintes:
Acesso inicial: um adversário está tentando entrar na rede de outra pessoa.
Execução: um adversário está tentando entrar na rede de outra pessoa.
Persistência: um adversário está tentando se manter firme.
Escalonamento de privilégios: um adversário está tentando obter permissões de nível superior.
Evasão de defesa: um adversário está tentando evitar ser detectado.
Acesso credencial: um adversário está tentando roubar nomes e senhas de contas.
Descoberta: um adversário está tentando entender e aprender sobre um ambiente.
Movimento lateral: um adversário está tentando se mover em um ambiente.
Coleta: um adversário está tentando coletar dados que interessam ao seu objetivo.
Comando e controle: um adversário está tentando entrar na rede de outra pessoa.
Exfiltração: um adversário está tentando roubar dados.
Impacto: um adversário está tentando manipular, interromper ou destruir seus sistemas e dados.
Outra: indica a atividade de uma descoberta que não se alinha às táticas listadas na matriz.
- Entidades dentro de um grupo
A coluna Entidades contém detalhes sobre entidades específicas detectadas nesse agrupamento. Selecione esse valor para obter um detalhamento das entidades com base nas categorias: Identidade, Rede, Armazenamento e Computação. Os exemplos de entidades em cada categoria são:
Identidade — IAM princípios e Contas da AWS, como usuário e função
Rede — endereço IP ou outras redes e VPC entidades
Armazenamento — buckets Amazon S3 ou DDBs
Compute EC2 instâncias da Amazon ou contêineres Kubernetes
- Contas dentro de um grupo
A coluna Contas informa quais AWS contas possuem entidades envolvidas com as descobertas no grupo. As AWS contas são listadas por nome e AWS ID para que você possa priorizar as investigações de atividades envolvendo contas críticas.
- Descobertas dentro de um grupo
A coluna Descobertas lista as entidades dentro de um grupo por severidade. As descobertas incluem descobertas da Amazon, GuardDuty descobertas do Amazon Inspector, descobertas AWS de segurança e evidências do Detective. Você pode selecionar o gráfico para ver uma contagem exata das descobertas por severidade.
GuardDuty as descobertas fazem parte do pacote principal do Detective e são ingeridas por padrão. Todas as outras descobertas AWS de segurança agregadas pelo Security Hub são ingeridas como uma fonte de dados opcional. Consulte Dados de origem usados em um gráfico de comportamento para obter mais detalhes.
