如何使用 Detective 进行调查 - Amazon Detective
调查阶段侦探调查的起点Detective 调查流程

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何使用 Detective 进行调查

Amazon Detective 可轻松分析、调查和快速识别安全调查发现或可疑活动的根本原因。Detective 提供了支持整个调查过程的工具。Detective 中的调查可以从调查发现、调查发现群组或实体开始。

Detective 的调查阶段

任何 Detective 调查过程都涉及以下阶段:

分类

收到有关恶意或高风险活动的可疑实例时,调查过程就开始了。例如,您被指派调查亚马逊 GuardDuty 和Amazon Inspector等服务发现的结果或警报。

在分类阶段,要确定您认为该活动是真阳性(真正的恶意活动)还是假阳性(非恶意或高风险活动)。通过深入了解相关实体的活动,Detective 配置文件可为分类流程提供支持。

对于真阳性的实例,您可以继续进入下一阶段。

范围界定

在范围界定阶段,分析人员要确定恶意或高风险活动的范围以及根本原因。

范围界定可以回答以下类型的问题:

  • 哪些系统和用户受到了威胁?

  • 攻击的源头在哪里?

  • 攻击持续了多长时间?

  • 还有其他相关活动需要发现吗? 例如,如果攻击者正在从系统中提取数据,他们是如何获得这些数据的?

Detective 可视化有助于确定涉及或受影响的其他实体。

响应

最后一步是对攻击做出响应,以阻止攻击,将损失降到最低,并防止类似攻击再次发生。

侦探调查的起点

Detective 中的每一项调查都有一个基本的出发点。例如,您可能会被分配一个要调查的 Amazon GuardDuty 或 AWS Security Hub 调查结果。或者,您可能担心某个 IP 地址会出现异常活动。

调查的典型起点包括检测到的调查结果 GuardDuty 和从 Detective 源数据中提取的实体。

检测到的结果 GuardDuty

GuardDuty 使用您的日志数据来发现可疑的恶意或高风险活动实例。Detective 提供的资源有助于您调查这些调查发现。

对于每项调查发现,Detective 都会提供关联的调查发现详细信息。Detective 还显示了与调查结果相关的实体,例如 IP 地址和 AWS 账户。

然后,您就可以浏览相关实体的活动,以确定从调查发现中检测到的活动是否真正令人担忧。

有关更多信息,请参阅 在 Detective 中分析发现概述

AWS 由 Security Hub 汇总的安全调查结果

AWS Security Hub 将来自不同调查结果提供者的安全调查结果汇总到一个地方,并为您提供中 AWS安全状态的全面视图。Security Hub 消除了处理来自多个提供商的大量调查发现的复杂性。它可以减少管理和提高所有 AWS 账户、资源和工作负载安全所需的精力。Detective 提供的资源有助于您调查这些调查发现。

对于每项调查发现,Detective 都会提供关联的调查发现详细信息。Detective 还显示了与调查结果相关的实体,例如 IP 地址和 AWS 账户。

有关更多信息,请参阅 在 Detective 中分析发现概述

从 Detective 源数据中提取的实体

Detective 从摄取的 Detective 源数据中提取 IP 地址和 AWS 用户等实体。您可以使用其中一个作为调查出发点。

Detective 提供有关该实体的一般详细信息,例如 IP 地址或用户名。它还提供了有关活动历史记录的详细信息。例如,Detective 可以报告某个实体已连接、被连接或使用的其他 IP 地址。

有关更多信息,请参阅 分析 Amazon Detective 中的实体

Detective 调查流程

您可以使用 Amazon Detective 来调查实体,例如EC2实例或 AWS 用户。您也可以调查安全调查发现。

简而言之,下图显示了 Detective 调查的过程。

该图显示了 Detective 的调查过程。
第 1 步:选择要调查的实体

在查看调查结果时 GuardDuty,分析师可以选择在 Detective 中调查关联实体。请参阅 转到实体资料或从 Amazon GuardDuty 查找概述或 AWS Security Hub

选择实体后,您将进入 Detective 中的实体配置文件。

第 2 步:分析配置文件的可视化内容

每个实体配置文件都包含一组从行为图生成的可视化内容。行为图是根据输入到 Detective 的日志文件和其他数据创建的。

可视化内容显示与实体相关的活动。您可以使用这些可视化内容回答问题,以确定实体活动是否异常。请参阅 分析 Amazon Detective 中的实体

为了帮助指导调查,您可以使用为每种可视化内容提供的 Detective 指南。该指南概述了所显示的信息,提出了供询问的问题,并根据答案提出了后续步骤。请参阅 在调查期间使用配置文件面板指南

每个配置文件都包含关联调查发现的列表。您可以查看调查发现的详细信息,也可以查看调查发现概述。请参阅 在 Detective 中查看相关发现的详细信息

您可以从实体配置文件转到其他实体和调查发现配置文件,进一步调查相关资产的活动。

第 3 步:采取措施

根据调查结果,采取适当措施。

对于假阳性调查发现,您可以将其存档。在 Detective 中,你可以存档 GuardDuty 调查结果。有关更多详情,请参阅存档 Amazon GuardDuty 调查结果

否则,您需要采取适当措施来解决漏洞问题并减轻损失。例如,您可能需要更新某个资源的配置。