启用 Detective 的建议 - Amazon Detective
建议与 GuardDuty 和对齐 AWS Security Hub GuardDuty CloudWatch通知频率的建议更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用 Detective 的建议

在启用 Detective 之前,请考虑遵循以下建议

如果您已注册 GuardDuty 和 AWS Security Hub,我们建议您的账户成为这些服务的管理员帐户。如果所有三项服务的管理员账户相同,则以下集成点就能顺利运行。

  • 在 O GuardDuty r Security Hub 中,在查看 GuardDuty 调查结果的详细信息时,您可以从查找结果详细信息切换到 Detective 查找配置文件。

  • 在 Detective 中,在调查 GuardDuty 发现时,你可以选择将该发现存档的选项。

如果您对 GuardDuty 和 Security Hub 有不同的管理员帐户,我们建议您根据更频繁使用的服务来调整管理员帐户。

  • 如果您 GuardDuty 更频繁地使用,请使用 GuardDuty 管理员帐户启用 Detective。

    如果您使用管理帐户, AWS Organizations 请将 GuardDuty 管理员帐户指定为该组织的 Detective 管理员帐户。

  • 如果您更频繁地使用 Security Hub,则使用 Security Hub 管理员账户启用 Detective。

    如果您使用 Organizations 管理账户,请将 Security Hub 管理员账户指定为该组织的 Detective 管理员账户。

如果您无法在所有服务中使用相同的管理员账户,则在启用 Detective 后,可以选择创建跨账户角色。该角色赋予管理员账户访问其他账户的权限。

有关如何IAM支持此类角色的信息,请参阅《IAM用户指南》中的向使用您拥有的其他 AWS 账户的IAM用户提供访问权限

在中 GuardDuty,探测器配置了 Amazon CloudWatch 通知频率,用于报告发现的后续事件。这包括向 Detective 发送通知。

默认情况下,频率为 6 小时。这意味着,即使一项调查发现重复出现多次,新出现的情况也要到 6 个小时之后才会反映在 Detective 中。

为了缩短 Detective 接收这些更新的时间,我们建议 GuardDuty 管理员帐户将其探测器的设置更改为 15 分钟。请注意,更改配置不会影响使用成本 GuardDuty。

有关设置通知频率的信息,请参阅《亚马逊 GuardDuty 用户指南》中的 “使用亚马逊 CloudWatch 事件监控 GuardDuty 结果”。