本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Detective 用户指南的文档历史记录
下表列出了自 Detective 上一次发布以来对文档所做的重要更改。要获得有关本文档更新的通知,您可以订阅 RSS Feed。
-
最新文档更新:2024 年 11 月 6 日
| 变更 | 说明 | 日期 |
|---|---|---|
增加了对 Amazon GuardDuty 调查结果的支持 | Detective 增加了对以下三种 GuardDuty 查找类型的支持,当对您 AWS 环境中的 Amazon EC2 实例或容器工作负载执行可疑命令时,它们会通知您: | 2024 年 11 月 6 日 |
增加了对 Amazon GuardDuty 调查结果的支持 | Detective 现在为以下GuardDuty 运行时监控查找类型提供支持。
| 2024 年 8 月 27 日 |
增加了对 Amazon GuardDuty 调查结果的支持 | Detective 现在支持 S3 的GuardDuty 恶意软件防护。这可以帮助您扫描新上传到 Amazon S3 存储桶中的对象,以查找潜在的恶意软件和可疑上传,并在它们被摄入下游进程之前采取措施将其隔离。 | 2024 年 7 月 9 日 |
更新了功能 | Detective 在查找组 “可视化” 面板中添加了新的径向布局,以提供改进的可视化效果,便于数据解释。 | 2024 年 6 月 26 日 |
新的安全湖源版本 | 除了源版本 1 (OCSF1.0.0-rc.2) 之外,Detective 现在还会从源版本 2 OCSF (1.1.0) 中提取由 Detective 支持的 Sec urity Lake 源的数据。 | 2024 年 5 月 15 日 |
新的安全湖日志源 | 您可以使用 Detective 与 Security Lake 的集成,从亚马逊EKS审核日志中收集日志和事件。 | 2024 年 5 月 15 日 |
文档更新 | 《亚马逊侦探管理指南》中的内容现已合并到《亚马逊侦探用户指南》中。《Amazon Detective 管理指南》的标准支持将于 2024 年 5 月 8 日结束。 | 2024年4月15日 |
增加了对 Amazon GuardDuty 调查结果的支持 | Detective 现在为以下GuardDuty 运行时监控查找类型提供支持。
| 2024 年 4 月 5 日 |
您无需再成为 GuardDuty 客户即可启用 Amazon Detective。取消了在 GuardDuty 启用 Detective 之前在账户中启用 48 小时的要求。 | 2024 年 2 月 2 日 | |
增加了对 Amazon GuardDuty 调查结果的支持 | Detective 将对GuardDuty EC2运行时监控查找类型的支持扩展到ECS和EC2资源。 | 2024 年 1 月 30 日 |
更新了功能 | 现在,您可以从 “调查” 页面对要调查的特定资源进行 Detective 调查。Detective 根据其在调查发现和调查发现组中的活动来建议资源。Det@@ ec tive Investivations 允许您使用泄露指标调查IAM用户和IAM角色,这可以帮助您确定安全事件中是否涉及资源。 | 2024 年 1 月 16 日 |
更新了功能 | 现在,您可以针对推荐的资源从“调查”页面运行 Detective 调查。Detective 根据其在调查发现和调查发现组中的活动来建议资源。Det@@ ec tive Investivations 允许您使用泄露指标调查IAM用户和IAM角色,这可以帮助您确定安全事件中是否涉及资源。 | 2023 年 12 月 26 日 |
Detective 读取共享流量的方式发生了变化 VPCs | 如果您使用的是共享的 AmazonVPC,则可能会看到 Detective 监控的流量发生了变化。我们建议您查看活动详情中的总体VPC流量变化,以了解其对保险范围的潜在影响,并查看 Detect ive 如何计算预计成本,以了解这会如何影响您的服务成本。 | 2023 年 12 月 20 日 |
区域可用性 | 将欧洲(斯德哥尔摩)、欧洲(巴黎)和加拿大(中部)地区添加到可用 Det ective 与 Security Lake 集成的 AWS区域列表中。 | 2023 年 12 月 8 日 |
新特征 | Det@@ ective 调查允许您使用泄露指标调查IAM用户和IAM角色,这可以帮助您确定安全事件中是否涉及资源。 | 2023 年 11 月 26 日 |
新特征 | 默认情况下,Detective 自动为调查发现组生成调查发现组摘要,由生成式人工智能(生成式 AI)提供支持。调查发现组摘要,快速分析调查发现与受影响资源之间的关系,然后采用自然语言总结潜在威胁。 | 2023 年 11 月 26 日 |
新特征 | Detective 与 Security Lake 的集成,使您可以查询和检索 Security Lake 存储的原始日志数据。使用此集成,您可以从 CloudTrail 管理事件和 Amazon Virtual Private Cloud (AmazonVPC) 流日志中收集日志和事件。 | 2023 年 11 月 26 日 |
在 | 2023 年 11 月 26 日 | |
如果某个调查发现与较大的活动相关,Detective 现在会通知您导航到该调查发现群组。 | 2023 年 9 月 18 日 | |
Detective 现已在以色列(特拉维夫)区域推出。 | 2023 年 8 月 25 日 | |
Detective 调查发现组可视化现在包括带有汇总调查发现的调查发现组,从而能够更高效地分析相关证据、实体和调查发现。 | 2023 年 8 月 8 日 | |
调查发现群组现在包括来自 Amazon Inspector 的漏洞调查发现。 | 2023 年 6 月 13 日 | |
Detective 现在为 GuardDuty Lambda 保护提供支持。 | 2023 年 5 月 26 日 | |
Detective 现在将 AWS 安全发现作为可选的数据源包提供。该可选数据来源包允许 Detective 从 Security Hub 获取数据,并将这些数据添加到行为图中。 | 2023 年 5 月 16 日 | |
Detective 现在为 GuardDuty EKS运行时监控查找类型提供支持。 | 2023 年 5 月 3 日 | |
Detective 现在为 GuardDuty RDS保护查找类型提供支持。 | 2023 年 4 月 20 日 | |
增加了对其他 Amazon GuardDuty 查找类型的支持 | Detective 现在为以下其他 GuardDuty 发现类型提供了配置文件: | 2023 年 4 月 12 日 |
Detective 提供托管式策略,可安全地选择所需的权限。 | 2023 年 4 月 3 日 | |
为亚马逊 Elastic Kubernetes Service(亚马逊VPC)集群的亚马逊虚拟私有云(亚马逊)流量添加了新的部分。EKS | 2023 年 3 月 2 日 | |
Detective 调查发现群组现在包括 Detective 行为图的动态可视化表示,以强调调查发现群组中实体与调查发现之间的关系。 | 2023 年 2 月 28 日 | |
Detective 现在提供了从 Detective 控制台将数据导出到浏览器的选项。 | 2023 年 2 月 7 日 | |
Detective 现在添加了来自亚马逊 Elastic Kubernetes Service Amazon 工作负载的亚马逊虚拟私有云 (VPC) 流日志的可视化摘要和分析。EKS | 2023 年 1 月 19 日 | |
Detective 现在支持通过 AmazonDetectiveFullAccess 策略 GuardDuty 获取调查结果操作。现在,安全章节提供了有关 Detective 的以下新托管策略的详细信息: AmazonDetectiveMemberAccess 和 AmazonDetectiveInvestigatorAccess。 | 2023 年 1 月 17 日 | |
使用 Detective,您最多可以访问一年的历史事件数据。 | 2022 年 12 月 20 日 | |
Detective 现在提供了调整范围时间的选项,以便查看过去 365 天内任何 24 小时时间段的活动。 | 2022 年 10 月 5 日 | |
Detective 现在提供不区分大小写的搜索功能。 | 2022 年 10 月 3 日 | |
Detective 现在提供了一种配置范围时间戳格式首选项的方法。此首选项将应用于 Detective 中的所有时间戳。 | 2022 年 10 月 3 日 | |
Detective 现在支持调查发现群组,可在单个显示屏中将相关调查发现关联在一起,帮助调查环境中潜在的恶意活动。在调查发现群组配置文件中,可以转到与该群组相关的实体配置文件以及调查发现概述。 | 2022 年 8 月 3 日 | |
Detective 现在提供了配置文件,允许您调查与以下容器相关实体相关的活动:亚马逊EKS集群、容器镜像、Kubernetes pod 和 Kubernetes 主题。 | 2022 年 7 月 26 日 | |
Detective 现在支持将EKS审核日志作为可选的数据源包。管理员账户可以为其现有行为图启用这一新数据来源。默认情况下,在此日期之后创建的图表将启用此数据来源。管理员可以随时手动禁用此数据来源。 | 2022 年 7 月 26 日 | |
Detective 现在有一个与服务相关的角色,即 | 2021 年 12 月 16 日 | |
Detective 现已与 Organizations 集成。组织管理账户为组织指定了 Detective 管理员账户。Detective 管理员账户可以查看组织中的所有账户,并在组织行为图中启用这些账户作为成员账户。 | 2021 年 12 月 16 日 | |
调查发现配置文件包含分析相关资源活动的可视化内容。新的发现概述包含从中 GuardDuty提取的发现细节以及相关实体的列表。可以从调查发现概述中转到相关实体的配置文件。 | 2021 年 9 月 20 日 | |
移除了对支持的 GuardDuty 查找类型的限制 | Detective 不再局限于一组选定的 GuardDuty 查找类型。Detective 会自动收集所有调查发现类型的调查发现详细信息,并提供对相关实体的实体配置文件的访问权限。 | 2021 年 9 月 20 日 |
在实体配置文件中,当在关联的调查发现列表中选择一项调查发现时,调查发现的详细信息将显示在右侧的面板中。范围时间设置为调查发现时间窗口。 | 2021 年 9 月 20 日 | |
在 Detective 中的可用实体类型中添加了 S3 存储桶 | Detective 现在提供 S3 存储桶的配置文件。S3 存储桶配置文件提供有关与 S3 存储桶交互的委托人以及他们对 S3 存储桶执行的API操作的详细信息。 | 2021 年 9 月 20 日 |
Splunk Trumpet 项目允许你向 Splunk 发送 AWS 内容。该项目现在允许您添加 Detective URLs 以导航到配置文件以获取 GuardDuty 发现。 | 2021 年 9 月 8 日 | |
已AKIDs在账户和角色的活动详情中替换 | 在账户资料中,“总API通话量” 的活动详细信息现在显示用户或角色,而不是访问密钥标识符(AKIDs)。在角色配置文件中,“总API通话量” 的活动详细信息现在显示的是角色会话,而不是AKIDs。对于在此更改之前发生的活动,调用者将被列为未知资源。 | 2021 年 7 月 14 日 |
在有关呼叫的信息中添加了API呼叫服务 | 在 Detective 控制台上,有关API呼叫的信息现在包括发出呼叫的服务。在 “总API呼叫量”、“新观察到的呼叫” 和 API “音量增加的API呼叫” 列表中添加了 “服务” 列。在 “总API呼叫量” 和 “新观察到的地理位置” 的活动详细信息中,将API方法分组到发出它们的服务下。对于在此更改之前发生的活动,这些API方法将分组在 “未知服务” 下。 | 2021 年 7 月 14 日 |
用户、角色和角色会话的新资源交互选项卡 | 用户、角色和角色会话的资源交互选项卡包含涉及这些实体的角色代入活动信息。对于角色会话,这是一个新选项卡。对于用户和角色,这是一个包含新内容的现有选项卡。 | 2021 年 6 月 29 日 |
增加了行为图的数据量配额。在每天 3.24 TB 的情况下,Detective 会发出警告。在每天 3.6 TB 的情况下,无法添加新账户。在每天 4.5 TB 的情况下,Detective 停止向行为图输入数据。 | 2021 年 6 月 10 日 | |
使用 Detective Python 脚本 | 2021 年 5 月 19 日 | |
当成员账户接受邀请时,其状态为已接受(未启用),直到 Detective 确认其数据不会导致行为图数据量超过配额。如果数据量没有问题,Detective 会自动将状态更改为已接受(已启用)。请注意,当前已接受(未启用)的现有成员账户无法自动启用。 | 2021 年 5 月 12 日 | |
“安全性”一章中新增了一节,详细介绍了 Detective 的托管式策略。Detective 目前提供单一托管式策略,即 | 2021 年 5 月 10 日 | |
更改了成员账户列表中的数据量值 | 在账户管理页面,成员账户列表现在会显示每个成员账户的每日数据量。此前,列表显示流量表示为允许总流量的百分比。 | 2021 年 4 月 29 日 |
修改了管理成员账户的选项 | 将管理账户菜单替换为操作菜单。合并了添加个人账户和从 .csv 文件添加账户的选项。将启用账户从管理账户移至操作旁边的单独选项。 | 2021 年 4 月 5 日 |
添加了行为图谱标签和基于标签的授权 | 启用 Detective 后,您就可以向行为图添加标签。您可以从常规页面管理行为图的标签。Detective 还支持基于标签值的授权。 | 2021 年 3 月 31 日 |
增加了对其他 Amazon GuardDuty 查找类型的支持 | Detective 现在为以下其他 GuardDuty 发现类型提供配置文件: | 2021 年 3 月 29 日 |
增加了 AWS GovCloud (US) 区域差异 | Detective 现已在各 AWS GovCloud (US) 地区上线。在 AWS GovCloud (美国东部)和 AWS GovCloud (美国西部),Detective 不会向成员账户发送邀请电子邮件。Detective 也不会自动删除在 AWS中关闭的成员账户。 | 2021 年 3 月 24 日 |
成员账户列表现在显示选项卡,可以使用这些选项卡根据成员账户状态筛选列表。您可以查看所有成员账户、状态为已接受(启用)的成员账户或状态不是已接受(启用)的成员账户。 | 2021 年 3 月 16 日 | |
增加了对其他 Amazon GuardDuty 查找类型的支持 | Detective 现在为以下其他 GuardDuty 发现类型提供了配置文件: | 2021 年 3 月 4 日 |
Detective | 2021 年 2 月 26 日 | |
将“主账户”更改为“管理员账户” | 术语“主账户”已更改为“管理员账户”。该术语也在Detective控制台中进行了更改,并且API. | 2021 年 2 月 25 日 |
将“主账户”更改为“管理员账户” | 术语“主账户”已更改为“管理员账户”。该术语也在Detective控制台中进行了更改,并且API. | 2021 年 2 月 25 日 |
现在,通过配置面板VPC流入和流出发现物的 IP 地址,您可以显示活动详情。只有当调查发现与单个 IP 地址相关联时,才会显示活动详细信息。活动详细信息显示每个端口、协议和方向组合的流量。 | 2021 年 2 月 25 日 | |
使用 Detec API tive 添加成员账户时,管理员账户可以选择不向成员账户发送邀请电子邮件。 | 2021 年 2 月 25 日 | |
现在,您可以从 “总体API通话量配置文件” 面板中显示 IP 地址的活动详细信息。活动详细信息显示从该 IP 地址发出调用的每个资源的成功和失败调用次数。 | 2021 年 2 月 23 日 | |
IP 地址配置文件现在包含总体VPC流量配置文件面板。配置文件面板显示进出该 IP 地址的VPC流量。您可以显示活动详细信息以显示 IP 地址与之通信的每个EC2实例的音量。 | 2021 年 1 月 21 日 | |
Detect iv e Summary 页面包含可视化效果,可根据地理位置、API通话次数和 Amazon EC2 流量引导分析师找到感兴趣的实体。 | 2021 年 1 月 21 日 | |
在中 GuardDuty,“在侦探中调查” 选项已从 “操作” 菜单移至查找结果详细信息面板。它会显示相关实体的列表。如果是支持的调查发现类型,则列表中还包括该调查发现。然后,可以选择导航到实体配置文件或调查发现配置文件。 | 2021 年 1 月 15 日 | |
在 “总API通话量” 和 “总VPC流量” 的活动详细信息中,您可以将活动详细信息的时间窗口设置为配置文件的默认范围时间。 | 2021 年 1 月 15 日 | |
添加了一条新通知,用于在实体有一个或多个超长时间间隔时显示。新的大量实体页面显示了当前范围时间内的所有超长时间间隔。 | 2020 年 12 月 18 日 | |
成员账户配额增加到 1200 | 主账户现在可以邀请多达 1200 个成员账户访问其行为图谱。之前的限额为 1000。 | 2020 年 12 月 11 日 |
更新了有关行为图数据量配额的信息,添加了具体的配额值。 | 2020 年 12 月 11 日 | |
现在,在总体API流量面板上,您可以显示任何选定时间范围内的活动详细信息。面板最初会显示一个选项,用于显示范围时间的活动详细信息。 | 2020 年 9 月 29 日 | |
在总体VPC流量面板上,您可以显示图表中单个时间间隔的活动详细信息。要显示时间间隔的详细信息,请选择该时间间隔。 | 2020 年 9 月 25 日 | |
Detective 现在允许浏览和调查联合身份验证。可以查看每个角色由哪些资源代入,以及这些身份验证是什么时候进行的。 | 2020 年 9 月 17 日 | |
已删除锁定或解锁范围时间的选项。它始终处于锁定状态。在调查发现配置文件上,如果范围时间与调查发现时间窗口不同,则会显示警告。 | 2020 年 9 月 4 日 | |
在配置文件上,当滚动浏览选项卡上的配置文件面板时,类型、标识符和范围时间仍然可见。当选项卡不可见时,可以使用页面导览痕迹中的选项卡下拉列表导航到其他选项卡。 | 2020 年 9 月 4 日 | |
进行搜索时,搜索结果会显示在搜索页面上。可以从结果中转到调查发现或实体配置文件。 | 2020 年 8 月 27 日 | |
允许的搜索条件已经扩大。您可以按名称搜索 AWS 用户和 AWS 角色。您可以使用ARN来搜索结果、 AWS 角色、 AWS 用户和EC2实例。 | 2020 年 8 月 27 日 | |
在EC2实例详情配置面板上,EC2实例标识符链接到 Amazon EC2 控制台。在 “用户详细信息” 和 “角色详细信息” 配置文件面板上,用户名和角色名称链接到IAM控制台。 | 2020 年 8 月 14 日 | |
总体VPC流量配置文件面板现在提供对活动详细信息的访问。活动详细信息显示选定时间段内 IP 地址和EC2实例之间的流量。 | 2020 年 7 月 23 日 | |
成员账户现在可以查看其使用情况和预计费用 | 成员账户现在可以查看自己的使用信息。对于成员账户,使用情况页面会显示他们提供的每个行为图中采集的数据量。成员账户还可以查看其 30 天的预计费用。 | 2020 年 5 月 26 日 |
免费试用现在是按账户而不是按行为图进行的 | 现在,每个账户 Amazon Detective 都会在每个区域内获得单独的免费试用。免费试用从账户启用 Detective 或账户首次作为成员账户启用时开始。 | 2020 年 5 月 26 日 |
开启了新的开源 Python 脚本 GitHub | 上的新amazon-detective-multiaccount-scripts | 2020 年 1 月 21 日 |
Amazon Detective 简介 | Detective 使用机器学习和专用可视化技术,帮助分析和调查整个 Amazon Web Services (AWS) 工作负载中的安全问题。 | 2019 年 12 月 2 日 |
